Home Podcast EP9 – Urlaubsbereitschaft
Download
Applications
Media
Expert Service

EP9 – Urlaubsbereitschaft

Download
Share

About The Author

Picture of Pal Anderka-Farkas
Pal Anderka-Farkas

Outline

Download
Share

Eine Einführung in „Beyond the Edge“ Episode 9 – Urlaubsbereitschaft

In dieser Episode von „Beyond the Edge“ veranstaltet Howie Ross eine Diskussion über die Urlaubsbereitschaft, in der er sich mit den wichtigsten Schritten befasst, die Unternehmen Unternehmen ergreifen müssen, um sich auf den bevorstehenden Feiertagsansturm vorzubereiten. Howie, Senior Director of Product Management bei Edgio Applications and Application Security and Performance Platform, nutzt seine umfangreiche Erfahrung in der Webentwicklung und Cloud-Architektur in verschiedenen Branchen, darunter Fintech und E-Commerce. Gemeinsam mit Ellery Womack, Senior Director of Engineering bei Edgio, und Tom Gorup, Vice President of Security Operations bei Edgio, werden verschiedene Themen behandelt, von Sicherheitsbedenken bis hin zu Strategien zur Leistungsoptimierung. Angesichts des bevorstehenden Black Friday, Cyber Monday und der gesamten Weihnachtszeit betont das Team, wie wichtig eine frühzeitige Vorbereitung ist, um sicherzustellen, dass Websites mit dem erhöhten Datenverkehr umgehen und eine optimale Performance erzielen können. Sie diskutieren die Bedeutung von Lasttests und Stresstests und identifizieren potenzielle Anwendungsfehler und Leistungseinbußen im Voraus. Darüber hinaus wird in der Diskussion die entscheidende Rolle von Sicherheitsmaßnahmen wie Sichtbarkeit, Bedrohungserkennung und Bot-Management beim Schutz vor potenziellen Angriffen in dieser entscheidenden Phase hervorgehoben. Während Unternehmen sich auf den Feiertagshektik vorbereiten, liefern Howie, Ellery und Tom verwertbare Einblicke und Best Practices, um Unternehmen bei der Bewältigung der Herausforderungen zu unterstützen und die Chancen zu nutzen, die sich aus der Weihnachtszeit ergeben.

Howie Ross: Willkommen bei Beyond the Edge, wo wir uns mit den Versicherungen und Trends befassen, die moderne digitale Unternehmen betreffen.

Ich bin dein Gastgeber, Howie Ross. Ich bin Senior Director of Product Management bei Edgio Plattform für Anwendungssicherheit und -Performance Ich konzentriere mich auf die Web-Beschleunigung einschließlich CDN und Edge-Computing. Ich arbeite seit etwa 20 Jahren in der Webentwicklung und Cloud-Architektur. Während dieser Zeit habe ich in vielen Branchen gearbeitet, darunter Fintech und E-Commerce, wo ich mit Marken wie Urban Outfitters, Coach, Verizon und M&M’s zusammengearbeitet habe

Ich bin von Ellery Womack begleitet.

Ellery Womack: Hallo, ich bin Ellery, Senior Director of Engineering bei Edgio. Ich arbeite mit einem Team aus Architekten, Ingenieuren und Fragen und Antworten zusammen, um Edgio Kunden dabei zu helfen, den größtmöglichen Nutzen aus unseren Produkten zu ziehen. In den letzten drei Jahren hat mein Team Kunden dabei geholfen, zusätzliche Umsätze und SEO-Vorteile zu erzielen, indem es ihre Core Web Vitals mit Edgio Technologie und Performance Engineering verbessert hat.

Howie Ross: Vielen Dank, Ellery. Und wir sind heute auch von Tom Gorup begleitet.

Tom Gorup: Danke, dass Sie mich haben. Das wird eine Menge Spaß machen. Ich bin Tom Gorup, Vice President of Security Operations or Security Services bei Edgio. Alles, was Sicherheit und Service betrifft, die Kombination dieser beiden fällt in mein Team. Das ist also Ihre 24 x 7-Sicherheitsvorgänge. Sie sind Sicherheit, Architekten und Bedrohungsinformationen. All das tolle Zeug fällt in meinen Zuständigkeitsbereich.

Howie Ross: Ausgezeichnet. Heute werden wir darüber diskutieren, wie Sie Ihre Website für die Weihnachtszeit vorbereiten können.

