Sem surpresa, a temporada de final de ano traz consigo maiores oportunidades para ataques cibernéticos; com o setor de comércio eletrônico sendo o alvo principal. Não importa o que uma organização venda on-line, seja roupas, eletrônicos, experiências de viagem ou o que quer que seja, as promoções com tema de final de ano são um alvo popular para os invasores, pois a segurança e a TI geralmente ficam sobrecarregadas durante esse período e têm maior probabilidade de serem pegas desprevenidas.
Com base nesta tendência, a questão não é se preparar para um ataque, mas sim, que tipos de ataques representam o maior risco para a sua empresa.
A segurança eficaz requer algum grau de priorização, além de estabelecer uma forte linha de base de proteção contra ameaças comuns de aplicativos web, como ataques DDoS e explorações de vulnerabilidade zero-day, e prever quais tipos de ataques mais especializados têm a probabilidade de afetar a empresa durante o final de ano, e preparar-se de acordo.
A resposta às quatro perguntas abaixo pode ajudar a dar início ao processo de priorização. Ao fazer isso, as organizações de comércio eletrônico estarão melhor posicionadas para ter sucesso nesta temporada de final de ano - que pode representar até 30% de sua receita anual.
Como os preços interferem em seus produtos?
Seus produtos estão disponíveis em quantidades limitadas?
Você usa um sistema de pagamento de terceiros?
Você aceita pagamentos em criptomoedas?
Para alguns produtos e serviços, tais como os de menor custo, altamente comercializados ou amplamente disponíveis, pequenas diferenças de preço em relação às empresas concorrentes podem ter um impacto significativo nas decisões de compra dos clientes. Se uma empresa tiver um preço, mesmo que seja ligeiramente superior ao de um concorrente, durante uma promoção de final de ano, ela poderá ter uma queda significativa nas vendas.
Por esta razão, as empresas cujos produtos são sensíveis aos preços devem ser particularmente cautelosas durante a temporada de final de ano em relação a bots que fazem extração de preços, que examinam um site para obter informações sobre preços e as transmitem a um concorrente. Usando essas informações, o concorrente pode garantir que seus produtos sejam marginalmente mais baratos, uma vantagem significativa.
Os bots que fazem extração de preços podem ser mais difíceis de identificar do que outros tipos de bots, uma vez que não causam consequências óbvias como um aumento na autenticação falha, compras incomuns ou picos em novas contas de usuários. Os sinais para ajudar a identificar os bots que fazem extração de preços incluem:
Picos de tráfego que não correspondem ao comportamento esperado do consumidor, uma vez que os bots que fazem extração de preços examinam continuamente seu site
Desempenho do site degradado, pela mesma razão
Origens de tráfego de IP apontando de volta para os sites dos concorrentes
Se você identificar bots que fazem extração de preços em seu site, ou suspeitar que eles podem visá-lo durante as promoções de final de ano, táticas como limitação de taxa podem ajudar a impedir que eles afetem o desempenho do site.Mas, provavelmente ainda será necessário investir em um serviço mais avançado de gerenciamento de bots, que utiliza o aprendizado de máquina e inteligência contra ameaças detalhada para filtrar o tráfego automatizado.
Para alguns produtos, a escassez é uma tática de marketing valiosa. Exemplos incluem produtos eletrônicos de consumo de alto nível, ingressos para shows, moda de edição limitada, e até mesmo NFTs.
As empresas que vendem esses produtos devem ser extra cautelosas com bots de negação de inventário (também conhecidos como "grinch bots") durante a temporada de compras de final de ano. Estes bots compram automaticamente produtos ou serviços mais rapidamente do que os humanos são capazes, normalmente para vendê-los por um valor maior em um mercado de segunda mão. Os tênis de edição limitada, por exemplo, tornaram-se o alvo de uma categoria especializada de bots; os "sneaker bots"
Os efeitos dos bots negação de inventário, produtos que são capturados em minutos, não são difíceis de serem detectados. O problema é que, uma vez que você os percebe, o dano já está feito, e seus clientes reais já estão frustrados. Para evitar que estes bots concluam seu trabalho, considere táticas como estas:
Desafios: o uso de desafios gerenciados garante que somente usuários reais possam fazer uma compra.As alternativas CAPTCHA agora, estão disponíveis como desafios gerenciados que confirmam que um usuário é real sem a experiência ruim dos CAPTCHAs.
Limitação da taxa: para limitar a frequência com que um bot pode adquirir o estoque.
Configurar um "honeypot": Um honeypot é um alvo falso para agentes mal-intencionados que, quando acessado, expõe o agente mal-intencionado como malicioso.No caso de um bot, um honeypot pode ser uma página web no site, proibida para bots pelo arquivo robots.txt.Os bots bons vão ler o arquivo robots.txt e evitar essa página web; alguns bots maliciosos vão interagir com a página web.Ao rastrear o endereço de IP dos bots que acessam o honeypot, os bots ruins podem ser identificados e bloqueados.
