La sicurezza durante il periodo delle festività

Come preparare l'e-commerce alle minacce incombenti

Non c'è da sorprendersi che la stagione delle festività porti con sé un aumento delle opportunità di attacchi informatici; il settore dell'e-commerce è il bersaglio principale. Indipendentemente da ciò che un'organizzazione vende online, che si tratti di abbigliamento, elettronica, esperienze di viaggio o altro, le promozioni sotto l'albero sono purtroppo un bersaglio popolare per gli aggressori, poiché in questo periodo la sicurezza e l'IT sono spesso sovraccarichi e hanno maggiori probabilità di essere colti di sorpresa.

Sulla base di questa tendenza, la questione non è se prepararsi o meno a un attacco, ma piuttosto quali tipi di attacchi rappresentano il rischio maggiore per la vostra azienda.

Un impianto di sicurezza efficace richiede un certo grado di priorizzazione, oltre all'istituzione di una robusta base di protezione contro le minacce più comuni alle applicazioni web, come gli attacchi DDoS e gli exploit di vulnerabilità zero-day. Inoltre, esso deve essere in grado di prevedere quali tipi di attacchi, di natura più specializzata, potrebbero colpire l'azienda durante le festività, e attrezzarsi di conseguenza.

Per definire le priorità può essere d'aiuto rispondere alle quattro domande riportate qui sotto. Così facendo, le imprese di e-commerce saranno in una posizione migliore per affrontare senza intoppi le festività natalizie, un periodo che da solo può generare fino al 30% del fatturato annuale.

  1. Quanto sono sensibili al prezzo i vostri prodotti?

  2. I prodotti sono disponibili in quantità limitata?

  3. Utilizzate un sistema di pagamento terzo?

  4. Accettate pagamenti in criptovaluta?

Domanda 1: Quanto sono sensibili al prezzo i vostri prodotti?

Per alcuni prodotti e servizi - come quelli a basso costo, altamente commoditizzati o ampiamente disponibili - piccole differenze di prezzo tra aziende concorrenti possono avere un impatto significativo sulle decisioni di acquisto dei clienti. Se un'azienda subisce anche solo un prezzo lievemente più competitivo da parte di un concorrente durante una promozione natalizia, il risultato potrebbe essere un calo significativo delle vendite.

Per questo motivo, le imprese che vendono prodotti sensibili al prezzo devono essere particolarmente caute durante le festività nei confronti dei price-scraping bot, che scansionano un sito web alla ricerca di informazioni sui prezzi e trasmettono poi le informazioni a un concorrente. Con questi dati a disposizione, il concorrente può far sì che i suoi prodotti siano marginalmente più economici, traendone un vantaggio significativo.

I price scrapers possono essere più difficili da identificare rispetto ad altri tipi di bot, poiché non causano conseguenze evidenti come un aumento delle autenticazioni fallite, acquisti insoliti o picchi di nuovi account utente. I segnali che aiutano a identificare questo tipo di bot sono:

  • Picchi di traffico che non corrispondono al comportamento atteso dei consumatori, dato che i price scraper scansionano continuamente il vostro sito

  • Prestazioni del sito degradate, per lo stesso motivo

  • Origini IP del traffico che puntano verso i siti dei concorrenti

Se si individuano dei price scrapers sul proprio sito, o se si prefigura la possibilità di subire la loro interferenza durante le promozioni natalizie, tattiche come la limitazione della frequenza possono contribuire a evitare impatti negativi sulle prestazioni del sito.Tuttavia, sarà probabilmente ancora necessario investire in un servizio più avanzato di bot management che utilizzi l'apprendimento automatico e l'intelligence dettagliata sulle minacce per filtrare il traffico automatizzato.

Domanda 2: I prodotti sono disponibili in quantità limitata?

Per taluni prodotti, la loro scarsità è una efficace tattica di marketing. Tra gli esempi troviamo l'elettronica di consumo di alta fascia, i biglietti per i concerti, i capi di moda in edizione limitata e persino gli NFT.

