Estudos de caso

Protegendo a nuvem de dados do cliente SAP com serviços de nuvem distribuída F5

Os vendedores B2C (business-to-consumer) vêm em todos os tamanhos e formatos online — desde sites de varejo e comércio eletrônico até uma ampla gama de provedores online nos setores de serviços financeiros, viagens e hospitalidade e serviços digitais, para citar alguns. Uma coisa que quase todas as empresas B2C online têm em comum é o desejo de “conhecer o cliente”. Negócios online que oferecem serviços ou produtos voltados ao consumidor geralmente precisam ir além de apenas vender valor e benefícios: eles precisam invocar uma conexão emocional com o consumidor. Como cada cliente é diferente, criar uma conexão emocional começa com a entrega de uma experiência personalizada.

Para uma empresa B2C, conhecer o cliente exige primeiro identificar cada visitante individualmente, e isso requer uma solução robusta de Gerenciamento de Identidade e Acesso (IAM). A SAP é líder reconhecida por seus produtos e serviços de Customer IAM ( CIAM ) e comércio geral para empresas B2C. Este caso de uso explora como essas empresas podem introduzir o F5 Distributed Cloud Services em suas defesas para otimizar seus investimentos em SAP e oferecer uma experiência segura e sem atrito ao cliente.

SAP para negócios B2C

O SAP Customer Data Cloud (CDC) é uma solução SaaS multilocatário que oferece a capacidade de armazenar e controlar perfis de consumidores. Para seus aproximadamente 700 clientes (e crescendo), a SAP hospeda mais de 1,4 bilhão de identidades de consumidores, armazena 1,6 bilhão de transações de consentimento por mês (atendendo aos requisitos de leis regionais de proteção de dados, como GDPR, CCPA e LGPD), fornece integração para 4 bilhões de dispositivos de consumidores e processa cerca de 18 bilhões de chamadas de API por mês. Para muitas empresas B2C on-line, a solução SAP CDC faz parte de uma solução geral de experiência do cliente SAP que também inclui o SAP Commerce Cloud . Entre outros recursos, o SAP CDC oferece:

  • Identidade do cliente (CIAM): incluindo registro como serviço, login social e federação de identidade/SSO (logon único)
  • Consentimento do cliente : gerenciamento de consentimento para todos os aspectos do GDPR, como a capacidade de controlar o acesso, exportar e até mesmo excluir dados do perfil do consumidor
  • Perfil do cliente : incluindo registros de consentimento e outras preferências; orquestração e governança; análise de dados; e relatórios

Distributed Cloud Bot Defense para proteção contra bots e fraudes

Não é incomum que 90% ou mais das tentativas diárias de login de um site B2C sejam de visitantes não humanos. Infelizmente, tráfego não humano neste caso geralmente significa tráfego de ataque baseado em bot. Esses bots baratos e rudimentares simplesmente percorrem milhões e milhões de credenciais roubadas e vazadas que já estão disponíveis, uma após a outra, repetidamente, enviando combinações de nome de usuário e senha para seu site de comércio, na esperança de que até mesmo uma pequena fração passe.

 

É um processo conhecido como credential stuffing e pode ser caro. Todas essas tentativas de login automatizadas são um dreno constante e constante de largura de banda e recursos do servidor; e as coisas podem piorar se um desses bots conseguir fazer login com credenciais roubadas.

O F5 Distributed Cloud Bot Defense identifica todo tipo de tráfego de rede prejudicial, causado por bots, e o bloqueia antes que ele se torne um dreno de seus recursos (ou pior).

Há dois estágios em uma implantação do Distributed Cloud Bot Defense: modo de observação e modo de mitigação. No modo de observação, o Distributed Cloud Bot Defense analisa os logs de todas as solicitações recebidas em um aplicativo para identificar ameaças e personalizar uma resolução defensiva.

