Salesforce Commerce Cloud Security를 위한 F5 Distributed Cloud Bot Defense
전자상거래 웹사이트를 만들고 배포하는 것은 그 어느 때보다 쉬워졌습니다. 안타깝게도 전자상거래 사이트는 사이버범죄자들에게 그 어느 때보다 매력적인 곳이 되었으며, 끊임없이 변화하는 위협, 그 중 대부분이 봇 공격 입니다. 좋은 소식은 전 세계 대형, 중형, 소규모를 불문하고 선두적인 소매업체에서 사용하는 업계 최고의 솔루션인 F5 Distributed Cloud Bot Defense가 이제 Salesforce Commerce Cloud LINK Marketplace 에서 제공된다는 것입니다.
미국 연방거래위원회(FTC)의 데이터에 따르면 2020년에 소비자로부터 210만 건 이상의 사기 신고가 접수되었습니다. 해당 보고서 전체에서 가장 흔하게 언급된 사기 유형은 사기성 사기였으며, 그 다음이 온라인 쇼핑이었습니다. 전체적으로 소비자들은 2019년 18억 달러에서 33억 달러가 넘는 손실을 보고했습니다. 2020년 손실 중 약 12억 달러가 사기성 사기에서 발생했고, 온라인 쇼핑으로 인한 손실은 약 2억 4,600만 달러였습니다. 그리고 이는 FTC에 보고된 사례일 뿐입니다.
고객을 보호하는 것 외에도 전자상거래 운영자는 계정 인수(ATO), 지적 재산권 도용, 민감한 데이터 노출, 결제 남용 등 다양한 위협으로부터 스스로를 보호해야 합니다. 위협 목록은 날이 갈수록 늘어나고 있습니다.
모든 규모의 기업을 위한 B2C 및 B2B 상거래를 가능하게 하는 데 있어 Salesforce Commerce Cloud(SFCC)는 수천 개의 기업이 클라우드 기반 플랫폼을 통해 고객과 거래하도록 돕고 있으며, 이 플랫폼은 "브랜드가 모바일, 소셜, 웹, 매장 등 모든 채널에서 지능적이고 통합된 구매 경험을 만들 수 있도록 지원합니다."
SFCC는 해당 플랫폼이 연간 210억 달러의 총 상품 가치를 처리하고 매달 5억 건 이상의 개별 쇼핑객 사이트 방문을 지원한다고 보고했습니다. 이러한 모든 활동은 대기업과 소기업 모두에서 일어나고 있습니다. 그러나 소매업체의 규모에 관계없이 Salesforce Commerce Cloud를 위한 Distributed Cloud Bot Defense는 세계 최대 규모의 소매업체, 은행 및 항공사를 방어하는 봇 보호 솔루션을 제공합니다.
회사의 전자상거래 채널이 어떤 플랫폼에 배포되었는지와 관계없이 일일 로그인 시도의 90% 이상이 인간이 아닌 방문자, 즉 봇 기반 트래픽인 것은 드문 일이 아닙니다. 봇 공격 트래픽의 경우 이러한 봇은 이미 야생에 있는 수백만 개의 도난 및 유출된 자격 증명을 차례로 반복하며 전자 상거래 플랫폼에 사용자 이름과 비밀번호 조합을 던지고 그 중 아주 작은 부분이라도 통과하기를 바랍니다.
이는 신임장 정보 유출 이라고 알려진 과정이며 비용이 많이 들 수 있습니다. 이러한 모든 자동 로그인 시도는 대역폭과 애플리케이션 리소스를 꾸준히 소모합니다. 해당 봇 중 하나가 도용한 자격 증명을 사용해 로그인하여 계정 인수(ATO)가 발생하는 경우, 상황은 더욱 악화될 수 있습니다.
F5는 모든 종류의 유해한 봇 기반 네트워크 트래픽을 식별하고 리소스가 소모되거나 더 나쁜 상황이 발생하기 전에 차단하는 혁신적인 서비스를 제공합니다. Distributed Cloud Bot Defense는 SFCC 전용 F5 인증 카트리지를 통해 Salesforce Commerce Cloud(SFCC)에 빠르고 쉽게 통합되므로 전자상거래 플랫폼을 보호하는 데 완벽하게 적합합니다.