Ich weiß, dass es weit weg scheint, aber um den Wahnsinn der Weihnachtszeit wirklich zu nutzen, müssen wir jetzt mit der Vorbereitung beginnen, weil Websites in diesem Urlaub dramatisch gesteigerter Traffic erleben, wenn die Verkäufe und Werbeaktionen in der großen Mehrheit der B2C-Unternehmen im Einzelhandel, Reisen und Gastgewerbe laufen.

Unternehmen müssen sich also wirklich auf diese erhöhte Belastung vorbereiten, da viele Unternehmen von den gestiegenen Umsätzen durch Black Friday, Cyber Monday und die gesamte Weihnachtszeit abhängen. Und wenn Sie Ihre Ziele in dieser kritischen Phase nicht erreichen, kann dies für Unternehmen verheerend sein. Tom, woran sollten Unternehmen jetzt denken und tun, um eine erfolgreiche Weihnachtszeit zu gewährleisten?

Tom Gorup: Das ist eine großartige Frage. Ich denke, Vorbereitung ist wichtig, oder? Je weiter Sie dem Vorsprung folgen können, desto besser werden Sie sein, eine bessere Planung können Sie umsetzen. Wenn ich die Welt vom Standpunkt der Sicherheit aus betrachte, gliedere ich sie in drei verschiedene Kategorien oder drei Säulen, die als Teil Ihrer Sicherheitsstellung definiert sind. Es geht um Sichtbarkeit, Gefährdung und Bedrohungen, und eigentlich beginnt alles mit Sichtbarkeit.

Ich denke, dass Unternehmen jetzt beginnen können, jene Assets zu entdecken und zu verstehen, die für die bevorstehenden Verkäufe und die Anwendungen von entscheidender Bedeutung sind, damit sie bei Feiertagsereignissen vollständig stabil und sicher sein können. Eine großartige Möglichkeit, dies zu tun, könnte wie ein Steuerdienstverwaltungstool sein, etwas, das das Internet scannt und nach APIs durchsucht, von denen Sie nicht wussten, dass sie vorhanden sind, oder Ports öffnen, von denen Sie nicht wussten, dass sie dort waren. Wir sehen eine Menge davon. Ich denke, als Erstes können Sie damit beginnen, wirklich eine Bestandsaufnahme dieser Ressourcen und Ressourcen zu erstellen, die Sie zur Vorbereitung, zum Testen und Sichern benötigen, wenn die Zeit gekommen ist.

Howie Ross: Ja, das macht viel Sinn, weil es sehr schwierig ist, das zu sichern, was man nicht weiß, dass es da ist. Haben Sie das Gefühl, dass in dieser Urlaubszeit erhöhte Risiken bestehen?

Tom Gorup: Ja, 100 %. Die Feiertage sind ein bedeutender Umsatz. Für einige Unternehmen werden 50-80% des Umsatzes während der Weihnachtszeit aufgestockt. Daher ist es wichtig, dass ihre Web-Ressourcen oder deren Vertriebskanal, über die Kunden einkaufen, hochgradig verfügbar sind. Angreifer nutzen diese Szenarien gerne aus, und es ist nicht ungewöhnlich, dass Sie DDoS als Lösegeld kennen, oder es gibt eine Art von Angriffen, die die Weiterführung des Verkaufs behindern. Wir fangen also an, uns auf die Veranstaltungen für unsere Kunden vorzubereiten, und wenn es Spieltag ist, Mann, dann ist alles an Deck, richtig?

Howie Ross: Also, Ellery, was sollten Unternehmen zusätzlich zu Sicherheitsbedenken noch bedenken und sich darauf vorbereiten, um eine erfolgreiche Weihnachtszeit zu gewährleisten?

Ellery Womack: Danke, Howie. Viele unserer Kunden sind besorgt darüber, dass sie nicht in der Lage sind, die erhöhte Belastung durch den Black Friday Traffic zu bewältigen. Darüber hinaus haben sie mit Belastungstests und Belastungstests ihrer Anwendungen begonnen. Oft, wenn der Black Friday herumläuft, senden Unternehmen Marketingkampagnen in Form von SMS-Blasts und E-Mails, die große Belastungsspitzen bei ihren Anwendungen auslösen. Viele unserer Kunden haben mit diesen Lasttests begonnen und arbeiten mit uns zusammen, um die Ursache von Anwendungsfehlern und Leistungseinbußen zu ermitteln.

