案例|一文看懂:主动+动态防御系统如何保障电商平台安全
2021-04-22 18:33:08 Author: www.4hou.com(查看原文) 阅读量:144 收藏

用户需求—

电商平台现状:亟需应用安全与业务安全同时兼顾

张先生是一家大型商超平台的安全负责人。

近年来,随着平台业务发展,安全要求和安全压力越来越大,张先生总结发现电商行业的安全与其他普通的网站安全相比除了会遭受常见WEB攻击外,还有一些令人头疼的问题。

01

如业务负责人经常反馈竞争对手网站商品和自己家刚刚上架的商品无论从商品描述还是图片几乎一模一样,而价格也只是低那么一点点,疑似利用价格战争抢客户,通过技术排查发现平台大量的数据存在被非授权爬取,经技术人员反复规避、整顿,也无法完全避免此类现象。

02

随后,平台发起了多起拉新、促活营销活动,产品经理反馈活动期间客服人员都会接到大量电话反馈网络不稳定或者因“手慢”抢不到、下不了单的情况,产品经理初步判定可能是活动太火爆导致的,但在后续的数据跟踪、分析时发现这些活动中存在大量用户,活动过后没有留存和复购行为,进一步通过数据挖掘分析发现这群人疑似“薅羊毛党”......

张先生通过对这些问题的总结,提炼出了几点电商平台的安全需求:

对常见的已知风险和未知风险进行拦截、告警等,针对已知的如SQL注入、XSS等攻击行为实施拦截,具备未知风险防御能力;

在秒杀、抢购等营销活动下识别恶意抢购、盗刷等业务资源抢占行为,有效抵制"薅羊毛"党,解决批量用户注册的问题;

解决由于竞争者对平台商品描述、价格、库存等信息的恶意爬取,而导致的竞争比价。

带着这些安全需求,张先生开始进行市场调研,希望借助于市面上的防护产品的力量,帮助解决电商平台在应用安全和业务安全上的痛点。

其实, 这些痛点并不是张先生的个例,而是互联网行业中普遍存在的情况。大部分的互联网平台业务都存在应用安全和业务安全问题亟待解决的困境。

解决方案—

部署动态防御系统,实现WEB安全、敏感信息、业务安全、账户安全的纵深防御

后经了解,张先生目光聚焦在了嘉韦思动态防御系统产品上,该系统是一款不同于以往传统的WEB防护,是以主动、动态为核心的创新性WEB安全防护产品。

它通过构建和实施动态变换的主动防御策略改变系统形态特征,限制漏洞暴露及被利用的机会,增加攻击实施的攻击难度和成本,结合智能行为分析技术,识别客户端身份与异常行为,保护WEB应用免遭受自动化攻击以及未知风险、实现WEB安全、敏感信息、业务安全、账户安全的纵深防御。

最终,该电商平台采用集群模式部署动态防御系统,进行平台的WEB安全防护,嘉韦思经过该平台一段时间的使用后对张先生做了用户回访。

用户价值—

防爬虫,防未知攻击,降低运营成本......

真实用户从原来的30%提升到70%,业务稳定性达到99.9%

张先生在回访中说道:“动态防护不但实现了传统WEB防护产品对WEB攻击流量的检测、识别、拦截外,它能防御目前比较严重的机器流量行为和未知风险,而且在不影响正常业务访问的前提下,把安全防护进行前置,有效的预防了数据再次被爬虫盗取,可以说是做到了应用安全和业务安全同时兼顾。”该系统在后续的抢购活动中有效抑制了“薅羊毛党”等非法流量,真实用户数量也从原来的30%提升到70%,业务稳定性达到99.9%。

张先生直呼:“这款产品真的太方便了”,他表示动态防御在Web应用安全防护、数据安全保护、交易安全保护上实现高效防护的同时,在使用上也是极易操作的,安全组工作人员不需要维护、调整策略,帮他们极大的降低了运营成本。

嘉韦思动态防御系统支持全场景应用

满足等保2.0背景下的国家安全防控实践要求

此前,公安部网络安全保卫局总工程师郭启全提出“三化六防”新思想和等保2.0中讲到“一个中心、三重防护”的理念,将行业安全的关注点从原来的传统安全,拓展到更加注重主动防御、动态防御、整体防控和精准防护。目前,主动+动态防御理念也得到了企业的广泛关注。

嘉韦思的动态防御系统除了在大型商超平台的应用外,也在政府、教育、金融、医疗等行业领域全面展开,得到了广大用户的高度肯定。该系统支持全场景应用,满足网站、APP、小程序、微信公众号的安全防护需求,将99.9%的自动化攻击高效阻挡于门外。

如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/ZvDQ
如有侵权请联系:admin#unsafe.sh