분산형 클라우드 봇 방어는 대규모 사기를 초래할 수 있는 정교한 공격으로부터 웹, 모바일 애플리케이션 및 API 엔드포인트를 보호합니다. 이 솔루션은 애플리케이션 요청이 사기성 출처에서 온 것인지 실시간으로 판단하여 요청을 차단, 리디렉션, 플래그 지정하는 등 기업이 지정한 조치를 취합니다.
Distributed Cloud Bot Defense는 세계 최대 규모의 기업을 방어한 수년간의 경험과 함께 머신 러닝을 활용하기 때문에 업계에서 두각을 나타냈습니다. 즉, 수많은 공격 시도에서 매우 자세한 데이터를 방대한 양으로 수집했다는 의미입니다. 이러한 모든 경험을 바탕으로 Distributed Cloud Bot Defense는 특정 요청이 봇이나 사람에 의해 이루어졌는지 식별하는 것뿐만 아니라 해당 요청이 악의적 의도로 이루어졌는지 선의의 의도로 이루어졌는지 여부를 식별하는 데 있어서도 타의 추종을 불허하는 전문 지식을 보유하고 있습니다.
분산 클라우드 봇 방어 구축에는 관찰과 완화라는 두 단계가 있습니다. 관찰 단계에서는 Distributed Cloud Bot Defense가 고급 원격 측정 데이터를 수집하여 방어 엔진이 공격을 탐지하도록 정보를 제공하고 훈련합니다. 이러한 신호는 웹 애플리케이션의 JavaScript를 통해 수집되고, 네이티브 모바일 애플리케이션의 SDK를 통해 수집됩니다.
분산 클라우드 봇 방어 엔진은 모든 분산 클라우드 봇 방어 배포의 의사 결정 구성 요소이며 전체 완화 단계의 핵심입니다. 이는 전자상거래 플랫폼을 표적으로 삼는 자동화된 거래를 탐지하고 완화합니다. 사기성 요청을 막기 위해 수백 개의 신호를 처리하여 애플리케이션, 네트워크, 브라우저 및 사용자 수준에서 자동화를 감지합니다.
그림 1 : Distributed Cloud Bot Defense는 Salesforce Commerce Cloud 플랫폼의 소매 사이트를 보호하기 위해 API 기반 전자상거래 보안을 제공합니다.
AI와 ML로 구동되는 Distributed Cloud Bot Defense는 모든 거래를 분석하고 모든 공격 캠페인을 면밀히 조사하여 향후 시도를 사전에 인식합니다. 공격 캠페인이 어떤 식으로든 F5를 우회하려고 시도하는 경우(일반적으로 소프트웨어 업데이트 또는 새로운 프록시 활용) Distributed Cloud Bot Defense는 수백 가지 다른 신호를 기반으로 해당 캠페인을 식별할 수 있습니다. 가장 중요한 점은, 한 고객에게 새로운 공격 기술이 관찰되는 즉시 새로운 대응책이 자동으로 배포되고 세부 정보가 공유되어 다른 모든 F5 고객도 즉시 예방 접종을 받는다는 것입니다.
분산형 클라우드 봇 방어는 즉각적이고 방해 없이 작동합니다. 플랫폼이 실시간으로 애플리케이션 요청이 사기 출처에서 온 것이라고 판단하는 경우 해당 출처는 즉시 차단됩니다. 합법적인 인간 사용자에게 비효율적인 마찰(예: 다중 요소 인증, CAPTCHA 등)을 도입하지 않고도 가능합니다. Distributed Cloud Bot Defense는 SFCC에서 F5의 인증 카트리지를 통해 관리형 서비스로 제공되며, 대기업, 중견기업, 중소기업을 포함한 모든 소매업체에 업계 최고의 봇 관리 및 보호 기능을 제공합니다.
전자상거래 사기는 B2C 및 B2B 사업자가 고객을 보호해야 하는 실제적이고 점차 심각해지는 위협입니다. 하지만 이러한 보호 조치가 동일한 고객을 잃을 위험으로 인해 사용자 경험에 부정적인 영향을 미쳐서는 안 됩니다. Salesforce Commerce Cloud(SFCC)가 종단 간 전자상거래 경험을 구축하고 운영하는 데 도움이 되는 반면, F5 Distributed Cloud Bot Defense는 백그라운드에서 작동하여 자동화된 사기성 봇 공격 트래픽에 대한 노출을 획기적으로 줄이고 사용자 경험의 마찰을 제거하여 전자상거래 관련 서비스의 보안을 보장하는 데 도움을 줍니다.