Howie Ross: Ja, das ergibt viel Sinn. Und dann, wissen Sie, sobald Sie die Ergebnisse dieses Belastungstests erhalten haben, ist es wichtig, dass Sie sicherstellen, dass Sie die Last aufrechterhalten können und, wie Sie bereits erwähnt haben, etwas mehr, als Sie sich darauf vorbereitet haben. Das war vor vielen Jahren, aber ich arbeitete mit, ich lebe in Philadelphia, und ich arbeitete mit einem lokalen Rabatthändler zusammen und ich stellte fest, dass sie für das, was wir dachten, ihre Urlaubslast sein würde, schrecklich zu wenig bereitgestellt waren. Aber wenn man das bedenkt, wissen Sie, dass sie zu der Zeit sind, als der Großteil ihres Geschäfts in ihren stationären Geschäften war, wollten sie keine zusätzlichen Ressourcen hinzufügen, bis es Black Friday war.

Natürlich haben wir Probleme, weil der Traffic auf der Website immer wieder abstürzt. Und dann waren sie zu weit bereit, sich für zusätzliche Überwachungstools zu registrieren und zusätzliche Server hinzuzufügen. Und weißt du, das musste in einem Szenario mit Feuerübung statt in einem eher kontrollierten und vorbereiteten Szenario durchgeführt werden. Es ist also wichtig, dass wir die Last verstehen, die unsere Infrastruktur bewältigen kann, und angemessen planen.

Tom Gorup: Leider braucht es oft eine Veranstaltung, bis einige Unternehmen beginnen, in die Sicherheit zu investieren. Ich hatte heute eigentlich ein Gespräch als Sicherheitsanalyst. Nun, Einsteiger sieht irgendwie aus, hey, wie kann ich irgendwie in die Branche einbrechen? Eine der Fragen, die er stellte, war, wissen Sie, müssen Sie Unternehmen davon überzeugen, dass sie Sicherheit brauchen, und das ist ein gemischtes Ergebnis? Aber ich denke, dass Unternehmen in den meisten Fällen das Richtige tun wollen. Sie wissen einfach nicht, wo sie anfangen sollen.

Vor 10 Jahren hat es einen langen Weg zurückgelegt, als man versucht, ein Unternehmen davon zu überzeugen, dass es Sicherheit braucht oder diese zusätzlichen Server braucht. Heutzutage wollen immer mehr Unternehmen das tun. Sie wissen einfach nicht, wo sie anfangen sollen, und können sie sich das auch leisten? Das sind wie einige der Herausforderungen, in die sie sich einschreiben.

Howie Ross: Ja, das ist ein toller Punkt. Sie haben über das Angriffs-Service-Management und das Verständnis Ihrer Gefährdung gesprochen. Sie wissen also, was der nächste Schritt ist, sobald wir wissen, was wir da draußen haben, was sind einige der zusätzlichen Schritte, die wir jetzt ergreifen sollten, um unsere Immobilien in dieser kritischen Phase zu schützen.

Tom Gorup: Ja, tolle Frage. Erstens, die Sichtbarkeit, wo wir ein Inventar haben und niemand 100% haben wird, richtig? Du kannst keine 100% erwarten. Also sage ich immer, hören Sie nicht auf oder lassen Sie sich so verfangen, dass ich noch keine volle Sicht habe, ich kann nicht weitermachen. Nehmen Sie das, was Sie haben, und beginnen Sie dann, es zu betrachten.

Die nächsten Teile des Puzzles sind Enthüllungen und Bedrohungen. Enthüllungen: Wo sind deine Schwachstellen, wo sind die Chips in deiner Rüstung und wie wirst du dann angegriffen? Ich landete irgendwie auf diesen drei Säulen, als ich darüber nachdachte, wie ich Kampfpositionen in Afghanistan und im Irak gesichert habe. Das waren die Dinge, die ich anschaute, richtig, ich kann nicht beschützen, was ich nicht sehen kann, und sicherstellen, dass ich ein gutes Feuerfeld habe. Ich brauche gute Deckung und Verheimlichung, und wenn ich eine Gefährdung habe, muss ich sie kennen.

