1 of 20
2 of 20
3 of 20
4 of 20
5 of 20
6 of 20
7 of 20
8 of 20
9 of 20
10 of 20
11 of 20
12 of 20
13 of 20
14 of 20
15 of 20
16 of 20
17 of 20
18 of 20
19 of 20
20 of 20

site

doc

blog

success stories

Netshoes detuvo automáticamente más de 4 millones de amenazas en seis meses con WAF de Azion

Desafío

Netshoes es uno de los sitios web de artículos deportivos más importantes en América Latina: cuenta con alrededor de 54 millones de visitantes únicos por mes. Brindar la mejor experiencia de compra a un gran número de personas implica diversos tipos de desafíos, muchos de ellos relacionados con la seguridad.

El comercio minorista (retail) es, en sí mismo, el sector más afectado por los incidentes de seguridad[1]. Las vulnerabilidades están presentes principalmente en la red interna (54 %), en el comercio electrónico (22 %) y en la nube (20 %)[2], con un 74 % de los ataques dirigidos a los datos de tarjetas de crédito.

Un ataque exitoso tiene un 53 % de posibilidades de causar daños superiores a 2,5 MBRL (millones de reales brasileños)[3] debido a la falta de disponibilidad y al fraude, por ejemplo. Las amenazas complejas de la actualidad requieren que Netshoes utilice funciones de protección inteligentes y sofisticadas.

Con varios productos basados ​​en Edge Computing, la Plataforma de Azion ayuda a Netshoes a crear un entorno de compra seguro para todos los que buscan artículos deportivos de las marcas más respetadas del mundo.

Solución

Netshoes contrató productos y servicios de Azion con el fin de mejorar tanto la seguridad como el desempeño de las aplicaciones, con énfasis en las soluciones Web Application Firewall (WAF) y Edge Firewall, esenciales para expandir el control y monitoreo de amenazas en tiempo real.

WAF es flexible y permite a los equipos de seguridad de Netshoes aplicar estrategias de defensa más avanzadas. Un ejemplo de esto es la creación de múltiples instancias de WAF para implementar políticas dirigidas a amenazas y a puntos de vulnerabilidad específicos.

Con esto, Netshoes puede aprovechar aún más la experiencia de su equipo para crear reglas de firewall en diferentes niveles y las personaliza para:

  • identificar y detener a los bots maliciosos: actualmente, el 24 % del tráfico web está compuesto por bots maliciosos y el 79 % de las empresas no saben cómo distinguirlos[4], pero Netshoes no solo los reconoce sino que también implementa reglas avanzadas para detener sus acciones;
  • proteger API móviles: 45 millones de clientes compran en Netshoes a través de teléfonos inteligentes y WAF desempeña un papel importante para garantizar la seguridad de los datos de los clientes, independientemente del tipo de dispositivo, y
  • prevenir ataques al comercio electrónico: Netshoes utiliza WAF para reforzar la protección de su comercio electrónico, el segundo elemento más explotado en los ataques al retail digital, contra las amenazas enumeradas en el OWASP Top 10 y los ataques de día cero.

Además de los conjuntos de reglas segmentados de WAF de Azion, gestionados por los equipos de Netshoes, las prácticas de control y observabilidad se complementan con el uso de Data Streaming y Network Lists.

Data Streaming puede integrarse con las principales plataformas de gestión de eventos e información de seguridad (SIEM) en el mercado y proporciona registros completos de aplicaciones, así como contenido en tiempo real, lo que es esencial para que Netshoes mejore su línea defensiva.

Las Network Lists, a su vez, facilitan la gestión de las direcciones IP que acceden a la tienda. A través de la plataforma o mediante API, Netshoes tiene la autonomía para crear listas personalizadas y cuenta con listas actualizadas de Azion, como Origin Shield y bloqueo de redes Tor.

Resultados e impacto

En el primer semestre de 2020, Netshoes, a través de WAF, detuvo más de 4 millones de amenazas de forma automatizada, sin afectar el servicio ni el proceso de compra de los millones de clientes que acceden al sitio diariamente.

Entre los ataques detenidos automáticamente en este período, la mayoría fueron SQL Injections, que se encuentra entre los mayores riesgos de seguridad para aplicaciones web de OWASP, y Cross-Site XSS, que también es otro de los mayores riesgos cibernéticos de la actualidad.

Para analizar y desarrollar mecanismos de defensa inteligentes basados ​​en datos, Netshoes recopiló alrededor de 385 TB de registros de eventos en su aplicación con Data Streaming de Azion, al integrarlo en sus plataformas de SIEM.

Mediante el uso de más de 30 edge locations de Azion en todo Brasil, y al crear decenas de edge applications, Netshoes evitó que su infraestructura de origen procesara el 84 % de las solicitudes (200 mil millones, equivalente a 18 mil solicitudes por segundo), lo que mejoró:

  • el desempeño del tiempo de actividad (uptime);
  • la eficiencia en el bloqueo de solicitudes maliciosas;
  • la velocidad de mitigación de ataques DDoS, y
  • el desempeño de la aplicación con latencia ultrabaja.

Las ganancias del procesamiento en el edge provienen de la seguridad de múltiples capas de la red de Azion, que se monitorea las 24 horas del día, los 7 días de la semana, y está preparada para brindar la resiliencia que Netshoes necesita para ofrecer procesos de compras seguros.

Sobre Netshoes

Netshoes es el comercio electrónico de artículos deportivos más grande de América Latina y una de las 100 marcas más prestigiosas de Brasil. Además de su sólida identidad en el mercado, Netshoes fue nombrado el cuarto e-commerce más grande de Brasil y el segundo en la categoría de especialista (pure player) por el Ranking SBVC 2020[5]. Fundado en 2000, Grupo Netshoes es responsable de la gestión de otros 15 e-commerces, como Zattini y Shoestock, además de las tiendas oficiales de la NBA y de los principales clubes de fútbol ​​como Cruzeiro, Palmeiras, São Paulo, Internacional, Corinthians y Vasco da Gama. En términos de tecnología, el ADN digital de Netshoes no es algo menor: es el minorista nacido en línea que más invierte en la transformación digital[6] y es protagonista de varios casos de estudio que involucran estrategias de negocios digitales.