从梅西百货到亚马逊,电子商务网站每年接待2 亿到20亿访问者。当然,与初创电子商务网站相比,这是巨大的,但您应该考虑这些网站托管的页面数量。主要电子商务网站上有数百万个产品页面和数百个报价登录页面。
现在,这与安全有什么关系?电子商务网站有无数页面,公司无法监控每个页面以确保完全安全。他们甚至不能仅仅阻止国家/地区的垃圾邮件流量,尤其是在增长目标是全球性的情况下。
同时,不保护成百上千页面中的任何一个都可能意味着整个网站出现故障。同样,不阻止流量可能意味着任何人都可以触发机器人流量攻击以使服务器崩溃或增加云托管成本。这使得安全很重要,对吧?为什么不投入更多的资金并让更多的安全专家加入呢?
电子商务业务的规模通常迅速且不可预测。除了亚马逊和 eBay,大多数大公司在过去几年都发展到了数百万美元的地位。最初,当重点放在增长上时,他们没有资源来管理安全性,后来他们要管理的东西太多,以至于覆盖所有安全基础似乎是不可能的。
主要电子商务公司的安全展望——他们是如何做到的?
Target 在 2013 年发生大规模数据泄露事件后迅速了解了应用程序安全性。很快,其他在线销售公司也深陷其中。整个电子商务部门都了解到,虽然通过防病毒、数据丢失预防和类似措施很容易保护物理层,但对 Web 和移动应用程序的控制却很少。Gartner Research 也证实了这一事实,声称 70% 的网络攻击发生在应用层。
那么,他们在过去几年里发生了什么变化?他们如何管理安全?首席技术官 (CTO)、首席信息官 (CIO) 和/或首席信息安全官接管了电子商务业务中现有的安全结构,并为其注入了用于应用程序安全的托管安全服务。
以 Shoppers Stop 为例。它是一家主要的全球零售集团,收入超过 4.4 亿美元,拥有 14,000 多名员工。他们的在线零售业务大幅增长,云计算的安全问题也随之而来。
根据他们的解决方案和技术副总裁 Anil Shankar 先生的说法,他们的整个 com 基础架构都在云上,Web 应用程序的安全性至关重要。Web 应用程序扫描和防火墙已成为其安全性不可或缺的一部分。Shoppers Stop 目前使用的 AppTrana 来按需扫描查找漏洞并阻止黑客进行 DDoS 攻击。
根据内部组织结构,大多数电子商务公司都有 CTO、CEO 或/和 CISO 来检查内部安全协议,同时与托管安全提供商合作以确保应用程序安全,这是一个更不稳定的领域,配备了较少的认证专业人员来处理可能的问题灾难。
具有托管安全性的汇集情报
内部应用程序安全团队能否掌握机器人、数据包数据和机器签名并将这些数据关联起来以标记可疑流量?这是一个例子。我们收集了来自 800 多个客户的大量攻击数据,我们的安全团队对此进行了分析。因此,如果我们知道 IP 123 试图攻击 XYZ 公司,我们将对其进行标记并为所有客户进行监控。我们甚至可以根据数据对特定类型流量的强大程度来完全阻止它。
大多数电子商务网站也受到导致服务器崩溃的垃圾邮件流量的困扰。这是对应用程序的分布式拒绝服务攻击,看起来与您的常规流量非常相似。事实上,攻击者可以以低至 5 美元的价格租用机器人流量。想想竞争或心怀不满的员工在大促销日关闭您的网站数小时。
在您关注业务的同时,托管安全专家也会密切关注僵尸流量,并将该数据与区域、IP、带宽、ping 频率和许多其他参数相关联,以确保流量是真实的。如果不是,Web 应用程序防火墙会立即阻止它。
初创电子商务公司的安全提示
在更大的投资金额之前,在庞大的客户名单之前,在成功之前,需要努力工作和艰难地决定投资什么以实现增长。对于大多数新时代的成长型公司和初创公司来说,任命单独的安全团队和提供 CIO/CISO 是不可能的。但是,这并不意味着安全性在您业务的成长阶段是无关紧要的。另一方面,这很关键。
- 遭受重大数据丢失的企业中有 72% 在 24 个月内关闭。(全国小企业协会)
- 64% 的人不太可能与遭受数据泄露的公司购物或开展业务。(金雅拓调查)
即使是初创商务网站也不能让竞争对手或其他因素因数据泄露而压垮他们。这就是 CEO、CTO 或产品负责人经常通过托管服务提供商负责整体网络安全和控制 Web 应用程序安全的原因。有一个扫描 + Web 应用程序防火墙来解决此类公司的黑客攻击和 DDoS 问题。无论您的电子商务网站上的更改或页面如何,扫描都会发现问题并报告问题,而 WAF 会阻止黑客利用这些弱点。