Manchmal akzeptierst du diese Risiken, und manchmal minderst du sie, aber auch, wenn dieser Kampf stattfindet, wenn der Angriff beginnt, weil du weißt, wie der Feind angreift, kannst du deine Haltung anpassen. Sie benötigen diese drei Elemente, um diese Art von Entscheidungen zu treffen, und wahrscheinlich werden Sie heute angegriffen, damit Sie diese intel für gute Entscheidungen einsetzen können.

Das sind zwei Dinge, die man da einbeziehen sollte: Wo sind Ihre Schwachstellen, wie werden Sie angegriffen, erhalten diese gute Sichtbarkeit und beginnen dann mit der Planung, wissen Sie, vielleicht machen Sie einige, wissen Sie, ich habe bereits Lasttests erwähnt, was passiert, wenn Sie einen DDoS-Angriff bekommen, was passiert als Nächstes?

Ich meine, viele Teammitglieder werden einen Anruf tätigen, und sie werden jemanden suchen, der sie leitet, Tischübungen macht, ein paar vorab läuft, und ich denke, das wird einen großen Schritt in Ihrer Reaktion auf den unvermeidlichen Angriff tun. Aber Sie können die Verweilzeit reduzieren und die Zeit, die die Website offline ist, reduzieren. Sie wissen, dass Sie am Ende des Tages einen großen Gewinn machen, wenn Sie gut vorbereitet sind.

Howie Ross: Ja, ein toller Punkt. Ich würde sagen, dass eine Website, die aufgrund eines DDoS-Angriffs oder eines Sicherheitsvorfalls offline ist, eine Website ist, die, wie Sie wissen, nicht leistungsfähig ist und diesen erhöhten Datenverkehr und die Werbeaktionen, die während dieser Urlaubszeit durchgeführt werden, nicht nutzt. Also, Ellery, was können wir sonst tun, um sicherzustellen, dass unsere Standorte optimal funktionieren?

Ellery Womack: Das ist eine großartige Frage. Eines der Dinge, die unsere Kunden betrachten, sind A/B-Tests. Sie testen neue Erlebnisse für verschiedene Arten von Seiten, um zu sehen, was die beste Benutzerinteraktion bringt, wie wir die Konversionsrate, den durchschnittlichen Bestellwert, Seitenaufrufe pro Sitzung und andere wichtige geschäftliche KPIs optimieren können. Und so testen die Leute neue Seitenvorlagen, verschiedene Arten von Werbeaktionen, Produktrebatte usw. auf allen Websites und möchten dies auch auf eine Weise tun, die eine hohe Leistung bietet.

Die Verwendung eines Produkts zur Kantenexperimentierung wie dem in Edgio 7 ist zu einem beliebten Anwendungsfall für sie geworden. Aber es gibt eine Reihe von Dingen, die nur absichtlich zur Leistungssteigerung beitragen können, die alle unsere Kunden erreichen können. Daher suchen wir ständig nach Möglichkeiten, Kunden beim Caching in unserem Netzwerk zu unterstützen. Gecachte Inhalte werden sicherer sein.

Wir möchten sicherstellen, dass die Reaktionszeiten für verschiedene APIs sehr schnell sind. Und ich denke, dass Kunden mit unseren Beobachtungs- und Analysetools eine wichtige Rolle spielen. Die Leute wissen das vielleicht nicht, aber eine Website, die 4,2 Sekunden zum Laden benötigt, wird mit der Hälfte der Rate konvertieren als eine Website, die in weniger als 1/2 Sekunden geladen wird. Diese Dinge müssen wirklich optimiert werden, und wir haben ein Team, das Kunden dabei helfen kann. A/B-Tests und Leistungsverbesserungen stehen dabei im Vordergrund, und das entlastet sogar Ihre Herkunft. Am Black Friday benötigen Sie weniger Server, wenn Ihre Server weniger Arbeit erledigen müssen, um dieselben Vorgänge auszuführen.

