9年《超越邊緣》第一集簡介–假日準備
在這一集“超越邊緣”中,Howie Ross主持了關於假日準備工作的討論,深入探討了企業為即將到來的假日旺季做好準備所需採取的必要步驟。 Howie是Edgio應用程式和應用程式安全和性能平臺產品管理高級總監,他在包括Fintech和電子商務在內的各種行業的Web開發和雲架構方面積累了豐富的經驗。 與Edgio高級工程總監Ellery Womack和Edgio安全營運副總裁Tom Gorup一起,這場對話涵蓋了從安全顧慮到性能優化策略的一系列主題。 隨著黑色星期五,網購星期一和整個假日季的臨近,團隊強調了及早準備的重要性,以確保網站能夠處理增加的流量並提供最佳性能。 他們討論了負載測試,壓力測試以及提前識別潛在應用錯誤和性能下降的重要性。 此外,討論還強調了安全措施(包括可見性,威脅檢測和爬蟲程序管理)在這一關鍵時期防禦潛在攻擊方面的關鍵作用。 隨著企業為假日高峰做好準備,Howie,Ellery和Tom將提供切實可行的見解和最佳實踐,幫助企業應對挑戰,把握假日季帶來的機遇。
Howie Ross:歡迎來到Beyond the Edge,我們將深入探討影響現代數字業務的保險和趨勢。
Howie Ross,我是您的主人。 我是Edgio的產品管理高級總監 應用程式和應用程式安全性和性能平臺 我專注於網路加速,包括CDN和邊緣計算。 我從事Web開發和雲架構工作已有20年之久,在此期間,我曾在Fintech和電子商務等多個行業工作,在這些行業中,我曾與Urban Outfitters,Coach,Verizon和M&M’s等品牌合作。
Ellery Womack加入了我的行列。
Ellery Womack: 大家好,我是Ellery,Edgio的高級工程總監。 我與設計師,工程師和問答團隊合作,幫助Edgio客戶從我們的產品中獲得最大價值。 在過去三年中,我的團隊通過使用Edgio技術和性能工程改進了他們的核心Web Vitals,幫助客戶增加收入和SEO優勢。
Howie Ross: 謝謝你Ellery Tom Gorup今天也加入了我們的行列。
Tom Gorup: 謝謝邀請我。 這將會很有趣。 我是Edgio安全營運或安全服務副總裁Tom Gorup。 因此,與安全和服務相關的一切,這兩者的結合都屬於我的團隊。 這就是您全天候的安全操作。 您是安全,架構師和威脅情報人員。 所有這些偉大的東西都在我的職權範圍內。
Howie Ross: 很棒 今天,我們將討論如何讓您的網站為假日季做好準備。
我知道這似乎很遠,但要真正利用瘋狂的假日購買季節,我們需要立即開始準備,因為網站在這個假期期間的流量大幅增加,而在零售,旅遊和酒店,B2C家企業中的絕大多數都在進行銷售和促銷。
因此,企業真的需要為這種增加的工作量做好準備,因為許多企業依賴黑色星期五,網購星期一和整個假日季的收入增長。 在這一關鍵時期不實現您的目標可能會給企業帶來災難性的影響。 Tom,組織現在應該考慮和做些什麼,以確保假日季成功?
Tom Gorup: 這個問題很好。 我認為準備很重要,對吧? 你越能超越這一點,你就會越有錢,你就可以制定更好的計劃。 當我從安全的角度看待世界時,我會將它分為三個不同的類別或三個支柱,作為您的安全態勢的一部分。 它是可見性,暴露性和威脅,實際上,一切都從可見性開始。
我認為企業現在可以開始發現和了解那些對即將出現的銷售以及在假日活動開始時需要完全穩定和安全的應用程式至關重要的資產。 這樣做的好方法可能就像一個稅務服務管理工具,它可以掃描Internet,並搜尋可能是您不知道存在的API或您不知道存在的開放埠。 我們看到了很多這種情況。 因此,我認為您可以做的第一件事是開始真正建立一個資源清單,以便在時機成熟時準備,測試和保護這些資源和資產。
Howie Ross: 是的,這很有道理,因為很難確保您不知道的東西。 您是否覺得這段假日期間的風險增加?
