Défense distribuée des bots dans le cloud F5 pour la sécurité de Salesforce Commerce Cloud
Les sites de commerce électronique sont plus faciles que jamais à créer et à déployer. Malheureusement, les sites de commerce électronique sont également plus attrayants que jamais pour les cybercriminels qui les ciblent avec un éventail de menaces en constante évolution, dont la plupart sont des attaques de robots . La bonne nouvelle est que F5 Distributed Cloud Bot Defense, la solution leader du secteur utilisée par les plus grands détaillants du monde, qu'ils soient grands, moyens ou petits, est désormais disponible sur Salesforce Commerce Cloud LINK Marketplace .
Les données de la Federal Trade Commission (FTC) des États-Unis montrent que l'agence a reçu plus de 2,1 millions de rapports de fraude de la part des consommateurs en 2020. Dans tous ces rapports, les escroqueries par usurpation d’identité étaient la catégorie de fraude la plus fréquemment citée, suivies des achats en ligne. Au total, les consommateurs ont déclaré avoir perdu plus de 3,3 milliards de dollars, contre 1,8 milliard de dollars en 2019. Près de 1,2 milliard de dollars des pertes de 2020 provenaient d’escroqueries par usurpation d’identité, tandis que les achats en ligne ont représenté environ 246 millions de dollars de pertes. Et ce ne sont là que ceux qui ont été signalés à la FTC.
En plus de protéger les clients, les opérateurs de commerce électronique doivent également se protéger eux-mêmes contre la prise de contrôle de compte (ATO), le vol de propriété intellectuelle, l'exposition de données sensibles, les abus de paiement et bien plus encore, car la liste des menaces s'allonge chaque jour.
En matière de développement du commerce B2C et B2B pour les entreprises de toutes tailles, Salesforce Commerce Cloud (SFCC) aide des milliers d'entreprises à effectuer des transactions avec leurs clients via une plateforme basée sur le cloud qui « permet aux marques de créer des expériences d'achat intelligentes et unifiées sur tous les canaux : mobile, réseaux sociaux, Web et magasin ».
SFCC rapporte que sa plateforme traite 21 milliards de dollars de valeur brute de marchandises par an et prend en charge plus d'un demi-milliard de visites de sites d'acheteurs individuels chaque mois. Toutes ces activités se déroulent aussi bien dans les grandes que dans les petites entreprises. Mais quelle que soit la taille du détaillant, Distributed Cloud Bot Defense pour Salesforce Commerce Cloud fournit des solutions de protection contre les robots qui défendent les plus grands détaillants, banques et compagnies aériennes du monde.
Quelle que soit la plateforme sur laquelle sont déployés les canaux de commerce électronique d'une entreprise, il n'est pas rare que 90 % ou plus des tentatives de connexion quotidiennes proviennent de visiteurs non humains, c'est-à-dire de trafic basé sur des robots. Dans le cas d'un trafic d'attaque de robots, ces robots parcourent simplement les millions et millions d'identifiants volés et divulgués qui sont déjà dans la nature, l'un après l'autre, encore et encore, en lançant des combinaisons de nom d'utilisateur et de mot de passe sur votre plateforme de commerce électronique et en espérant qu'une infime fraction parvienne à passer.
Il s’agit d’un processus connu sous le nom de « bourrage d’informations d’identification » et il peut être coûteux. Toutes ces tentatives de connexion automatisées représentent une perte constante et régulière de bande passante et de ressources applicatives. Les choses peuvent aller de mal en pis si l’un de ces robots parvient à se connecter avec des informations d’identification volées, ce qui entraîne une prise de contrôle de compte (ATO).
F5 propose un service innovant qui identifie tout type de trafic réseau nuisible généré par des robots et le bloque avant qu'il ne devienne une charge pour vos ressources (ou pire). Distributed Cloud Bot Defense est parfaitement adapté à la protection des plateformes de commerce électronique puisqu'il s'intègre rapidement et facilement à Salesforce Commerce Cloud (SFCC) via la cartouche certifiée de F5 uniquement pour SFCC.