Howie Ross: Ja, tolle Punkte. Wir haben tatsächlich Kunden zu uns kommen, wissen Sie, Monate vor Black Friday und sagen, meine Website sei zu langsam. Ich bin nicht dran, Googles wichtigste Web-Vitalparameter. Ich bekomme nicht so viel organischen Verkehr. Meine Konversionsraten werden niedriger sein. Was können Sie tun? Und wir können ihnen tatsächlich helfen, aber die Instrumente, die uns zu diesem Zeitpunkt zur Verfügung stehen, sind etwas begrenzt. Wir können Ihnen helfen, einige Vorabrufe zu kennen und in bestimmten Anwendungsfällen etwas zu beschleunigen. Aber wirklich, um den erhöhten Traffic zu nutzen und diese Konversionsraten zu erhalten. Sie möchten mit der Optimierung schon lange im Voraus beginnen, damit Sie wissen, wie hohe Cache-Trefferraten erzielt werden und die Website so optimal wie möglich arbeitet.

Ellery Womack: Ja, das ist absolut richtig. Und wenn Sie davon abweichen wollen, wenn der Black Friday und die Feiertage im November beginnen, wollen die meisten unserer Kunden Anfang Oktober einen Code einfrieren oder Code chillen. Wir konnten unseren Kunden helfen, innerhalb von nur einem Monat 30 % schneller zu werden. Wenn Sie also nach Leistungsverbesserungen suchen, würde ich auf jeden Fall bis Juni oder Juli damit beginnen.

Howie Ross: Ja, das ist ein toller Punkt, denn Sie wissen, dass wir bis zum Ende in dieser Codephase sein sollten, oder wie wir es als Code-Chill bezeichnen, weil Sie natürlich wissen, ob es einen kritischen Bug oder ein Sicherheitsproblem gibt. Wir werden ein Auftauen machen und das ausbessern. Aber wir sollten uns an diesem Punkt effektiv niederschlagen. Und Sie wissen, dass das mit unserem Team zusammenhängt, Sie kennen unser wichtigstes gut, unsere Mitarbeiter. Welche Aspekte der Vorbereitung sollten wir mit unseren Mitgliedern machen, um sicherzustellen, dass sie für diesen erhöhten Datenverkehr bereit sind?

Ellery Womack: Ich schätze, ich kann das anfangen. Einige unserer Kunden arbeiten mit uns zusammen, um Probelauf von Vorfällen durchzuführen und sicherzustellen, dass wir für den Vorfallsreaktionsprozess bereit sind. Das dokumentieren wir sowohl in unseren Runbooks als auch in unseren Runbooks. Zu Toms Aussage vorhin: Sie wissen, dass Sie auf diese Dinge vorbereitet sein und darauf vorbereitet sein müssen, aber Sie wissen erst, wie vorbereitet Sie sind, bis Sie tatsächlich den Trockenlauf gemacht haben.

Können wir also einen Alarm von unserem Beobachtungstool auslösen, der besagt, dass die Website heruntergefahren ist und wir ein großes Problem haben, und sicherstellen, dass dies ordnungsgemäß eskaliert wird, dass die richtigen Personen im richtigen Zeitrahmen reagieren. Wir können die richtigen Personen bei einem Anruf oder in einem Kriegsraum zusammenstellen, um das Problem effektiv zu debuggen oder zu diagnostizieren. So stellen wir sicher, dass Sie auch darauf vorbereitet sind, die richtigen Personen auf Abruf zu haben. Haben Sie einen Kalender, der anzeigt, wann Personen verfügbar sind, die wichtige Rollen im Sofortreaktionsprozess erfüllen? Sie haben also ständig Deckung, und ich würde Ihnen wärmstens empfehlen, mindestens zwei Personen zur Verfügung zu haben. Wie wir gerne sagen, zwei ist eins und eins ist keine.

Tom Gorup: Das ist gut. Das gefällt mir. Ja, wenn wir das noch weiter machen, ist die Vorbereitung wichtig, Tischübungen zu machen, um sicherzustellen, dass Sie wissen, was Sie tun, wen Sie anrufen werden. Wann findet der CEO heraus, dass Sie angegriffen werden, oder? Diese Dinge müssen ausgehackt werden, sonst wird es zu gegebener Zeit zu Chaos, aber auch zu einem allgemeinen Bewusstsein der Benutzer aus Sicherheitssicht, während der Weihnachtszeit, und es ist eine großartige Gelegenheit für Angreifer, sich einzumischen, Phishing-E-Mails zu senden und andere Wege zu finden, um sich in Ihre Infrastruktur zu drängen. Daher ist es wichtig, das Bewusstsein für die Weihnachtszeit zu schärfen.

