Proteção do e-commerce na Black Friday

Segundo Eduardo Maffessoni, engenheiro e consultor da Arbor Networks, visibilidade de rede é crucial para prever ataques DDoS e tráfego malicioso, que pode infectar toda a infraestrutura da loja online

Compartilhar:

Em tempos de Black Friday, os sites de e-commerce tornam-se especialmente visados por campanhas maliciosas para torná-los indisponíveis, com motivações que variam, por exemplo, entre fazer com que o usuário procure sites concorrentes ou criar um problema que concentre as atenções dos técnicos da empresa, servindo como cortina de fumaça para roubo de informações.

 

É claro que todos buscam barreiras de segurança que consigam manter disponibilidade máxima para os clientes, protegendo o site de botnets e usuários maliciosos. A questão está em como alcançar esse objetivo diante de ataques de negação de serviço cada mais sofisticados e accessíveis, pois podem ser comprados a baixo preço na “deep web”.

 

Isso sem falar em ferramentas, amadoras ou não, como robôs de pesquisa, capazes de “varrer” sites à procura de determinado tipo de informação (como onde encontrar as melhores promoções e preços), que podem tornar mais lentos o acesso a determinados sites. Um outro tipo de ferramenta bastante comum hoje, e facilmente utilizável no sentido de “engarrafar” o tráfego para um dado destino, são as que vêm sendo largamente empregadas para a venda de “likes” em redes sociais.

 

Qualquer descuido, a mais mínima indisponibilidade, pode impedir uma venda. Se uma pessoa quer, digamos, comprar uma televisão e não consegue visualizar fotos dos aparelhos no site em que está pesquisando, provavelmente irá procurar o que deseja na concorrência. Como consumidores, sabemos que uma lentidão de segundos nos leva a outros sites.

 

Manter o site disponível para os consumidores é crucial, e a tarefa pode não ser muito fácil, mas não é uma missão impossível.

 

No que toca à proteção contra os ataques de negação de serviço, os ataques DDoS (Distributed Denial of Service), a regra de ouro consiste em dois pontos básicos: eliminar o agente malicioso e controlar o acesso do usuário válido.

 

Seguem, então, algumas recomendações para que os administradores de sites de e-commerce possam colocar em prática esses princípios:

 

  1. Tenha visibilidade de quem acessa seu ambiente – e também de quem seu ambiente acessa! Lembre-se de que uma máquina infectada em sua rede pode acessar uma bot e disparar um ataque à sua empresa.

 

  1. Utilize mecanismos eficientes de autenticação de tráfego para identificar bots ou usuários maliciosos. A autenticação é transparente para o usuário (ou seja, ele não nota nada de diferente), mas é ela quem identifica o navegador.

 

  1. Elimine o tráfego originado por botnets ou por ferramentas geradoras de tráfego. É possível fazer isso isolando o tráfego suspeito até ele ser analisado.

 

  1. Elimine o tráfego de navegadores maliciosos, especialmente se ele vem da rede Tor, que criptografa a conexão escondendo a sua origem.

 

  1. Entenda e controle os acessos dos usuários válidos. Há pessoas que, por diferentes motivos, inclusive profissionais, estão apenas acessando para pesquisas de preço ou outras. Esse tráfego não é malicioso, mas deve ser limitado, para não prejudicar o acesso dos clientes.

 

* Eduardo Maffessoni é engenheiro e consultor da Arbor Networks

 

Conteúdos Relacionados

Security Report | Overview

ANPD divulga atualização da agenda regulatória para o biênio 2025/26

Documento confere maior transparência, previsibilidade e eficiência para o processo regulatório da Autoridade
Security Report | Overview

Supply Chain: Integração e monitoramento podem ajudar a proteger essa rede?

Security Report | Overview

Apenas 11% das empresas corrigem vulnerabilidades com eficiência, diz estudo

Como resultado, as organizações estão expostas por longos períodos, enquanto o tempo médio até a exploração por um invasor diminuiu...
Security Report | Overview

Previsões de ameaças para 2025: cibercrime pode se tornar mais sofisticado?

À medida que o crime cibernético evolui, a equipe do FortiGuard Labs previu várias tendências sem precedentes emergindo em 2025...