Desafio
A B2W Digital é composta por algumas das marcas de e-commerce mais bem sucedidas da América Latina. Juntas, elas somam mais de 2 bilhões de visitas por ano e cerca de 17 mi de clientes ativos que confiam na B2W para comprar com comodidade e segurança.
No entanto, proteger os dados e o acesso dos consumidores é algo cada vez mais desafiador devido a:
- ocorrências de fraudes, exposição e roubo de dados de cartões de crédito vêm aumentando – desde o início da pandemia de Covid-19, 53%[1] do total desses eventos no mundo acontecem no Brasil;
- grupos de cibercriminosos que visam empresas de varejo criam ataques de zero day complexos que podem ser lançados a qualquer momento;
- incidentes com DDoS, que aumentaram em 151% no primeiro semestre de 2020 em relação ao mesmo período em 2019[2], ameaçando a disponibilidade de e-commerces no mundo todo; e
- bad bots que atuam com fraudes de cartões de crédito e débito e credential stuffing.
Para a B2W, segurança é um desafio muito complexo devido ao gerenciamento de cada uma de suas plataformas de e-commerce, a qual gera milhões de conexões diárias, e às múltiplas CDNs que a empresa utiliza.
Solução
A B2W incrementou a sua linha defensiva com recursos nativos de Edge da Azion e, com isso, ampliou as possibilidades de monitoramento, mitigação de ataques e coleta de insights em tempo real, e simplificou o seu fluxo de trabalho.
A plataforma de Edge da Azion é aberta, o que permite a integração com os sistemas utilizados pela B2W, inclusive soluções de terceiros. Isso permite que a B2W utilize a Azion para automatizar a segurança de suas aplicações por meio de APIs com:
- monitoramento e detecção automatizados de ataques complexos e de zero day;
- regras de bloqueio avançadas executadas no edge; e
- coleta de dados em tempo real de eventos que ocorrem nas plataformas de e-commerce, os quais são transformados em insights de segurança.
Para isso, a B2W conta com o firewall programável e extensível da Azion, o Edge Firewall, que, por meio dos módulos Network Layer Protection e Web Application Firewall, permite a criação e o gerenciamento simplificado de regras de segurança via APIs.
Essas regras abrangem tanto a camada de rede quanto de aplicação, bem como a construção de código serverless e aplicações executadas no edge. Portanto, cada implantação é validada automaticamente no Edge Firewall, simplificando o fluxo CI/CD e fortalecendo a cultura DevSecOps da B2W.
Além de automatizar sua defesa, a B2W otimizou as práticas de observability com o Data Streaming, criando um fluxo de dados em tempo real integrado com o SIEM, proporcionando uma visão panorâmica e insights imprescindíveis para os experts em segurança da B2W.
Resultados e impactos
A utilização do Azion Edge Firewall trouxe ganhos importantes para a B2W, com destaque para a automatização do seu mecanismo de segurança com a implementação de regras de bloqueio inteligentes, baseadas em scoring, expandida para outras áreas da empresa.
Por exemplo, a B2W explorou as características de programabilidade da Plataforma de Edge da Azion e acelerou a validação de software e aumentou a autonomia dos times de Segurança e Infraestrutura, que podem gerenciar o ambiente sem interferir nas responsabilidades uns dos outros.
Com a automação de bloqueio pelo Edge Firewall, a B2W conseguiu reduzir custos ao implementar regras de contenção no Network Layer Protection que são aplicadas antes de a requisição chegar ao Azion WAF, tornando o custo de bloqueio por request até 6x menor.
A fim de controlar os acessos às suas aplicações de e-commerce, a B2W utiliza Network Lists – tanto da Azion quanto de outras fontes – via API, mantendo listas de endereços de IP atrelados a redes maliciosas, bem como:
- coletar dados de todas as requisições para a sua plataforma de SIEM;
- bloquear, punir ou simplesmente monitorar endereços de IP;
- aplicar regras de acordo com IP, geolocalização, ASN e redes Tor; e
- trazer a base de dados de IP Reputation para complementar as Network Lists.
Essas ações são intensificadas pela inteligência obtida com a coleta de centenas de TB de dados de eventos que ocorrem nas aplicações de e-commerce, permitindo aos experts da B2W:
- elevar a proteção das camadas de rede (3 e 4) e aplicação (7);
- otimizar as práticas de observabilidade;
- aprimorar a auditoria de compliance.
Com a separação das regras de firewall das regras de negócio – caching, cookies, entre outras –, e com a criação de listas de segurança comuns para o ambiente, a operação ficou mais ágil e concisa, facilitando a implementação e manutenção das políticas de segurança.
Sobre a B2W Digital
A B2W (ou Americanas SA) adota uma abordagem única na forma de atender seus clientes, oferecendo uma plataforma física com diversos formatos de lojas, além de contar com uma plataforma digital, com variadas marcas, buscando ser capaz de entregar a melhor experiência de consumo omnichannel do Brasil, oferecendo agilidade, acolhimento, confiança, eficiência, diversidade e competitividade. Além disso, a Companhia conta com um motor de inovação para acelerar as plataformas, construir negócios disruptivos e potencializar diferentes iniciativas. Juntas, essas frentes constituem o Universo Americanas, que é único, flexível e resiliente.
Referências:
- [1] Report | Online criminal activity in Brazil - 2nd quarter / 2020 | Axur
- [2] Cyber Threats & Trends Report: First Half 2020 | Neustar