Figura 1: Por meio do monitoramento, a Distributed Cloud Bot Defense descobriu que 90% do tráfego de login era proveniente de ataques de bot.
Figura 1: Por meio do monitoramento, a Distributed Cloud Bot Defense descobriu que 90% do tráfego de login era proveniente de ataques de bot.
Figura 2: Após a implantação, o Distributed Cloud Bot Defense reduziu a quantidade de tráfego de login proveniente de ataques de bot em 90%.
Figura 2: Após a implantação, o Distributed Cloud Bot Defense reduziu a quantidade de tráfego de login proveniente de ataques de bot em 90%.

Ao analisar logs para distinguir entre tráfego de login malicioso e legítimo, o Distributed Cloud Bot Defense também tem a capacidade de categorizar solicitações em campanhas de ataque para análise. Se uma campanha de ataque tentar contornar o F5 por meio de alguma reformulação (normalmente atualizando o software ou aproveitando novos proxies), o Distributed Cloud Bot Defense ainda será capaz de identificar a campanha com base em centenas de outros sinais.

Quando a F5 e o cliente estiverem confiantes de que nenhum tráfego humano legítimo será afetado, o modo de mitigação pode ser ativado. A partir desse ponto, quando é determinado em tempo real que uma solicitação de aplicativo é de uma fonte fraudulenta, essa fonte é imediatamente bloqueada, tudo isso sem causar nenhum atrito (como a necessidade de autenticação multifator, CAPTCHA, etc.) para usuários humanos legítimos.

Resumo

A fraude online é uma ameaça real e crescente da qual as empresas B2C precisam proteger seus clientes, mas essas proteções não devem gerar atrito na experiência do usuário, correndo o risco de perder esses mesmos clientes. Enquanto a SAP ajuda a converter seus usuários desconhecidos em clientes conhecidos e fiéis, o F5 Distributed Cloud Bot Defense trabalha nos bastidores para reduzir drasticamente sua exposição ao tráfego de ataques de bots automatizados e fraudulentos, ajudar a garantir a segurança dos seus serviços SAP e remover o atrito da experiência do usuário.

Para obter mais informações sobre o F5 Distributed Cloud Bot Defense, visite f5.com/cloud/products/bot-defense .

Proteção contra bots e outros ataques automatizados

O Distributed Cloud Bot Defense protege contra os mais sofisticados ataques de preenchimento de credenciais e aquisição de contas, carding e o restante das ameaças automatizadas do OWASP para aplicativos da Web , incluindo:

  • Aquisição de conta: Impede que fraudadores testem rapidamente credenciais roubadas em seus aplicativos de login, o que significa que eles não podem assumir o controle das contas em primeiro lugar.
  • Raspagem: Controle como os scrapers e agregadores coletam dados do seu site, permitindo que você proteja dados confidenciais e gerencie custos de infraestrutura. 
  • Cardação: Evite que criminosos usem suas páginas de checkout para validar cartões de crédito roubados.
  • Ataques de vale-presente: Garanta que o valor do vale-presente, pontos de fidelidade e outros valores armazenados permaneçam nas mãos dos seus clientes.
  • Estoque de estoque: Garanta que suas campanhas e itens mais procurados sejam vendidos diretamente aos seus clientes, não a cambistas.
  • Fraude de marketing: Garanta que suas análises de negócios e gastos com marketing sejam baseados em dados livres de bots.

 

Desafios
  • A transformação digital expõe as organizações a novas ameaças e novos tipos de ataques, incluindo abuso empresarial e fraude de comércio eletrônico
  • Para os cibercriminosos, os aplicativos representam a classe de alvos mais lucrativa: as perdas por fraude online devem ultrapassar US$ 48 bilhões até 2023
  • Quando os ataques da web são bloqueados, os invasores rapidamente migram para outros canais, como aplicativos móveis; qualquer solução de segurança deve abordar todas as plataformas
Benefícios
  • Mitigação de fraudes e abusos
  • Prevenção de danos à reputação
  • Mitigação do atrito da experiência do usuário
  • Melhor desempenho e tempo de atividade da aplicação
  • Aumentar a segurança