案例研究

使用 F5 分布式云服务保护 SAP 客户数据云

网络上的企业对消费者 (B2C) 卖家规模各异,形式各异——从零售和电子商务网站到金融服务、旅游和酒店以及数字服务行业的众多在线提供商,仅举几例。 几乎所有在线 B2C 公司都有一个共同点,那就是希望“了解客户”。 提供基于消费者的服务或产品的在线企业通常需要做的不仅仅是销售价值和利益——它们需要与消费者建立情感联系。 由于每个顾客都是不同的,建立情感联系首先要提供个性化的体验。

对于 B2C 企业来说,了解客户首先需要识别每个访客,而这需要强大的身份和访问权限管理(IAM) 解决方案。 SAP 是著名的客户 IAM ( CIAM ) 和面向 B2C 企业的通用商务产品和服务的领导者。 此用例探讨了这些企业如何将 F5 分布式云服务引入其防御体系,以优化其对 SAP 的投资并提供安全、无摩擦的客户体验。

SAP 面向 B2C 业务

SAP 客户数据云 (CDC) 是一种多租户 SaaS 解决方案,提供存储和管理消费者资料的能力。 SAP 为其大约 700 个客户(并且还在不断增长)托管了超过 14 亿个消费者身份,每月存储 16 亿笔同意交易(满足 GDPR、CCPA 和 LGPD 等区域数据保护法的要求),为 40 亿台消费设备提供集成,并且每月处理大约 180 亿次 API 调用。 对于许多在线 B2C 企业来说,他们的 SAP CDC 解决方案是整体 SAP 客户体验解决方案的一部分,该解决方案还包括 SAP Commerce Cloud 。 除其他功能外,SAP CDC 还提供:

  • 客户身份(CIAM):包括注册即服务、社交登录和身份联合/SSO(单点登录)
  • 客户同意:对 GDPR 各个方面的同意管理,例如控制对消费者资料数据的访问、导出甚至删除的能力
  • 客户资料:包括同意和其他偏好的记录;编排和治理;数据分析;以及报告

分布式云机器人防御,用于机器人和欺诈防护

B2C 网站每天 90% 或更多的登录尝试来自非人类访问者,这并不罕见。 不幸的是,在这种情况下非人类通常意味着基于机器人的攻击流量。 这些廉价而基本的机器人只是简单地循环浏览数以百万计的已在野外被盗和泄露的凭证,一个接一个,一遍又一遍,将用户名和密码组合扔到你的商业网站上,希望哪怕是一小部分也能成功。

 

这个过程被称为“撞库攻击” ,成本可能很高。 所有这些自动登录尝试都会持续不断地消耗带宽和服务器资源;如果其中一个机器人能够使用被盗的凭证登录,情况可能会变得越来越糟。

F5 分布式云机器人防御可以识别各种有害的、机器人驱动的网络流量,并在其耗尽您的资源(或造成更糟的情况)之前将其阻止。

分布式云机器人防御部署有两个阶段:观察模式和缓解模式。 在观察模式下,分布式云机器人防御会分析应用的所有传入请求的日志,以识别威胁并定制防御解决方案。

图1: 分布式云机器人防御通过监控发现,90%的登录流量来自机器人攻击。
图1: 分布式云机器人防御通过监控发现,90%的登录流量来自机器人攻击。
图2: 一旦部署,分布式云机器人防御可将来自机器人攻击的登录流量减少 90%。
图2: 一旦部署,分布式云机器人防御可将来自机器人攻击的登录流量减少 90%。

在分析日志以区分恶意和合法登录流量的同时,分布式云机器人防御还能够将请求分类为攻击活动进行分析。 如果攻击活动试图通过某种方式重新调整(通常是通过更新软件或利用新的代理)来绕过 F5,分布式云机器人防御仍然能够根据数百个其他信号识别该活动。

一旦 F5 和客户确信合法的人类流量不会受到影响,就可以激活缓解模式。 从那时起,当实时确定应用请求来自欺诈来源时,该来源将立即被阻止 - 所有这些都不会给合法人类用户带来任何摩擦(例如需要多因素身份验证、CAPTCHA 等)。

概括

网络欺诈是一个真实存在且日益严重的威胁,B2C 企业需要保护其客户免受其害,但这些保护措施绝不能给用户体验带来阻碍,以免失去这些客户。 SAP 可帮助您将未知用户转变为已知的忠实客户,而 F5 分布式云机器人防御则在后台工作,大幅减少您受到自动欺诈性机器人攻击流量的影响,帮助确保您的 SAP 服务的安全,并消除用户体验中的摩擦。

有关 F5 分布式云机器人防御的更多信息,请访问f5.com/cloud/products/bot-defense

防范机器人和其他自动攻击

分布式云机器人防御可防御最复杂的撞库攻击和帐户接管攻击、信用卡欺诈以及其余OWASP 自动威胁(针对 Webapplications) ,其中包括:

  • 帐户接管: 阻止欺诈者在您的登录应用上快速测试被盗凭证,这意味着他们无法首先接管帐户。
  • 抓取: 控制抓取工具和聚合器如何从您的网站收集数据,从而让您保护敏感数据并管理基础设施成本。 
  • 梳理: 防止犯罪分子使用您的结帐页面来验证被盗的信用卡。
  • 礼品卡攻击: 确保礼品卡的价值、忠诚度积分和其他储值仍留在客户手中。
  • 库存囤积: 确保您的活动和最受欢迎的商品直接出售给您的客户,而不是黄牛。
  • 营销欺诈: 确保您的业务分析和营销支出基于无机器人数据。

 

挑战
  • 数字化转型使组织面临新的威胁和新类型的攻击,包括业务滥用和电子商务欺诈
  • 对于网络犯罪分子来说,应用程序是最有利可图的目标类别——到 2023 年,网络欺诈损失预计将超过 480 亿美元
  • 当网络攻击被阻止时,攻击者会迅速转向其他渠道,例如移动应用;任何安全解决方案都必须解决所有平台的问题
好处
  • 消除欺诈和滥用
  • 防止声誉受损
  • 消除用户体验中的摩擦
  • 提高应用性能和正常运行时间
  • 提高安全性