Infelizmente, algumas dessas táticas podem prejudicar a experiência do usuário e talvez podem nem impedir os bots mais avançados, portanto, as empresas que tem risco de negação de inventário também podem ter que investir no gerenciamento de bots dedicado, usando o aprendizado de máquina e a análise comportamental avançada.
Toda empresa de comércio eletrônico deve proteger seu sistema de pagamentos contra uma variedade de ameaças durante a temporada de final de ano. Por exemplo, ataques de preenchimento de cartão de crédito bombardeiam um sistema de pagamento com números de cartão de crédito roubados, e ataques Magecart roubam os números de cartão de crédito dos clientes.
Mas as empresas que utilizam serviços de pagamento de terceiros ainda têm algo mais com que se preocupar, proteger a API de pagamento.Se a API tem uma vulnerabilidade desconhecida, ou é suscetível aos dez maiores riscos de segurança da API, os invasores podem ser capazes de interceptar as informações dos cartões de crédito.A mesma consequência poderia ocorrer em um ataque de autenticação, no qual o invasor rouba uma chave de API relevante, ou intercepta e usa um token de autenticação.
O primeiro passo para evitar esses ataques é, muitas vezes, identificar as APIs em primeiro lugar.Entre os setores, o varejo teve o segundo crescimento mais rápido no tráfego de APIs, tornando importante para as empresas de comércio eletrônico usar um serviço de descoberta de endpoints de API no período que antecede a temporada de final de ano.Uma vez identificados quaisquer endpoints em risco, elas podem empregar as seguintes táticas:
Validação do esquema: Especificamente, bloquear as chamadas API que não estejam em conformidade com o "esquema" da API, ou seja, o padrão de solicitações que ela deve receber.
Detecção de abuso específica de APIs: entenda o tráfego abusivo e utilize a limitação de taxa centrada em APIs para bloquear o tráfego excessivo e abusivo de APIs, com base na compreensão minuto a minuto do tráfego de cada endpoint de API.
As táticas de segurança de API também são importantes para outros serviços de terceiros, por exemplo rastreadores de estoque, serviços baseados em localização e ferramentas dinâmicas de preços, mas os sistemas de pagamento podem ser a meta mais atraente devido ao uso de dados financeiros e, portanto, merecem atenção especial durante as promoções de final de ano.
Todas as transações de criptomoedas são registradas em um blockchain correspondente, uma longa lista de registros que residem em uma rede descentralizada de muitos computadores. Para conectar lojas on-line a essas redes descentralizadas, a maioria das empresas utiliza uma API especializada ou serviço de gateway.
Em teoria, as transações de blockchain não podem ser falsificadas ou alteradas, mas isto não é verdade para a API correspondente. Estes conectores são alvos comuns de roubo de criptomoedas. E como as criptomoedas são um mercado em rápida evolução e não regulamentado, suas APIs e gateways correspondentes podem não receber o mesmo escrutínio de segurança que outras ferramentas de pagamento.
Para evitar que essas ameaças interrompam os pagamentos de criptomoedas durante o final do ano, as empresas de comércio eletrônico devem explorar as mesmas táticas de segurança de API mencionadas acima, ou seja, validação de esquema e regras WAF.
Responder a estas perguntas é um passo importante no processo de priorização de risco, mas elas são apenas um começo. Idealmente, uma empresa será capaz de analisar dados de ataques de temporadas de final de ano anteriores para prever ameaças futuras. Ela também podem considerar fatores como:
Que tipos de ataques podem ter o maior impacto financeiro, seja por perda de receita ou custos de mitigação
Que tipos de ataque trazem o maior risco de perda ou comprometimento de dados
Quais ataques têm maiores chances de causar indisponibilidade do site
A Cloudflare pode ajudar na priorização, a Central de Segurança da Cloudflare está incluída em todos os planos e ajuda as organizações a inventariar seus ativos de TI, enumerar possíveis riscos de segurança e investigar mais facilmente possíveis ameaças.
Além disso, os serviços de segurança de aplicativos da Cloudflare podem ajudar a mitigar todas as ameaças descritas neste artigo, assim como os ataques DDoS, ataques de bots de todos os tipos, vulnerabilidades zero-day, e muito mais.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Quais ameaças especializadas de aplicativos web representam um risco maior para sua organização
Quando prestar atenção especial à segurança de APIs, gerenciamento de bots e outras considerações de segurança
Por que fortalecer sua postura de segurança é importante durante o final de ano
Saiba mais sobre considerações importantes na segurança de aplicativos web. Obtenha o Gartner MQ for Web Application and API Protection.