Perché le aziende non riescono a gestire gli attacchi bot in aumento

0
361

This post is also available in: Inglese Francese Tedesco Portoghese, Brasile Spagnolo Russo

La necessità del bot management è dovuta all’aumento degli attacchi automatizzati. All’inizio l’uso dei bot era limitato a piccoli tentativi di scraping o spamming. Oggi le cose sono molto diverse. I bot vengono infatti utilizzati per assumere il controllo di account, lanciare attacchi DDoS, abusare di API, effettuare uno scraping di contenuti unici e informazioni sui prezzi e così via.  

Une image contenant objet d’extérieur, bleu

Description générée automatiquement

Nonostante le gravi minacce, le imprese stanno adottando soluzioni di gestione dei bot? La risposta è no! Molte stanno ancora negando la realtà! Queste aziende cercano di frenare i bot utilizzando risorse/soluzioni in-house, mettendo quindi a rischio la sicurezza degli utenti. In uno studio, Development of In-house Bot Management Solutions and their Pitfalls, i ricercatori dell’Innovation Center di Radware hanno scoperto che il bot management attraverso risorse in-house sta facendo più male che bene. 

A fronte del 22,39% di traffico effettivo di bot malevoli, le soluzioni di bot management in-house hanno rilevato soltanto l’11,54% dei bot malevoli. Non soltanto tali soluzioni non sono riuscite a rilevare la maggior parte di questi bot, ma quasi il 50% dell’11,54% rilevato si è dimostrato un falso positivo. 

Figura 1: Bot rilevati da soluzioni di bot management in-house vs. percentuale effettiva di bot malevoli

[Ti potrebbe interessare anche: Proteggere una compagnia aerea dai bad bot: un caso di studio]

Perché le soluzioni in-house di bot management falliscono? Prima di approfondire le ragioni del fallimento di queste soluzioni, analizziamo alcuni fattori critici.  

Più della metà dei bot malevoli proviene da paesi piccoli 

Quando si confrontano i paesi con la più alta percentuale di traffico bot all’interno del traffico totale in uscita, molte delle nazioni in questione sono piccolissime. Per esempio, Andorra è un piccolo principato in Europa noto come paradiso fiscale. Dal momento che Andorra non fa parte dell’Unione Europea (UE), non ha l’obbligo di condividere i dati che conserva. Pertanto, per lanciare attacchi bot gli aggressori utilizzano server ubicati ad Andorra approfittando di tale protezione dei dati.  

Figura 2: Origine dei bot malevoli per paese 

I pirati informatici oggi sfruttano tecnologie avanzate per setacciare migliaia di IP ed eludere il filtraggio del traffico basato sulla geografia. Quando i bot provengono da diverse località geografiche, le soluzioni basate su euristiche di filtraggio IP-based o a base geografica sono inutili. La rilevazione necessita di comprendere le intenzioni dei visitatori per individuare quelli sospetti. 

Un terzo dei bot malevoli può imitare il comportamento umano 

Il bot management è complesso e richiede una tecnologia dedicata con dietro esperti dotati di una conoscenza approfondita del comportamento dei bot benevoli e malevoli. Questi bot sono in grado di imitare il comportamento umano (per es. i movimenti del mouse e la pressione sui tasti) per eludere i sistemi di sicurezza in essere.  

Bot sofisticati sono distribuiti su migliaia di indirizzi IP o ID dei dispositivi e possono connettersi attraverso IP casuali per eludere il rilevamento. Queste azioni furtive anti rilevamento non si fermano qui. I programmi di questi sofisticatissimi bot capiscono le misure adottate per fermarli. Essi sanno che, oltre agli indirizzi IP casuali, la posizione geografica è un’altra area che possono sfruttare. I bot sfruttano diverse combinazioni di user agent per eludere le misure di sicurezza in-house. 

Le soluzioni in-house non hanno visibilità sui diversi tipi di bot ed è in questo che falliscono. Queste soluzioni funzionano in base ai dati raccolti dalle risorse interne e mancano di un’intelligence globale sulle minacce. Il bot management è uno spazio di nicchia e richiede una comprensione profonda e una ricerca continua per stare al passo con i famigerati criminali informatici. 

Le aziende che operano in vari settori impiegano misure in-house come primo passo di mitigazione nell’affrontare i bot malevoli. Con loro sconcerto, le soluzioni in-house spesso non riescono a riconoscere i pattern bot più sofisticati. 

Raccomandazioni 

Impiega un protocollo di autenticazione challenge-response: L’autenticazione challenge-response ti aiuta a filtrare i bot di prima generazione. Ci sono diversi tipi di autenticazioni challenge-response, tra i quali i CAPTCHA sono i più usati. Tuttavia, questo tipo di autenticazione può aiutare soltanto a filtrare gli user agent/browser più obsoleti e gli script automatici di base, ma non può fermare i bot più sofisticati in grado di imitare il comportamento umano. 

Utilizza un meccanismo di autenticazione rigoroso sulle API: Con l’adozione sempre più massiccia delle API, gli attacchi bot su API scarsamente protette sono in aumento. Le API solitamente verificano soltanto lo stato di autenticazione ma non l’autenticità dell’utente. Gli aggressori sfruttano queste falle in vari modi (tra cui l’hijacking della sessione e l’aggregazione di account) per imitare chiamate API genuine. L’impiego di meccanismi di autenticazione rigorosi sulle API può aiutare a prevenire violazioni alla sicurezza. 

Monitora i tentativi di accesso falliti e i picchi improvvisi di traffico: Gli aggressori informatici impiegano bot malevoli per lanciare attacchi di credential stuffing e credential cracking sulle pagine di login. Dal momento che tali approcci richiedono di provare diverse credenziali o diverse combinazioni di ID utente e password, il numero di tentativi di accesso falliti aumenta. La presenza di bot malevoli sul tuo sito web fa aumentare improvvisamente anche il traffico. Il monitoraggio dei tentativi di login falliti e degli improvvisi picchi traffico può aiutarti ad adottare misure preventive prima che i bot malevoli penetrino nelle tue applicazioni web. 

Impiega una soluzione dedicata di bot management: Le misure in-house come quelle sopra menzionate forniscono una protezione di base ma non garantiscono la sicurezza dei tuoi contenuti business-critical, dei tuoi account e di altri dati sensibili. Sofisticati bot di terza e quarta generazione, che oggi rappresentano il 37% del traffico di bot malevoli, possono essere distribuiti su migliaia di indirizzi IP e attaccare il tuo business in più modi. Essi possono lanciare attacchi low-and-slow o attacchi distribuiti su larga scala che possono portare a un downtime. Una soluzione di bot management dedicata facilita il rilevamento in tempo reale e la mitigazione di tali sofisticate attività automatizzate. 

Ti è piaciuto il post? Registrati subito per ricevere ogni settimana le ultime novità Radware direttamente nella tua email oltre all’accesso esclusivo al Premium Content di Radware

LEAVE A REPLY

Please enter your comment!
Please enter your name here