Es gibt viele E-Mails, die hin und her gehen. Es werden viele Black Friday Deals und und Links geteilt. Es gibt auch eine Menge Bosheit in diesen Informationen. Daher sollten Sie sicherstellen, dass Ihre Benutzer, von der Personalabteilung bis hin zu Ihren Ingenieuren, sich der Risiken bewusst sind, die da draußen bestehen. Wir haben auch einen Bericht über Angriffstrends Ich komme hier raus in Edgio. Und eine Sache, die wir uns angesehen haben, waren alle CVE (Common Vulnerabilities and Exposures), alle allgemeinen Schwachstellen, die entdeckt wurden oder genauer gesagt, die im ersten Quartal dieses Jahres angesprochen wurden.

Wir haben es noch ein wenig weiter aufgeschlüsselt, um uns die gemeinsamen Schwächen anzusehen. Was also die Schwachstelle innerhalb des Produkts war, die zu dieser Schwachstelle führte, und was wir gesehen haben, war die größte Schwachstelle, so nennen wir es die drei wichtigsten Schwachstellen: Remotecodeausführung, Denial Service und Berechtigungseskalation. Wenn Sie darüber nachdenken, welche Art von Schulung oder Bewusstsein Sie Ihren Ingenieuren bringen können, sind das drei große, die wir zusätzliche Sicherheitsschulungen dazu durchführen können, wie Remotecodeausführung in unserer App aussehen könnte. Und wie können wir vorbeugende Maßnahmen auf der Ebene des Kodex ergreifen? Und wie würde ein Denial-Service-Angriff in unserer App aussehen? Beginnen Sie mit der Erstellung eines solchen Bedrohungsmodells, und Schulen Sie Ihre Ingenieure, wie sie es auf Codeebene umgehen können.

Ellery Womack: Also geht es bei der Remotecodeausführung meines Wissens um die Ausführung von Code und Remote-Servern. Was können Leute tun, um sicherzustellen, dass ein böswilliger Akteur keine Code in eine Website einschleppt und damit beginnt, eine Art von Angriff auf die Datenabnahme wie einen Magecart durchzuführen?

Tom Gorup: Client-Side Protection (CSP) ist ein großartiger Schutz, den Sie nutzen können viele Eingaben bereinigen ist ein weiteres Element auf dieser Seite der Remotecodeausführung: Wir wollen nicht, dass auf der Serverseite etwas ausgeführt wird.

Welche Art von Reinigungsarbeiten können wir durchführen? Edgio selbst kann sicherstellen, dass die API ordnungsgemäß bereinigt wird, bevor sie über die Leitung gesendet wird. Sie können dieses Schema in das Tool selbst einfügen und diese Desinfektion durchführen. Es gibt viele Kontrollen, die Sie zum Schutz Ihrer Person einsetzen können.

Howie Ross: Kurze Frage, Ellery. Nehmen wir an, dass Sie wissen, dass wir seit Monaten hart arbeiten und dass wir unsere Analysen und unsere Beobachtungsmöglichkeiten nutzen, um unseren Traffic und alle Angriffe, die gegen uns gerichtet sind, erkennen zu können. Wir haben die Leistung optimiert. Wir haben unsere Tischübungen durchgeführt und es ist jetzt der Herbst, und wir wissen, dass die Weihnachtszeit bevorsteht und wir wahrscheinlich nicht so viele Codebereitstellungen durchführen oder zumindest hoffen wir nicht. Was können wir also tun?

Ellery Womack: Sie wissen jetzt, dass wir Kunden im Herbst in der Regel bei der Feinabstimmung vieler Überwachungs-, Dashboards und Analysen unterstützen. Sie haben alle wichtigen Dinge in Angriff genommen, aber was können wir noch überwachen? Es ist eine großartige Zeit, wenn Sie nicht den Druck haben, Kunden neue Funktionen und Funktionen bereitzustellen, sodass wir uns viel mehr auf Überwachung und Beobachtung konzentrieren können.

Wir stellen sicher, dass sie darauf vorbereitet sind und dass wir den Menschen, die Augen auf Glas überwachen, die richtigen Tools zur Verfügung stellen, insbesondere an Tagen wie Black Friday und Cyber Monday. Wir haben in der Regel Augen auf Glas und Leute, die sich sehr regelmäßig über den Zustand der Webanwendung und APIs informieren. Stellen Sie sicher, dass sie alle Erkenntnisse haben, die sie benötigen, um sie zu gewinnen. Sie wissen, dass sinnvolle Erkenntnisse wirklich wichtig sind.