Distributed Cloud Bot Defense protège les applications Web, mobiles et les points de terminaison API contre les attaques sophistiquées qui entraîneraient autrement une fraude à grande échelle. Il détermine en temps réel si une demande d'application provient d'une source frauduleuse et prend ensuite une action spécifiée par l'entreprise, telle que le blocage, la redirection ou le signalement de la demande.
Distributed Cloud Bot Defense se démarque dans le secteur car il s’appuie sur l’apprentissage automatique associé à des années d’expérience dans la défense des plus grandes entreprises du monde, ce qui signifie qu’il a recueilli de vastes quantités de données très détaillées provenant d’innombrables tentatives d’attaques. Avec toute cette expérience, Distributed Cloud Bot Defense possède une expertise inégalée non seulement pour identifier si une demande donnée a été faite par un robot ou un humain, mais également si la demande a été faite avec une intention malveillante ou bénigne.
Le déploiement d'un Distributed Cloud Bot Defense se déroule en deux étapes : l'observation et l'atténuation. Au stade de l'observation, Distributed Cloud Bot Defense collecte une télémétrie avancée pour informer et former le moteur de défense à détecter les attaques. Ces signaux sont collectés via JavaScript sur les applications Web et un SDK sur les applications mobiles natives.
Le moteur de défense des bots cloud distribués est le composant de prise de décision de tout déploiement de défense des bots cloud distribués et est essentiel à l'ensemble de la phase d'atténuation. Il détecte et atténue les transactions automatisées visant la plateforme de commerce électronique. Pour détourner les demandes frauduleuses, il traite des centaines de signaux pour détecter l’automatisation au niveau de l’application, du réseau, du navigateur et de l’utilisateur.
Figure 1 : Distributed Cloud Bot Defense offre une sécurité de commerce électronique basée sur API pour protéger les sites de vente au détail sur la plate-forme Salesforce Commerce Cloud.
Alimenté par l'IA et le ML, Distributed Cloud Bot Defense analyse toutes les transactions et examine chaque campagne d'attaque pour reconnaître de manière proactive les tentatives futures. Lorsqu'une campagne d'attaque tente de contourner F5 en se réorganisant d'une manière ou d'une autre (généralement en mettant à jour un logiciel ou en exploitant de nouveaux proxys), Distributed Cloud Bot Defense est toujours en mesure d'identifier la campagne sur la base de centaines d'autres signaux. Plus important encore, dès qu’une nouvelle technique d’attaque est observée sur un client, de nouvelles contre-mesures sont automatiquement déployées et les détails sont partagés afin que tous les autres clients F5 soient également immédiatement vaccinés.
Distributed Cloud Bot Defense fonctionne instantanément et discrètement. Chaque fois que la plateforme détermine en temps réel qu’une demande d’application provient d’une source frauduleuse, cette source est immédiatement bloquée, le tout sans introduire de frictions inefficaces (comme le besoin d’authentification multifacteur, CAPTCHA, etc.) pour légitimer les utilisateurs humains. Distributed Cloud Bot Defense est fourni en tant que service géré via la cartouche certifiée de F5 sur SFCC, qui apporte une gestion et une protection des robots de pointe à tous les détaillants, qu'ils soient grands, moyens ou petits.
La fraude dans le commerce électronique est une menace réelle et croissante contre laquelle les opérateurs B2C et B2B doivent protéger leurs clients, mais ces protections ne doivent pas avoir d’impact négatif sur l’expérience utilisateur au risque de perdre ces mêmes clients. Alors que Salesforce Commerce Cloud (SFCC) vous aide à déployer et à exploiter votre expérience de commerce électronique de bout en bout, F5 Distributed Cloud Bot Defense est disponible pour travailler en coulisses afin de réduire considérablement l'exposition au trafic d'attaques de robots automatisées et frauduleuses, et de contribuer à garantir la sécurité de vos services liés au commerce électronique en supprimant les frictions de l'expérience utilisateur.
Pour plus d'informations sur Distributed Cloud Bot Defense, visitez f5.com et téléchargez la cartouche depuis la place de marché SFCC.
