Desafio
A Netshoes é um dos principais sites de lifestyle esportivo da América Latina, com aproximadamente 54 milhões de visitantes únicos por mês. Oferecer a melhor experiência de compra para um público dessa dimensão envolve diversos desafios operacionais, muitos deles relacionados à segurança.
O varejo é uma das indústrias mais impactadas por incidentes de segurança. A maioria das vulnerabilidades está presente na rede interna (54%), no e-commerce (22%) e na nuvem (20%), enquanto 74% dos ataques têm como alvo dados de cartões de crédito.
Um ataque bem-sucedido tem 53% de chance de gerar prejuízos superiores a R$ 2,5 milhões devido à indisponibilidade do serviço ou a fraudes, como credential stuffing e phishing. Diante desse cenário, as ameaças atuais exigem que a Netshoes utilize recursos de proteção cada vez mais inteligentes e sofisticados.
Com recursos de segurança e processamento distribuído, a Azion ajuda a Netshoes a construir um ambiente de compras seguro para milhões de consumidores que procuram artigos esportivos das marcas mais reconhecidas do mundo.
Solução
Para aprimorar tanto a segurança quanto a performance da aplicação, a Netshoes adotou soluções da Azion com foco em Web Application Firewall (WAF) e recursos de segurança distribuída, fundamentais para ampliar o controle e o monitoramento de ameaças em tempo real.
A flexibilidade do WAF permite que os squads de segurança da Netshoes implementem estratégias de defesa mais avançadas. Um exemplo disso é a criação de múltiplas instâncias de WAF para aplicar políticas segmentadas de proteção, direcionadas a ameaças específicas e pontos de vulnerabilidade.
Com essa abordagem, a Netshoes consegue aproveitar ao máximo a expertise de sua equipe para desenvolver regras de firewall em diferentes níveis, personalizando-as para:
- identificar e bloquear bad bots: atualmente, 24% do tráfego da web é composto por bots maliciosos e 79% das empresas não conseguem diferenciá-los. A Netshoes não apenas identifica esses bots, como também implementa regras avançadas para bloquear suas ações;
- proteger APIs mobile: cerca de 45 milhões de clientes acessam a Netshoes por meio de smartphones, e o WAF desempenha um papel fundamental na proteção dos dados dos usuários, independentemente do dispositivo utilizado;
- prevenir ataques ao e-commerce: a Netshoes utiliza o WAF para reforçar a proteção do e-commerce contra vulnerabilidades listadas no OWASP Top 10 e ataques de zero-day.
Além dos conjuntos de regras do Azion WAF gerenciados pelos squads da Netshoes, as práticas de controle e observabilidade são complementadas pelo uso das soluções Data Streaming e Network Lists.
Integrado às principais plataformas de SIEM do mercado, o Data Streaming fornece registros completos da aplicação e dos eventos em tempo real, permitindo que a Netshoes fortaleça continuamente sua estratégia de defesa.
As Network Lists facilitam o gerenciamento dos endereços IP que acessam a loja. Por meio da plataforma ou via APIs, a Netshoes pode criar listas personalizadas e utilizar listas atualizadas automaticamente pela Azion, como bloqueio de redes Tor e outras fontes de inteligência de ameaças.
Resultados a impactos
No primeiro semestre de 2020, a Netshoes bloqueou automaticamente mais de 4 milhões de ameaças por meio do WAF, sem impactar o serviço nem a jornada de compra dos milhões de clientes que acessam o site diariamente.
Entre os ataques mitigados automaticamente nesse período, a maioria consistiu em tentativas de SQL Injection, uma das principais vulnerabilidades de aplicações web segundo o OWASP, e Cross-Site Scripting (XSS), outro dos riscos cibernéticos mais relevantes atualmente.
Para analisar e desenvolver mecanismos de defesa mais inteligentes e baseados em dados, a Netshoes coletou cerca de 385 TB de registros de eventos da aplicação utilizando o Azion Data Streaming integrado às suas plataformas de SIEM.
Utilizando a infraestrutura distribuída da Azion no Brasil e criando dezenas de aplicações na plataforma, a Netshoes reduziu significativamente a carga sobre sua infraestrutura de origem, transferindo 84% do processamento das requisições para a Azion — cerca de 200 bilhões de requisições, o equivalente a 18 mil requisições por segundo.
Isso resultou em melhorias significativas em:
- disponibilidade e uptime da plataforma;
- eficiência no bloqueio de requisições maliciosas;
- velocidade de mitigação de ataques DDoS;
- performance da aplicação com latência ultrabaixa.
Esses ganhos são possíveis graças à arquitetura de segurança multicamadas da infraestrutura da Azion, monitorada 24/7 e projetada para fornecer a resiliência necessária para garantir jornadas de compra seguras.
Sobre a Netshoes
Netshoes é o maior e-commerce de lifestyle esportivo da América Latina e uma das 100 marcas mais prestigiadas do Brasil. Além de sua forte presença no mercado, a empresa foi classificada como o quarto maior e-commerce brasileiro e o segundo maior pure player no Ranking SBVC 2020.
Fundado em 2000, o Grupo Netshoes gerencia mais de 15 e-commerces, incluindo Zattini e Shoestock, além das lojas oficiais da NBA e de grandes clubes de futebol como Cruzeiro, Palmeiras, São Paulo, Internacional, Corinthians e Vasco da Gama.
Em termos de tecnologia, o DNA digital da Netshoes é central para sua estratégia. A empresa é uma das varejistas nativas digitais que mais investem em transformação digital, sendo frequentemente citada em estudos de caso sobre estratégias de negócios digitais.