Howie Ross: Super. Und Tom, gibt es irgendetwas, was wir tun können, du weißt, dass wir im Herbst die Feiertage aus Sicherheitssicht haben?

Tom Gorup: Es ist nicht ungewöhnlich für uns wie unsere Sicherheitsarchitekten, dass wir mit unseren Kunden zusammenarbeiten, um die App zu optimieren, aber auch die WAF, die Web Application Firewall und auch das Bot-Management zu optimieren.

Das Bot-Managementist ein großes Problem, das Sie sich auch ansehen können. Sie möchten sicherstellen, dass Sie gute SEO-Bewertungen haben, Sie möchten keine guten Bots knacken, aber Sie möchten vielleicht auch die Seiten schützen, die für das Ereignis spezifisch sind. Vielleicht möchten Sie nicht, dass die neue Splash-Seite gerade veröffentlicht wird. Stellen Sie sicher, dass Sie die Kontrollen mithilfe von Bot-Management und mithilfe von Laugh vorab richtig schützen. Wir machen viel Tuning auf der WAF, um zu Veranstaltungen, um sicherzustellen, dass wir den richtigen Verkehr blockieren und, entschuldigen Sie, ja, den richtigen Verkehr blockieren und auch das Recht auf guten Verkehr erlauben, seinen Weg durchzugehen.

Eine andere ist die Ratenbegrenzung. Die Informationen, die Sie aus Ihren Lasttests gelernt haben, werden in Ihre Sicherheitstools übernommen, um sicherzustellen, dass Sie am Frontend schützen können, bevor Ihr Server auf der anderen Seite umkippt. Das sind einige Dinge, die wir im Voraus tun. Es geht nur darum, sicherzustellen, dass alles fest zugeknöpft und an Ort und Stelle ist, weil wir ein erfolgreiches Feiertagsevent wollen.

Howie Ross: Sie haben das Bot-Management erwähnt, und ich möchte das nur noch einmal überprüfen, weil wir aus Sicherheitssicht oft Bots als bösartig betrachten und versuchen, auf unserer Website schändliche Dinge zu tun. Sie versuchen, die Konten und Dinge dieser Art zu übernehmen. Aber Sie wissen, dass Bots entscheidend für den Anstieg des Datenverkehrs in der Weihnachtszeit sind, da Bots das sind, was Sie kennen, Suchmaschinen und Sie wissen, dass andere Dienste verwenden, um zu verstehen, was unsere Website bietet. Sie nennen es Bot-Management im Gegensatz zu Risikominderung. Wir glauben, dass es genauso wichtig ist, auf die guten Bots abgestimmt zu sein, wie auf die schlechten Bots zu 100 %.

Tom Gorup: Was uns aufgefallen ist, ist das, unser Bericht über die technischen Trends, aufbauend Es gibt auch viele Web-Administratoren, die gute Bots für bestimmte Seiten blockieren, die sie nicht von Google, Yandex, was haben Sie? Es ist also das Bot-Management. Sie können gute Bots blockieren, ohne sich negativ auf Ihre SEO auswirken zu müssen, aber seien Sie zielgerichtet dabei. Und dann wollen wir auch schlechte Bots blockieren, weil wir nicht wollen, wissen Sie, vielleicht wollen wir nicht, dass unsere Preise gekratzt oder Plätze reserviert werden. Das Bot-Management bietet einen großen Mehrwert.

Howie Ross: OK. Also wissen Sie, also haben wir es bis in den Herbst geschafft. Und sagen wir, jetzt ist Spieltag und es ist Black Friday. Was können wir jetzt tun, außer die Füße hochzutreten und die Thanksgiving-Reste zu essen?

Tom Gorup: Ich glaube nicht, dass noch jemand mit den Füßen tritt, zumindest in der Sicherheitsbranche. Das ist nur, wenn wir uns bereit machen, loszugehen. Du willst das große Mittagessen auslassen, oder du bekommst ein truthahnkoma direkt an der Konsole und das ist kein guter Ort zum Schlafen. Es ist alles praxisnah an Deck. Wir betreiben oft Brücken mit Kunden, bei denen jeder auf dieser Brücke über Sie spricht, und ich bin mir sicher, dass Ellery etwas davon in die Beobachtbarkeit der Website-Performance einschätzen kann.