Alliance technologique : Défense distribuée des robots cloud F5 pour Salesforce Commerce Cloud
https://www.f5.com/partners/technology-alliances/salesforce-commerce-cloud
Cours de Lightboard : Défense distribuée des robots cloud F5 pour Salesforce Commerce Cloud
https://youtu.be/YZPdUSuUvko
Articles de DevCentral :
- https://community.f5.com/t5/technical-articles/f5-bot-defense-for-salesforce-commerce-cloud-protect-your-e/ta-p/287269
- https://community.f5.com/t5/technical-articles/f5-bot-defense-for-salesforce-commerce-cloud-protect-your-e/ta-p/287284
Étude de cas : Un détaillant résout les problèmes de pics causés par les robots de chaussures, corrige les fraudes, les frictions et les contrefaçons :
https://www.f5.com/customer-stories/retailer-solves-shoe-bot-spikes-fixes-fraud-friction-and-fake
Arrêtez la fraude sans friction : Comment détecter et vaincre les cyberattaques modernes :
https://www.f5.com/resources/library/security/ecommerce
Présentation de la solution F5 Distributed Cloud Bot Defense :
https://www.f5.com/pdf/solution-overview/f5-distributed-cloud-bot-defense-overview.pdf
Droits d'auteur © 2022 F5, Inc. Tous droits réservés. Le matériel publié sur ce site Web, y compris, mais sans s'y limiter, les graphiques, le texte, les images, les photographies, la mise en page et autres (« Contenu »), est protégé par la loi américaine sur le droit d'auteur. Aucun contenu de ce site Web ne peut être copié, reproduit, échangé, transmis, transféré, modifié, téléchargé, téléchargé, publié, vendu ou distribué sans le consentement écrit préalable de F5 Networks, Inc.
- Les sites de commerce électronique sont continuellement exposés aux cyberattaques
- La fraude prend toutes les formes, y compris la prise de contrôle de compte (ATO), les attaques de vol d'identifiants, les abus de paiement, le scraping Web, le déni d'inventaire, etc.
- Pour les cybercriminels, les cibles du commerce électronique peuvent être lucratives ; les pertes dues à la fraude aux paiements devraient dépasser les 20 milliards de dollars par an.
- Les attaquants se déplacent généralement sur tous les canaux (Web et mobile) ; une solution de sécurité fiable doit faire de même
- Réduire la fraude et les abus
- Prévenir les atteintes à la réputation
- Éliminez les frictions de l'expérience utilisateur
- Améliorer les performances et la disponibilité des applications
- Augmenter la sécurité
La cartouche F5 pour Salesforce Commerce Cloud (SFCC) est le module d'intégration qui connecte la plate-forme SFCC et Distributed Cloud Bot Defense. Il envoie la télémétrie sélectionnée à Distributed Cloud Bot Defense, reçoit les réponses d'inférence et effectue l'atténuation. La solution et ses avantages sont conçus pour protéger les sites Web de commerce électronique contre une gamme d'attaques, notamment :
- Prise de contrôle de compte : Empêche les fraudeurs de tester rapidement des millions d’identifiants volés par rapport à vos applications de connexion, éliminant ainsi le trafic frauduleux avant qu’ils n’aient la possibilité de prendre le contrôle des comptes de vos clients.
- Abus de paiement : Également connu sous le nom de déni d'inventaire. Les attaques de robots peuvent cibler les paiements en ligne, où ils ajoutent plusieurs produits au panier, épuisant ainsi les produits disponibles dans le but d'offrir un avantage à un autre détaillant, tout en frustrant vos clients légitimes.
- Scraping Web : Les informations sur les produits et leurs prix constituent souvent une source d’avantage concurrentiel. Contrôlez la manière dont les scrapers et agrégateurs automatisés collectent les données de votre site Web afin de protéger les données sensibles.
Distributed Cloud Bot Defense protège contre ces tactiques néfastes et d'autres identifiées par l' Open Web Application Security Project® (OWASP) , une fondation à but non lucratif qui œuvre pour améliorer la sécurité des logiciels.