Le aziende che vendono questi prodotti devono prestare particolare attenzione ai bot di accaparramento scorte (anche detti "grinch bot") durante la stagione dello shopping natalizio. Questi bot acquistano automaticamente prodotti o servizi più velocemente di quanto gli esseri umani siano in grado di fare, in genere per venderli a un prezzo maggiorato su un mercato di secondario. Le sneaker in edizione limitata, ad esempio, sono diventate l'obiettivo di una categoria di bot specializzati, gli "sneaker bots".

Gli effetti di questo tipo di bot, ovvero prodotti che vanno esauriti in pochi minuti, non sono difficili da notare. Il problema è che, una volta notati, il danno è già fatto e i vostri veri clienti sono già arrabbiati. Per evitare che questi bot portino a termine il loro lavoro, prendete in considerazione alcuni accorgimenti:

  • Challenge: L'impiego di challenge gestite garantisce che solo gli utenti reali possano effettuare un acquisto.Sono ora disponibili delle alternative a CAPTCHA che confermano l'umanità di un visitatore senza infliggerli l'esperienza utente meno che ideale di CAPTCHA.

  • Limitazione della frequenza: Per limitare la frequenza con cui un bot può acquistare i prodotti in stock.

  • Impostazione di un "honeypot": un honeypot è un falso bersaglio per i malintenzionati che, quando vi accedono, vengono identificati come tali.Nel caso di un bot, una honeypot potrebbe essere una pagina web del sito vietata ai bot dal file robots.txt.I bot legittimi leggono il file robots.txt ed evitano la pagina web; alcuni bot dannosi, invece, interagiranno con quella pagina.Tracciando l'indirizzo IP dei bot che accedono all'honeypot, è possibile identificare e bloccare i bot dannosi.

Sfortunatamente, alcune di queste tattiche possono pregiudicare l'esperienza dell'utente e non essere in grado di fermare i bot più avanzati. Per questa ragione, le aziende soggette al rischio di accaparramento delle scorte potrebbero essere costrette a investire in soluzioni di bot management che impiegano l'apprendimento automatico e l'analisi comportamentale avanzata.

Domanda 3: Accettate pagamenti con carta di credito?

Durante le festività, ogni azienda di e-commerce deve proteggere il proprio sistema di pagamento da una serie di minacce. Ad esempio, gli attacchi di tipo credit-card stuffing bombardano un sistema di pagamento con numeri di carte di credito rubati, mentre gli attacchi magecart sottraggono i numeri delle carte di credito dei clienti.

Le aziende che utilizzano servizi di pagamento di terze parti, inoltre, devono preoccuparsi anche di un altro aspetto, ovvero la sicurezza dell'API di pagamento.Se l'API presenta una vulnerabilità sconosciuta, o è soggetta ai rischi più conosciuti, gli aggressori potrebbero essere in grado di intercettare i dati delle carte di credito degli acquirenti.La stessa conseguenza potrebbe verificarsi in un attacco di autenticazione, in cui l'attaccante ruba una determinata chiave API o intercetta e utilizza un token di autenticazione.

Il primo passo per prevenire questi attacchi consiste innanzitutto nell'identificazione delle API stesse. Tra i diversi settori, il commercio al dettaglio ha registrato la seconda crescita più rapida del traffico API. Ciò fa sì che, in vista delle festività natalizie, le aziende di e-commerce non possano più fare a meno di impiegare un servizio di individuazione degli endpoint API. Una volta identificati gli endpoint a rischio è possibile adottare le seguenti tattiche:

  • Convalida dello schema: Nello specifico, si tratta di bloccare le chiamate API che non sono conformi allo "schema" dell'a stessa, ossia allo schema delle richieste che dovrebbe ricevere.