Dann überprüfen wir auch ständig den Verkehr. Sehen wir Angriffe und scheuen selbst die kleinsten Angriffe ab, um sicherzustellen, dass wir Platz schaffen? Sicherheit bedeutet nicht nur, die App vor Angriffen zu schützen, sondern auch, dass wir hier die Verfügbarkeit maximieren, richtig? Warum werden Webanfragen oder CPU-Zyklen bei bekannten Angriffen verschwendet, wenn wir sie abschalten können? Viel Nachforschungen, die Konsole beobachten und einfach mit dem Engineering-Team und den Netzwerkteams Schritt halten, um sicherzustellen, dass wir alle auf dem neuesten Stand sind. Normalerweise läuft es durch eine, hey, wir öffnen sie zu dieser Zeit und laufen 346 Stunden danach, um sicherzustellen, dass wir eine gute Berichterstattung über das Ereignis haben.

Ellery Womack: Wenn Ihre Schicht beendet ist, können Sie mit allen Rabatten eine Einzelhandelstherapie durchführen.

Howie Ross: Und dann Ellery, zusätzlich zu dieser Einzelhandelstherapie, was machen die Ingenieure und Business Teams zu diesem Zeitpunkt?

Ellery Womack: Nun, eine Sache, bei der wir ständig sind, ist die Analyse. Die Leute überprüfen, ob wir unsere Ziele erreichen. Viele unserer Kunden haben bereits eine Art Trockenlauf von Veranstaltungen für Black Friday und Cyber Monday durchgeführt, bei denen sie Werbeaktionen durchgeführt haben, mit denen sie die Nachfragesteigerung sowie die Last- und Browsermuster ihrer Benutzer vorhersagen können. Wir validieren dies, um sicherzustellen, dass wir die richtige Anzahl von Benutzern erhalten, dass wir die richtige Anzahl von Ereignissen zum Hinzufügen zum Warenkorb erhalten und Personen, die Produkte durchsuchen und Produkteindrücke generieren usw. Wir stellen sicher, dass die Dinge innerhalb unserer Erwartungen liegen. Wir möchten sicherstellen, dass die Leistung auf dem gleichen Niveau ist. Das Überprüfen von Live-Performance-Daten mit einem ausführenden Tool, das eine Echtzeitüberwachung des Benutzers darstellt, ist sehr hilfreich.

Sie möchten sicherstellen, dass sich die Website so verhält, wie sie sollte. Nicht nur aus der Sicht eines Servers, dass die statischen Assets und der Inhalt bereitgestellt werden, sondern auch, dass der Browser des Benutzers alles angemessen wiedergibt, ist ein weiterer wichtiger Aspekt dabei. Wir möchten sicherstellen, dass die Website reibungslos funktioniert. Wir haben Live-Einblicke zu allem und über die Performance der Website hinaus, aber auch die geschäftlichen KPIs und andere Kennzahlen, die für die Geschäftsbeteiligten von Bedeutung sind, werden erfüllt.

Ich hoffe, dass dies einen Überblick über die Dinge gegeben hat, über die Unternehmen jetzt nachdenken und wirklich umsetzen sollten, um sicherzustellen, dass sie auf diese kritische Weihnachtszeit vorbereitet sind. Wir haben auf die Bedeutung von Sicherheits- und Leistungstests und -Behebungen hingewiesen, die eine angemessene Beobachtung in Bezug auf unsere Verkehrsanalysen und andere und andere Erkenntnisse haben. Stellen Sie sicher, dass alle unsere Sicherheitsprotokolle und -Tools installiert sind und dass vor allem unsere Teams vorbereitet sind und während dieser Zeit verfügbar sein werden. Wenn wir wissen, dass viele Leute reisen und Sie versuchen wollen, sich etwas Zeit zu nehmen. Aber angesichts der Bedeutung dieser Jahreszeit für Unternehmen hoffen wir, dass Sie alle darüber nachdenken und sofort Maßnahmen ergreifen können.

Ich möchte mich noch einmal bei Ellery und Tom bedanken, dass sie uns beigetreten sind, und ich danke euch allen, dass ihr diese Episode von Beyond the Edge angehört habt. Bis nächstes Mal.

Tags

Just For You