Notifica sugli acquisti per le festività del 2016

Autore: Benjamin Brown

Analisi riassuntiva

Il periodo degli acquisti per le festività del 2016 si avvicina rapidamente. Sempre più spesso i consumatori scelgono di fare acquisti online anziché affrontare la pazza folla nei negozi fisici. Questo è dunque un ottimo momento per esaminare le potenziali minacce alle proprietà digitali dei retailer e le misure disponibili per proteggersi. Per prima cosa dovrete farvi un'idea del traffico legittimo previsto e delle sue inevitabili variazioni nel tempo. Insieme al traffico degli acquirenti, dovrete anche prepararvi alle potenziali ondate di traffico dannoso, come attacchi DDoS (Distributed Denial of Service), crawler, scraper, spammer, scalper, account checker, hijacking del DNS (sistema dei nomi di dominio) e diffusione di malware.

Tendenze storiche del traffico e flash mob

Con il passaggio degli acquirenti ai negozi digitali (illustrato nella figura seguente) è importante esaminare più nei dettagli le loro abitudini di acquisto. La modalità di acquisto non è l'unico fattore a cambiare: si sta spostando anche il momento degli acquisti. La ricerca sul periodo festivo del 2015 della National Retail Federation negli Stati Uniti mostra che tra i consumatori che hanno fatto acquisti nel periodo della festa del Ringraziamento, 41 milioni hanno detto di avere acquistato online proprio quel giorno (40%). Anche se i retailer si concentrano normalmente sul Black Friday, il week-end successivo e il Cyber Monday, ora è importante che non trascurino la possibilità di un aumento di traffico il giorno stesso del Ringraziamento. In caso contrario potrebbero finire sopraffatti dal traffico legittimo che non sono attrezzati per gestire.

Holiday Threat Advisory NRF

Il traffico dei veri acquirenti non scorre sempre secondo schemi uniformi o prevedibili, quindi per i negozi dei retailer online è essenziale essere pronti per affrontare flash mob, picchi o ondate di traffico legittimo che possono assomigliare molto ad attacchi DDoS. Un modo per distinguerli è esaminare il rapporto tra client e richieste. Poiché un flash mob è composto da esseri umani che interagiscono con la proprietà digitale, si registrerà un numero relativamente basso di richieste con un numero elevato di client. Al contrario, la maggior parte degli attacchi DDoS risulta composta da un grande numero di richieste per client con un numero medio-alto di client. Un modo per gestire efficacemente i flash mob è prevedere quali contenuti saranno più richiesti e configurare caching e offload efficienti. Anche l'uso strategico di contenuti stabili che i flash mob possono richiedere in massa può ridurre notevolmente il carico sul sito. Se siete clienti Akamai, potete contattare il vostro account team per assistenza nel valutare e ottimizzare la configurazione del vostro sito per prepararlo a un evento di questo tipo.

DDoS

A parte le ondate di traffico legittimo, i retailer devono essere anche pronti ad affrontare il traffico dannoso causato da un attacco DDoS. Potrebbero essere giovani hacker "black hat" in cerca di fama, come Poodle Corp e Lizard Squad (una schermata del loro strumento per attacchi DDoS è illustrata di seguito), oppure attivisti politici, come gli "hacktivist" di Anonymous. Potrebbe essere una ritorsione per i recenti attacchi alle banche russe da parte di operatori dell'Europa orientale. Un attacco DDoS può anche fungere da distrazione o copertura per il vero obiettivo dell'aggressore, come il controllo degli account o l'esfiltrazione di dati.

Un valido primo passo per la protezione dagli attacchi DDoS può consistere nell'implementare un WAF (Web Application Firewall) tra il vostro sito web e il resto del mondo. Dovrete assicurarvi di disporre dei set di regole più aggiornati e rivedere le vostre regole attive per garantirne l'allineamento alla vostra configurazione e al vostro portafoglio di proprietà. L'applicazione di regole di limitazione della velocità deve essere conforme al tipo di traffico previsto. Potreste ad esempio bloccare il traffico proveniente da aree geografiche non corrispondenti al vostro segmento di pubblico target. Potreste anche decidere di bloccare il traffico indirizzato attraverso proxy anonimi noti. Inoltre le aziende dovrebbero rivedere il proprio livello corrente di affidabilità del DNS e valutare l'opportunità di utilizzare un provider DNS aggiuntivo o di backup. Un'importante lezione del recente attacco al DNS gestito da Dyn è che la centralizzazione dei DNS apre la strada a scenari catastrofici. Preparate in anticipo un playbook con i possibili scenari di attacco e le manovre difensive applicabili a disposizione del vostro team. Perfezionate questo playbook svolgendo esercitazioni a tavolino e scenari di attacco con il vostro team. Durante l'analisi post-simulazione, dedicate tempo e impegno a rivedere e adattare il playbook. Reiterate le simulazioni con variabili sempre diverse, combinate scenari di attacco in serie o in parallelo e prendete in considerazione la possibilità di coinvolgere uno specialista dei test di penetrazione per perfezionare ulteriormente la vostra risposta agli incidenti. Collaborate con i fornitori terzi pertinenti per migliorare i tempi di risposta e consolidare chiari protocolli di comunicazione per i sistemi che utilizzate senza averne il completo controllo.