Por que as organizações estão falhando em gerenciar ataques crescentes de bots

0
257

This post is also available in: Inglês Francês Alemão Italiano Espanhol Russo

A necessidade de gerenciar bots é alimentada pelo aumento dos ataques automatizados. No início, o uso de bots era limitado a pequenas tentativas de rastreamento ou envios de spam. Hoje, as coisas são muito diferentes. Os bots estão sendo usados para assumir contas de usuários, realizar ataques DDoS, abusar de APIs, rastrear conteúdo exclusivo e informações de preços, e muito mais.

Une image contenant objet d’extérieur, bleu

Description générée automatiquement

E, apesar das sérias ameaças, as empresas estão adotando soluções de gerenciamento de bots? A resposta é não. Muitas ainda se recusam a fazê-lo. Essas empresas estão tentando restringir os bots usando recursos/soluções internas, colocando em risco a segurança dos usuários. Em um estudo chamado Desenvolvimento de soluções internas de gerenciamento de bots e suas armadilhas, pesquisadores de segurança do Centro de Inovação da Radware constataram que gerenciar bots com recursos internos está fazendo mais mal do que bem.

Em relação a 22,39% do tráfego real de bots maliciosos, as soluções avançadas de gerenciamento interno de bots detectaram apenas 11,54% dos bots ruins. Essas soluções não apenas falharam na detecção da maioria dos bots ruins, mas quase 50% dos 11,54% detectados também eram falsos positivos.

Figura 1: Bots detectados por soluções internas de gerenciamento de bots versus porcentagem real de bots maliciosos

[Você também pode se interessar por: Protegendo uma companhia aérea contra bots maliciosos: Um estudo de caso um estudo de caso]

Então por que as soluções internas de gerenciamento de bots falham? Antes de nos aprofundarmos em descobrir os motivos por trás do fracasso das soluções internas de gerenciamento de bots, vamos analisar alguns fatores críticos.

Mais da metade dos bots ruins são originários de países menores

Ao comparar os países com a maior porcentagem de tráfego de bots como parte do tráfego de saída total, muitas das nações são muito pequenas. Por exemplo, Andorra é um pequeno principado na Europa, conhecido por ser um paraíso fiscal. Como Andorra não faz parte da União Europeia (UE), não tem obrigação de compartilhar os dados que armazena. Assim, os invasores utilizam servidores localizados em Andorra para lançar ataques de bots porque os dados são protegidos.

Figura 2: Origem dos bots maliciosos por país  

Os invasores cibernéticos agora aproveitam tecnologias avançadas para vasculhar milhares de IPs e evitar a filtragem de tráfego com base na geografia. Quando os bots emanam de diversas localizações geográficas, as soluções baseadas em heurísticas de filtragem geográfica ou baseadas em IP estão se tornando inúteis. A detecção requer o entendimento da intenção dos seus visitantes para capturar os suspeitos.

Um terço dos bots ruins podem imitar o comportamento humano

O gerenciamento de bots é complexo e requer uma tecnologia dedicada com especialistas com profundo conhecimento dos bons e maus comportamentos dos bots por trás dele. Esses bots podem imitar o comportamento humano (como movimentos do mouse e pressionamentos de teclas) para escapar dos sistemas de segurança existentes.

Bots sofisticados são distribuídos em milhares de endereços IP ou IDs de dispositivos, e podem se conectar por meio de IPs aleatórios para evitar a detecção. Essas ações furtivas que evitam a detecção não param por aí. Os programas desses bots sofisticados entendem as medidas que você pode tomar para detê-los. Eles sabem que, além de endereços IP aleatórios, a localização geográfica é outra área que eles podem explorar. Os bots aproveitam diferentes combinações de agentes de usuário para evitar medidas de segurança internas.

As soluções internas não têm visibilidade dos diferentes tipos de bots e é aí que elas falham. Essas soluções funcionam com base nos dados coletados de recursos internos e carecem de inteligência global contra ameaças. O gerenciamento de bots é um espaço de nicho e requer um entendimento abrangente e uma pesquisa contínua para acompanhar os famosos cibercriminosos.

As organizações que trabalham em vários setores implantam medidas internas como sua primeira etapa de mitigação ao enfrentar bots ruins. Infelizmente, as soluções internas geralmente não reconhecem padrões sofisticados de bots.

Recomendações

Implante a autenticação por desafio e resposta: A autenticação por desafio e resposta ajuda a filtrar bots de primeira geração. Existem diferentes tipos de autenticações por desafio e resposta, sendo os CAPTCHAs os mais utilizados. No entanto, a autenticação por desafio e resposta só pode ajudar na filtragem de agentes/navegadores de usuários desatualizados e scripts automatizados básicos, e não consegue parar bots sofisticados que podem imitar o comportamento humano.

Implemente o mecanismo de autenticação rígido em APIs: Com a ampla adoção de APIs, os ataques de bots em APIs mal protegidas estão aumentando. As APIs normalmente verificam apenas o status de autenticação, mas não a autenticidade do usuário. Os invasores exploram essas falhas de várias maneiras, incluindo sequestro de sessão e agregação de contas, para imitar chamadas de API legítimas. A implementação de mecanismos rígidos de autenticação em APIs pode ajudar a evitar violações de segurança.

Monitore tentativas de login com falha e picos repentinos no tráfego: Os invasores cibernéticos implantam bots ruins para realizar ataques de preenchimento de credenciais e quebra de credenciais nas páginas de login. Como essas abordagens envolvem a tentativa de credenciais diferentes, ou uma combinação diferente de IDs de usuário e senhas, isso aumenta o número de tentativas de login com falha.  A presença de bots maliciosos em seu site de repente aumenta o tráfego também. O monitoramento de tentativas de login com falha e um aumento repentino no tráfego podem ajudar você a tomar medidas preventivas antes que bots maliciosos penetrem em seus aplicativos da Web.

Implemente uma solução dedicada de gerenciamento de bots: Medidas internas, como as práticas mencionadas acima, proporcionam proteção básica, mas não garantem a segurança de seu conteúdo crucial para os negócios, contas de usuários e outros dados confidenciais. Bots sofisticados de terceira e quarta gerações, que agora respondem por 37% do tráfego de bots ruins, podem ser distribuídos por milhares de endereços IP e podem atacar sua empresa de várias maneiras. Eles podem realizar ataques low & slow ou fazer ataques distribuídos em larga escala que podem resultar em tempo de inatividade. Uma solução dedicada de gerenciamento de bots facilita a detecção e mitigação em tempo real dessas atividades sofisticadas e automatizadas.

Gostou desta publicação? Inscreva-se agora para receber o conteúdo mais recente da Radware na sua caixa de entrada
toda semana, além de acesso exclusivo ao conteúdo premium da Radware

LEAVE A REPLY

Please enter your comment!
Please enter your name here