Tom Gorup: 是的,100%。 節日是可觀的收入。 對於某些企業而言,50%至80%的收入在假日季得到了支援。 因此,他們的Web資源或客戶從中購買的通路必須具有高度可用性。 攻擊者喜歡利用這些情景,而您將DDoS視為贖金,或是有各種攻擊阻礙銷售繼續進行,這種情況並不罕見。 所以我們現在開始忙於為客戶準備這些活動。你知道,在比賽日,大家都可以在甲板上動手,對吧?
Howie Ross:那麼Ellery,除了安全問題之外,企業還應該考慮和準備什麼,以確保假日季成功?
Ellery Womack: 謝謝Howie。 因此,我們的很多客戶擔心無法處理黑色星期五交通流量增加的負載。 在此之前,他們已經開始對應用程式進行負載測試和壓力測試。 當黑色星期五開始運作時,企業通常會以簡訊和電子郵件的形式發送行銷活動,從而引發應用程式負載的大幅高峰。 我們的許多客戶已經開始進行這些負載測試,他們正在與我們合作,找出應用程式錯誤和性能下降的根本原因。
Howie Ross: 是的,這很有道理。 然後,你知道,一旦你得到了負載測試的結果,你必須確保你能夠承受負載,而且正如你所提到的,比你準備的要多一點。 這是很多年前的事,但我和我一起工作,我住在費城,我與一家總部設在當地的折扣零售商合作,我確定他們的供應嚴重不足,我們認為他們的假期負荷非常有限。 但考慮到這一點,您知道他們當時的大部分業務都在實體店,他們不想添加額外資源,直到黑色星期五。
當然,我們遇到了一些問題,因為網站上的流量持續崩潰。 然後,他們就已經準備好了注冊其他監控工具和添加其他伺服器。 你知道,這必須在消防演習類型的場景中完成,而不是在更受控制和準備的場景中完成。 是的,我們必須了解我們的基礎設施可以承受的負載,並對其進行適當規劃。
Tom Gorup: 不幸的是,某些企業開始投資安全性時,往往需要一件事情。 今天早些時候我作為安全分析師進行了一次談話。 那麼,入門級是一種外觀,嘿,我如何進入行業? 他問的一個問題是,你知道,你是否必須說服企業他們需要安全,結果好壞參半? 但我認為,企業往往想做正確的事情。 他們只是不知道從哪裡開始。
10年前,當您試圖說服一家企業他們需要安全性或需要額外的伺服器時,這已經取得了很大的進展。 如今,越來越多的企業想要做到這一點;他們只是不知道從哪裡開始,而且,您知道,他們是否能負擔得起? 這些都是他們所寫到的一些挑戰。
Howie Ross: 是的,這點很好。 您已經談到攻擊服務管理和了解您的暴露情況。 所以,你知道,一旦我們知道了我們的情況,下一步是什麼,我們現在應該採取哪些額外的步驟來保護我們的財產在這個關鍵時期。
Tom Gorup: 是的,問得好。 首先,我們擁有庫存的位置,誰也不會擁有100 %的庫存,對吧? 你不能期望100%。 所以,我總是說不要停下來,也不要像哦,我還沒有完全的能見度,我不能繼續前進。 拿著你擁有的東西,然後開始看看。
接下來的難題是暴露和威脅。 暴露:您的弱點在哪裡,盔甲中的晶片在哪裡,那麼您是如何受到攻擊的? 當我在思考如何在阿富汗和伊拉克取得戰場時,我有點著陸在這三個柱子上,這些都是我看到的,對,我不能保護我看不到的東西,確保我有一個好的戰場。 我需要有良好的掩護和隱瞞,如果我有暴露,我需要意識到它們。
有時,您會接受這些風險,有時會減輕風險,但當發生戰鬥時,攻擊開始時,您知道敵人的攻擊如何讓您調整姿勢。 您需要這三個要素才能開始做出這類決策,而您今天可能會受到攻擊,因此您可以利用Intel來做出明智的決策。
這兩個因素是開始融入其中的,你的漏洞在哪裡,你如何受到攻擊,獲得良好的可見性,然後開始規劃,你知道,也許做一些,我已經提到過負載測試,如果你遇到DDoS攻擊會發生什麼,接下來會發生什麼?