Distributed Cloud Bot Defense에 대한 자세한 내용을 알아보려면 f5.com을 방문하여 SFCC Marketplace에서 카트리지를 다운로드하세요 .
기술 제휴: Salesforce Commerce Cloud를 위한 F5 분산 클라우드 봇 방어
https://www.f5.com/partners/technology-alliances/salesforce-commerce-cloud
라이트보드 레슨: Salesforce Commerce Cloud를 위한 F5 분산 클라우드 봇 방어
https://youtu.be/YZPdUSuUvko
DevCentral 기사:
- https://community.f5.com/t5/technical-articles/f5-bot-defense-for-salesforce-commerce-cloud-protect-your-e/ta-p/287269
- https://community.f5.com/t5/technical-articles/f5-bot-defense-for-salesforce-commerce-cloud-protect-your-e/ta-p/287284
사례 연구: 소매업체가 신발 로봇 스파이크를 해결하고 사기, 마찰 및 가짜를 수정:
https://www.f5.com/customer-stories/retailer-solves-shoe-bot-spikes-fixes-fraud-friction-and-fake
마찰 없이 사기를 막으세요: 최신 사이버 공격을 탐지하고 격파하는 방법:
https://www.f5.com/resources/library/security/ecommerce
F5 Distributed Cloud Bot Defense 솔루션 개요:
https://www.f5.com/pdf/solution-overview/f5-distributed-cloud-bot-defense-overview.pdf
저작권 © 2022 F5, Inc. 모든 권리는 보호됩니다. 그래픽, 텍스트, 그림, 사진, 레이아웃 등을 포함하되 이에 국한되지 않는 이 웹사이트에 게시된 자료("콘텐츠")는 미국 저작권법에 의해 보호됩니다. F5 Networks, Inc.의 사전 서면 동의 없이는 이 웹사이트의 어떠한 내용도 복사, 복제, 교환, 전송, 이전, 수정, 업로드, 다운로드, 게시, 판매 또는 배포될 수 없습니다.
- 전자상거래 사이트는 지속적으로 사이버 공격에 노출됩니다.
- 사기는 계정 인수(ATO), 자격 증명 채우기 공격, 체크아웃 남용, 웹 스크래핑, 재고 거부 등 모든 형태로 나타납니다.
- 사이버 범죄자에게 전자상거래 대상은 수익성이 높을 수 있습니다. 결제 사기로 인한 손실만 연간 200억 달러를 넘을 것으로 예상됩니다.
- 공격자는 일반적으로 모든 채널(웹 및 모바일)을 통해 이동합니다. 신뢰할 수 있는 보안 솔루션도 마찬가지여야 합니다.
- 사기와 남용을 근절하세요
- 평판 손상 방지
- 사용자 경험의 마찰을 제거하세요
- 애플리케이션 성능 및 가동 시간 개선
- 보안 강화
Salesforce Commerce Cloud(SFCC)용 F5 카트리지는 SFCC 플랫폼과 Distributed Cloud Bot Defense를 연결하는 통합 모듈입니다. 선택된 원격 측정 데이터를 Distributed Cloud Bot Defense로 보내고 추론 응답을 수신하며 완화 조치를 수행합니다. 이 솔루션과 그 이점은 다음을 포함한 다양한 공격으로부터 전자상거래 웹사이트를 보호하도록 설계되었습니다.
- 계정 인수: 사기꾼이 수백만 개의 도난된 자격 증명을 귀하의 로그인 애플리케이션에서 빠르게 테스트하는 것을 막고, 사기성 트래픽이 고객 계정을 인수할 기회를 갖기 전에 제거합니다.
- 체크아웃 남용: 재고 거부라고도 함. 봇 공격은 온라인 결제를 표적으로 삼을 수 있는데, 여러 제품을 장바구니에 담아 판매 가능한 제품을 고갈시켜 다른 소매업체에게 이점을 제공하려는 시도이지만, 동시에 합법적인 고객을 좌절시키려는 시도이기도 합니다.
- 웹 스크래핑: 제품 정보와 가격은 종종 경쟁 우위의 원천이 됩니다. 민감한 데이터를 보호하기 위해 자동화된 스크래퍼와 집계기가 귀하의 웹사이트에서 데이터를 수집하는 방식을 제어합니다.
Distributed Cloud Bot Defense는 소프트웨어 보안을 개선하기 위해 노력하는 비영리 재단인 OWASP(Open Web Application Security Project®) 가 발견한 이러한 불법적인 전술과 기타 사악한 전술로부터 보호합니다.