Почему организациям не удается отражать атаки ботов

This post is also available in: Английский Французский Немецкий Итальянский Португальский, Бразилия Испанский

Потребность в противодействии ботам увеличивается вместе с ростом автоматизированных атак. Раньше боты занимались лишь скрейпингом или рассылкой спама. В наши дни все иначе. Теперь боты применяются для перехвата учетных записей, DDoS-атак, атак на API, воровства уникального контента и сведений о ценах и в других преступных целях.

Несмотря на серьезные угрозы, компании не спешат внедрять решения для противодействия. Почему же так происходит? Многие компании все еще недооценивают опасность. Они пытаются ограничить действия ботов с помощью собственных ресурсов и этим ставят пользователей под удар. Исследование «Подводные камни самостоятельно разработанных решений для отражения бот-атак», проведенное экспертами Центра инноваций Radware, показало, что попытка компаний противодействовать ботам собственными силами приносит больше вреда, чем пользы.

Такие решения смогли обнаружить только 11,54 % вредоносных ботов, тогда как их реальный трафик составил 22,39 % от общего объема. Проблема еще и в том, что почти половина из числа обнаруженных ботов— ложные результаты.

Рисунок 1. Боты, обнаруженные самостоятельно разработанными решениями, и реальный процент вредоносных ботов

[Также вам может быть интересно. Защита авиакомпании от вредоносных ботов: анализ успешного применения]

Так почему решения, самостоятельно разработанные компаниями, не справляются? Прежде чем ответить на этот вопрос, рассмотрим некоторые важные факты.

Больше половины вредоносных ботов атакуют из маленьких стран

Маленькие страны генерируют значительную часть трафика вредоносных ботов. Например, Андорра — это крохотное европейское княжество, известный налоговый оазис. Андорра не входит в Европейский союз (ЕС) и не обязана делиться данными. Именно поэтому для атак ботов применяются серверы, размещенные в Андорре.

Рисунок 2. Страны происхождения ботов  

Сегодня атакующие используют передовые технологии, чтобы перемещаться между тысячью IP-адресами и обходить географические фильтры трафика. Когда боты атакуют из разных регионов, анализ IP-адресов и фильтрация по территориальному принципу становятся бесполезными. Необходимо понимать намерения посетителей и ограничивать подозрительные действия.

Треть вредоносных ботов может имитировать поведение человека

Противодействовать ботам сложно. Для этого нужна отдельная технология и поддержка экспертов, которые хорошо знают поведение полезных и вредоносных ботов. Эти боты могут имитировать поведение человека (например движение мышью и нажатие клавиш), чтобы обманывать системы безопасности.

Сложные боты распределены по тысячам IP-адресов или идентификаторам устройств и могут подключаться со случайных IP-адресов, чтобы избежать обнаружения. И это далеко не все уловки. Сложные боты учитывают меры противодействия. Помимо подключения со случайных IP-адресов, они могут атаковать из разных регионов. Боты используют разные комбинации пользовательских агентов, чтобы обходить защитные решения, разработанные самими компаниями.

Такие решения не различают типы ботов и поэтому терпят неудачу. Эти решения работают на основе данных, собранных внутри компании. Им не хватает глобальной аналитики угроз. Обнаружение и защита от ботов — специфическая область, где требуются полное понимание проблемы и постоянные исследования. Только так можно противодействовать киберпреступникам.

Сталкиваясь с вредоносными ботами, компании из разных отраслей в первую очередь разворачивают собственные решения. К их огорчению, эти решения зачастую не могут обнаружить сложных ботов.

Вот несколько рекомендаций

Внедрите аутентификацию с запросом и ответом Аутентификация с запросом и ответом помогает фильтровать первое поколение ботов. Есть разные типы аутентификации с запросом и ответом. Самый популярный тип — CAPTCHA. Однако такая аутентификация помогает фильтровать только устаревшие пользовательские агенты/браузеры и базовые сценарии. Она бессильна перед сложными ботами, которые могут имитировать поведение человека.

Внедрите механизм строгой аутентификации в API С широким распространением API их все чаще атакуют боты. Обычно API проверяют только статус аутентификации, но не подлинность пользователя. Злоумышленники используют эти слабые места (например перехватывают сеансы и агрегируют учетные записи), чтобы имитировать подлинные вызовы API. Внедрите механизмы строгой аутентификации в API, чтобы устранить уязвимости.

Следите за неудачными попытками входа и неожиданными всплесками трафика Атакующие используют вредоносных ботов для атак методом подстановки украденных учетных данных и методом простого перебора на страницах входа. Это подразумевает ввод разных комбинаций имени пользователя и пароля, поэтому число неудачных попыток входа растет.  Присутствие вредоносных ботов на вашем веб-сайте также ведет к увеличению трафика. Следите за неудачными попытками входа и неожиданными всплесками трафика и принимайте упреждающие меры до того, как вредоносные боты проникнут в ваши веб-приложения.

Разверните специализированное решение для противодействия ботам Описанные выше меры обеспечивают базовую защиту, но не гарантируют безопасность критически важной информации и учетных записей пользователей. Сложные боты третьего и четвертого поколения (37 % всего трафика вредоносных ботов) могут быть распределены по тысячам IP-адресов и атаковать вашу компанию разными способами. Они могут участвовать в медленных маломощных атаках или масштабных распределенных атаках, которые ведут к простоям. Специализированное решение для управления ботами облегчает обнаружение и отражение в реальном времени таких сложных, автоматизированных атак.

Понравилась статья? Подпишитесь на еженедельную рассылку свежих новостей от Radware
и получите эксклюзивный доступ к премиум-материалам Radware.