我的意思是,很多團隊成員都會接聽電話,他們會找人來指導他們,做桌面練習,在之前跑幾次,我認為這將大大提高你對不可避免的攻擊的響應能力。 但你可以減少停留時間,也可以減少網站離線的時間,如果你準備充分的話,在一天結束的時候,你就會獲得巨大的勝利。
Howie Ross: 是的,很棒的一點。 我想說,幾乎就像一個因DDoS攻擊或安全事件而脫機的站點一樣糟糕,您知道,該站點表現不佳,沒有利用這一增加的流量,以及在這個假期期間正在進行的促銷活動。 那麼,Ellery,我們還能做些什麼來確保我們的網站發揮最佳性能?
Ellery Womack: 這個問題很好。 我們的客戶關注的其中一件事是A/B測試。 因此,他們正在嘗試各種類型頁面的新體驗,以了解什麼能獲得最佳用戶參與度,我們如何優化轉化率,平均訂單價值,每會話頁面瀏攬量以及其他重要業務KPI。 因此,人們正在測試網站上的新頁面模板,不同類型的促銷活動,產品折扣等,他們希望以一種同樣高性能的方式來完成此操作。
使用Edgio 7中的EDGE實驗產品已成為他們的常用使用案例。 但是,我們的所有客戶都可以做到一些只是有意改進性能的事情。 因此,我們一直在尋找機會,幫助客戶在我們的網路上進行暫存。 快取內容會更安全。
我們希望確保各種API的響應速度非常快。 我想客戶也知道,我們的觀察和分析工具非常重要。 人們可能不知道這一點,但一個4.2秒加載的網站將以比2 1/2秒以下加載的網站的一半的速度轉換。 這些東西對於優化非常重要,我們有一個團隊可以幫助客戶實現這一目標。 A/B測試和性能改進是最重要的,這甚至會使您的原始伺服器承受一些負載。 如果您的伺服器需要較少的工作量來完成相同的操作,那麼在黑色星期五,您需要的伺服器將會減少。
Howie Ross: 是的,很棒的積分。 事實上,我們已經有客戶來找我們,幾個月後,黑色星期五前一個月,說我的網站太慢了。 我不是傳球,谷歌的核心網路生理訊息。 我不會得到那麼多的有機流量。 我的轉換率會更低。 您可以做些什麼? 我們確實可以幫助他們,但我們在當時擁有的工具是有限的。 我們可以幫助您了解一些預取並在某些使用情況下進行一些加速。 但要真正利用增加的流量並獲得這些轉換率。 您希望儘早開始優化,以便您可以了解高速暫存命中率,並使該站點盡可能地發揮最佳性能。
Ellery Womack: 沒錯。 如果您想從此向後工作,如果黑色星期五和假日季在11月開始,我們的大多數客戶都希望在10月初進行代碼凍結或代碼冷卻。 我們能夠幫助客戶在短短一個月內提高30%。 因此,如果您正在尋求性能改進,我一定會在6月或7月之前開始。
Howie Ross: 是的,這是一個很好的要點,因為當我們到達秋季時,我們應該處於代碼階段,或者我們稱之為代碼冷卻,當然您知道是否存在嚴重錯誤或安全問題。 我們將進行解凍和修補。 但是,在這一點上,我們應該有效地陷入困境。 所以,你知道這種關係到我們的團隊,你知道我們最重要的資產,我們的員工。 那麼,我們應該與我們的成員進行哪些準備工作,以確保他們已為增加的流量做好準備?