  • Rilevamento degli abusi specifici per le API: capire il traffico dannoso e utilizzare la limitazione della frequenza incentrata sulle API per bloccare il traffico eccessivo e dannoso, sulla base di una comprensione aggiornata del traffico di ciascun endpoint API.

Le tattiche di sicurezza API sono importanti anche per altri servizi di terze parti, come ad esempio i tracciatori di inventario, i servizi location-based e i tool di pricing dinamico, ma i sistemi di pagamento possono essere l'obiettivo più interessante in ragione dell'uso di dati di natura finanziaria, e quindi meritano un'attenzione particolare durante le promozioni natalizie.

Domanda 4: Accettate pagamenti in criptovaluta?

Tutte le transazioni di criptovaluta sono registrate sulla relativa blockchain, che non è altro che un lungo elenco di record che risiede in una rete decentralizzata costituita da una moltitudine di computer.Per collegare i negozi online a queste reti decentralizzate, la maggior parte delle aziende utilizza un'API specializzata o un servizio di gateway.

In teoria, le transazioni su blockchain non possono essere falsificate o alterate, ma questo non corrisponde al vero per le relative API. Questi connettori sono infatti degli obiettivi comuni per il furto di criptovalute. Inoltre, poiché le criptovalute sono un mercato in rapida evoluzione e non ancora regolamentato, le API e i gateway corrispondenti potrebbero non essere soggetti agli stessi controlli di sicurezza di altri strumenti di pagamento.

Per evitare che queste minacce interrompano i pagamenti in criptovaluta durante le festività natalizie, le aziende di e-commerce dovrebbero esplorare le stesse tattiche di sicurezza delle API menzionate in precedenza, ovvero la convalida dello schema e le regole WAF.

Prosieguo del processo di definizione delle priorità

Rispondere a queste domande è un passo importante nel processo di priorizzazione del rischio, ma è solo un inizio. Idealmente, un'azienda sarà in grado di analizzare i dati degli attacchi subiti nelle precedenti stagioni per prevedere le minacce future. Tra i fattori da prendere in considerazione figurano anche i seguenti:

  • Quali tipi di attacchi potrebbero avere il maggiore impatto finanziario, sia in termini di perdita di fatturato che di costi di mitigazione

  • Quali tipi di attacco comportano il maggior rischio di perdita o compromissione dei dati

  • Quali attacchi hanno le maggiori probabilità di causare il downtime del sito

Cloudflare può dare una mano a stabilire le priorità. Cloudflare Security Center è incluso in ogni piano e aiuta le organizzazioni a inventariare le proprie risorse IT, a enumerare i potenziali rischi per la sicurezza e a indagare più agevolmente sulle potenziali minacce.

Inoltre, i servizi di sicurezza delle applicazioni di Cloudflare possono aiutare a mitigare tutte le minacce descritte in questo articolo, nonché gli attacchi DDoS, gli attacchi bot di ogni tipo, le vulnerabilità zero-day e non solo.

Questo articolo fa parte di una serie sulle ultime tendenze e argomenti che hanno un impatto sui decisori tecnologici di oggi.

Punti chiave

  • Quali minacce specializzate alle applicazioni web costituiscono un rischio maggiore per la tua organizzazione

  • Quando prestare particolare attenzione alla sicurezza delle API, alla gestione dei bot, e altre considerazioni sulla sicurezza

  • Perché è importante rafforzare la propria postura di sicurezza durante il periodo delle festività

RISORSE CORRELATE

Approfondisci questo argomento.

Alcune considerazioni importanti per la sicurezza delle applicazioni web.Otteni l'MQ di Gartner per la protezione delle applicazioni web e delle API.

Get The Report!

Ricevi un riepilogo mensile degli approfondimenti Internet più popolari!

Iscriviti a Storie di tendenza

Vendite

Introduzione

Community

Sviluppatori

Supporto

Azienda

© 2023 Cloudflare, Inc.Informativa sulla privacyCondizioni per l’utilizzoReport Problemi di sicurezzaFiducia e sicurezzaMarchio registrato