Ellery Womack: 我想我可以開始這項工作。 我們的一些客戶正在與我們合作進行事件類比,確保我們準備好應對事件響應流程,並且我們將在執行手冊和客戶執行手冊中記錄該流程。 Tom剛纔說過,您知道您需要做好準備,做好準備,但在實際完成試跑之前,您不知道自己做好了多大準備。
因此,我們是否可以從我們的觀察工具觸發警報,告知網站已停機,我們遇到了重大問題,並確保正確上報,正確的人員在正確的時間範圍內作出響應。 我們可以在通話中或戰爭室中召集合適的人員,有效地調試或診斷問題,確保您也做好準備,讓合適的人員隨時待命。 您是否有日曆顯示在即時響應流程中滿足關鍵角色的人員何時可用? 因此您經常有覆蓋範圍,我強烈建議至少有兩人可用。 正如我們要說的那樣,兩個是一,一個是零。
Tom Gorup: 好極了。 我喜歡這個。 是的,再進一步說,準備是非常重要的,進行桌面練習,確保您了解自己的流程,您將致電給誰。 你知道,執行長什麼時候才發現你受到了攻擊,對吧? 這些事情需要進行散列,否則時機到來時會很混亂,但也只是從安全的角度來看,從假日季來看,一般使用者的認知,這是攻擊者跳入,傳送網路釣魚電子郵件,尋找其他方式擠入您的基礎架構的絕佳機會。 因此,在假日季節提高意識非常重要。
有很多電子郵件來回來回發送。 我們將分享許多黑色星期五交易和和和鍊接。 這些資訊中也有很多惡意。 因此,確保您的人力資源部門和工程師的用戶了解存在的風險是很好的。 我們也有 攻擊趨勢報告 在Edgio酒店 我們要了解的一件事是所有的CVE (常見漏洞和披露),即在今年第一季度發現的或更具體地講到的所有常見漏洞。
我們進一步細分了一下,以了解常見的弱點。 因此,導致該漏洞的產品中存在的漏洞是什麼,我們看到的是前三個,我們稱之為前三個是遠程代碼執行,拒絕服務和特權升級漏洞。 當您在思考如何為工程師提供什麼樣的培訓或認知時,3我們可以針對應用程式中的遠程代碼執行進行額外的安全培訓。 我們如何在代碼級別實施預防措施。 在我們的應用程式中,拒絕服務攻擊會是什麼樣子? 開始進行一些威脅建模,同時培訓工程師如何在代碼級別規避威脅。
Ellery Womack: 因此,在我看來,遠程代碼執行是關於執行代碼和遠程伺服器。 人們如何才能確保惡意攻擊者不會將代碼注入網站,並開始像Magecart那樣進行某種類型的數據竊取攻擊?
Tom Gorup:客戶端保護(CSP)是一種很棒的保護,您可以利用大量輸入清理,這是遠程代碼執行端的另一項功能,我們不希望任何東西在伺服器端執行。
我們可以進行哪種輸入淨化? Edgio本身可以確保API在通過線路發送之前已得到正確的消毒。 您可以將該架構置於工具本身中,然後進行清理。 您可以設定許多控件來保護自己。
Howie Ross: 快速問題,Ellery。 假設您知道,我們已經努力工作了好幾個月,我們已經準備好了我們的分析和觀察能力,以便能夠檢測我們的流量和任何針對我們的攻擊。 我們針對性能進行了優化。 我們已經進行了桌面練習,現在是秋天,您知道假日季節到了,我們可能沒有進行許多代碼部署,或者至少我們希望不會這樣做。 那麼我們可以做些什麼呢?
Ellery Womack: 您現在知道,秋天我們最終幫助客戶的通常是微調許多監控,儀表板和分析。 您已經對所有重要的事情進行了磨練,但我們還能監控哪些事情。 當您沒有為客戶提供新功能和新功能的壓力時,我們可以更多地關注監控和觀察。
確保他們做好準備,並確保我們為那些將關注玻璃監控的人提供合適的工具,尤其是在黑色星期五和網購星期一這樣的日子。 我們通常關注Glass和定期檢查Web應用程式和API執行狀況的人員。 確保他們擁有所需的所有見解;您知道有意義的見解非常重要。
Howie Ross: 很棒的地方 Tom,從安全角度來看,我們在秋天的假日季即將來臨之際,是否有任何事情可以做?
Tom Gorup:像我們的安全架構師一樣,我們與客戶一起微調應用程式,同時也微調WAF,Web Application Firewall以及爬蟲程序管理,這種情況並不罕見。
爬蟲程序管理是一個重要問題,您也可以考慮這一問題。 您想要確保自己擁有良好的SEO評級,不想打破良好的爬蟲程序,但也想要保護特定於事件的頁面。 也許您不希望新的閃屏頁面剛發布。 使用爬蟲程序管理確保您擁有適當的控制措施,使用笑法確保這些措施提前得到適當保護。 我們對WAF進行了大量調整,以確保阻止正確的流量,並允許(對不起)阻止正確的流量,同時允許正確的流量通過。
速率限制是另一項。 將您從負載測試中學到的資訊應用到安全工具中,以確保在伺服器跳過前端之前可以在前端進行保護。 這些都是我們提前做的事情。 這只是確保所有東西都緊固到位,因為我們希望節日活動取得成功。
Howie Ross: 您提到爬蟲程序管理,我只是想仔細檢查一下,因為從安全角度來看,我們經常認為爬蟲程序是惡意的,並試圖在我們的網站上做惡毒的事情。 他們試圖接管人們的賬戶和這種性質的事情。 但是,您知道爬蟲程序對於這個假日季節流量的增加至關重要,因為爬蟲程序是您所了解的搜尋引擎,您知道其他服務用於了解我們網站提供的內容。 您稱之為爬蟲程序管理,而不是緩解。 我們相信,針對好的爬蟲程序進行調整,與調整以防止100 %的惡意爬蟲程序同樣重要。
Tom Gorup:我們注意到的是我們的技術趨勢報告 還有許多網站管理員會封鎖好機器人程式,針對他們不想要的特定網頁,由Google,Yandex,您的網頁建立索引。 這就是機器人程式管理。 您可以封鎖好的機器人程式,而不會對您的SEO造成負面影響,但要有針對性。 然後我們還想阻止惡意爬蟲程序,因為我們不希望,也許我們不希望我們的價格被篡改,也不希望保留席位。 爬蟲程序管理有很多價值。
Howie Ross: 確定。 所以我們已經進入了秋天。 假設現在是比賽日,黑色星期五。 我們現在還能做些什麼,除了吃掉那些感恩節的剩菜,我們還能做些什麼呢?
Tom Gorup: 我認為還沒有人踢腿,至少在安全行業。 這正是我們準備就緒的時候。 你想跳過那頓豐盛的午餐,或者你可以在控制臺吃到火雞昏迷,這不是一個睡覺的好地方。 全部都是實踐練習。 我們經常與客戶溝通,每個人都在談論您所知道的問題,我相信Ellery可以深入了解網站性能的觀察能力。
然後我們還會不斷地檢查交通狀況。 我們是否會看到攻擊,即使是最小的攻擊,也會減少攻擊,以確保我們能夠確保空間的安全。 安全不僅僅是保護應用程式免受攻擊,還確保我們在這裡最大限度地提高可用性,對吧? 當我們可以關閉Web請求或CPU週期時,為什麼會浪費在我們認為已知的攻擊上? 仔細觀察控制臺,跟上工程團隊和網路團隊的步伐,確保我們所有人都保持同步。 通常情況下,我們會在這個時候打開它,然後在346小時後執行,確保我們對該活動有充分的報道。
Ellery Womack:值班結束後,您可以享受所有折扣,享受零售療法。
Howie Ross:那麼Ellery,除了這種零售療法外,工程和業務團隊目前在做什麼?
Ellery Womack: 我們一直在進行分析。 人們正在檢查以確保我們達到目標。 我們的很多客戶已經在黑色星期五和網購星期一進行了一些活動的試執行,他們在這些活動中進行了一些促銷活動,幫助他們預測需求的高峰以及用戶的載入和瀏攬模式。 我們正在驗證這一點,以確保我們獲得正確數量的用戶,獲得正確數量的購物車活動和人員,瀏攬產品和生成產品曝光率等。 我們正在確保一切都在我們的期望範圍內。 我們希望確保性能達到標準。 使用實時用戶監控的執行工具檢查實時性能數據非常有用。
您想要確保網站正常工作。 不僅從伺服器的角度來看,靜態資產和內容正在提供服務,而且用戶的瀏攬器正確呈現所有內容也是其中的另一個關鍵方面。 我們希望確保網站保持平穩執行。 我們對網站的所有方面都有實時洞察,而不僅僅是網站的績效,但業務KPI和其他對業務利益相關者有意義的指標也得到了滿足。
我希望這已經概括了組織應該考慮的事情,並從現在開始真正執行這些事情,以確保他們為這個關鍵的假日季做好準備。 我們提到了安全性和性能測試以及補救措施的重要性,並在我們的流量分析和其他見解方面具有適當的可觀察性。 確保我們所有人都已準備好所有安全協議和工具,最重要的是,我們的團隊已做好準備,並將在此期間隨時可用。 當我們知道很多人都在旅行,您想要抽出一些時間時。 但鑑於這一年中的這個時機對企業的重要性,我們真的希望這能為您提供一些啟發性思考和一些您可以立即採取的行動。
我想再次感謝Ellery和Tom的參與,感謝大家收聽這一集Beyond the Edge。 下次見。
