Rosn?ce koszty utrzymania infrastruktury zwi?zane ze wzrostem nat??enia ruchu, przej?cia kont, nieuprawnione wykorzystanie kart podarunkowych, usuwanie w?asno?ci intelektualnej – to powszechne k?opoty biznesu wynikaj?ce ze stosowania botów przez ?wiat cyberprzest?pczy. Przypomnijmy te?, ?e w ostatnim czasie sam wzrost ataków DDoS wyniós? 55%, z czego ponad 50% stanowi? ataki wykorzystuj?ce wiele wektorów.
Firmy próbuj? zaradzi? tym problemom, ograniczaj?c szybko??, blokuj?c szkodliwe adresy IP i lokalizacje. Wykorzystuj? tak?e przestarza?? i nieskuteczn? technologi? CAPTCHA czy utrudniaj?ce klientom korzystanie z aplikacji uwierzytelnianie wielosk?adnikowe (MFA). Powy?szym celom s?u?y wiele rozwi?za?, które maj? za zadanie uprzedzi? ruchy atakuj?cych i zaradzi? rosn?cej frustracji klientów próbuj?cym finalizowa? zakupy czy transakcje. G?ówne wyzwania po??czonych si? biznesu i IT wi??? si? z trendami kreowanymi przez atakuj?cych.
Atakuj?cy zmieniaj? narz?dzia
Je?li warto?? kont klientów firmy czy organizacji jest wysoka, napastnicy b?d? nieustannie próbowa? si? do niej dosta?, zmieniaj?c metody i narz?dzia a? do skutku. Wprowadzaj?cy ?rodki zaradcze biznes jest nara?ony na zmieniaj?ce si? stale formy ataku, które maj? na celu omini?cie zabezpiecze? – w??cznie z wykorzystaniem Sztucznej Inteligencji.
Najpopularniejsze metody hakerów i poprawne wykrywanie anomalii
Atakuj?cy stale wykorzystuj? boty, automatyzacj? i zhakowane dane uwierzytelniaj?ce, aby osi?gn?? przychód. Podstawowe ?rodki ?agodz?ce nie s? wystarczaj?ce. Atakuj?cy zazwyczaj wykorzystuj? cztery metody dla ukrycia si? i pozyskania dost?pu:
· Spoofing – fa?szowanie us?ug i protoko?ów ruchu sieciowego
· Emulowanie – duplikacja prawid?owych urz?dze? i przegl?darek
· Wykorzystywanie skradzionych danych oraz syntetycznych to?samo?ci
· Na?ladowanie i prezentowanie rzeczywistych ludzkich zachowa
Dobre rozwi?zania mityguj?ce wykorzystuj? ró?norodne sygna?y i Sztuczn? Inteligencj?, aby dostarcza? praktycznej wiedzy i wykrywa? nietypowe zachowania wskazuj?ce na oszustwo — w tym czynno?ci kopiowania i wklejania, prze??czanie ekranu, dziwne wykorzystanie zawarto?ci ekranu, powinowactwo urz?dze?, fa?szowanie ?rodowiska i próby anonimizacji to?samo?ci.
Tradycyjne rozwi?zania zabezpieczaj?ce utrudniaj? ?ycie klientom
Tymczasem powszechne CAPTCHA s? przestarza?e i nieskuteczne ze wzgl?du na dzia?alno?? ludzkich farm klikni??, które je rozwi?zuj?. Cz?sto stosowane ??dania realizacji uwierzytelniania wielosk?adnikowego (MFA) tak?e s? ?amane przez podszywanie si? hakerów pod w?a?cicieli kont z wykorzystaniem wykradzionych danych osobowych. Obie technologie utrudniaj? korzystanie klientom z aplikacji. Wska?nik niepowodzenia transakcji u ludzi waha si? w przypadku zastosowania powy?szych od 15% do 50%. Prowadzi to do porzucania koszyków zakupowych i zmniejszenia zadowolenia u?ytkowników.
K?opot z fa?szywymi alarmami – pozytywne identyfikacje ludzi jako botów s? faktem
Cz?owiek mo?e by? rozpoznany przez rozwi?zania mityguj?ce jako bot i odwrotnie. Rozwi?zania ?agodz?ce k?opoty z botami mog? si? myli? – warto przyjrze? si? rozmiarom podobnych pomy?ek i szybko reagowa? na fa?szywe alarmy i niwelowa? podobne alerty w przysz?o?ci.
Przest?pcy omijaj? wykrywanie botów – konieczno?? dostosowania rozwi?za?
Faktem jest, ?e przest?pcy omijaj? zabezpieczenia. Skuteczna strategia dostosowania rozwi?za? musi opiera? si? na za?o?eniu, ?e napastnik bezproblemowo omija wszystkie ?rodki zaradcze. Kluczowa staje si? b?yskawiczna reakcja na jego dzia?ania i wpisanie jej w strategi? ochrony przed botami. Firmy powinny mie? ?wiadomo??, w jakim czasie s? w stanie zareagowa? na zmian? ich rozwi?za? zabezpieczaj?cych oraz jak szybko s? mog? wprowadzi? do nich odpowiednie zmiany.
?ledzenie ataku wymaga analizy ci?g?ej – widoczno?? anomalii jest kluczowa
Gdy zabezpieczenia zostan? omini?te, rozwi?zanie czy us?uga mityguj?ca powinny mie? ci?g?y wgl?d w przebieg ataku. Najskuteczniejsze rozwi?zania stale gromadz? i analizuj? ró?ne sygna?y telemetryczne urz?dze?, sieci, ?rodowiska i behawioralne, aby zmaksymalizowa? widoczno?? i dok?adnie zidentyfikowa? anomalie. Poprawia to skuteczno?? modeli Sztucznej Inteligencji w p?tli zamkni?tej, zapewniaj?c kluczowe informacje dla operacji bezpiecze?stwa.
„Sprawdzam” – pytania IT
Analizuj?c odporno?? organizacji na zautomatyzowane ataki, konieczne staje si? przyjrzenie si? tak?e kosztom wdro?enia i utrzymania rozwi?za?. W tym rozpatrzenie, czy mo?liwe jest wykorzystanie chmury oraz modelu kosztów zabezpiecze? (czysty ruch lub op?ata godzinowa). Warto odpowiedzie? sobie na kilka pyta?. Np. je?li u?ytkownik lub administrator musi zainstalowa? niestandardowe oprogramowanie punktu ko?cowego, czy ochrona b?dzie automatyczna? Je?li nie ma punktu ko?cowego, w jaki sposób rozwi?zanie wykrywa zrotowane urz?dzenia mobilne? Jak wykrywane s? ataki przy u?yciu najnowszych narz?dzi bezpiecze?stwa i danych z Dark Web? A co z API?
Trzeba pami?ta? o oszustwach manualych – kierowanych przez ludzi
Celem omini?cia zabezpiecze? przed botami zdeterminowani przest?pcy wprowadzaj? w przegl?darkach dane uwierzytelniaj?ce tak?e r?cznie. Mo?e to prowadzi? do przej?cia kont (ATO) i oszustw. Zabezpieczenia powinny te? uwzgl?dnia? ocen?, czy mamy do czynienia z klientem czy przest?pc?, aby na tej podstawie podj?? kroki dla manualnych dzia?a? ludzi lub przeciw nim.
Autor: Ireneusz Wi?niewski, dyrektor zarz?dzaj?cy F5 Poland
dane z okresu stycze? 2020 – marzec 2021: analiza F5 Silverline Security Operations Center (SOC) i F5 Security Incident Response Team (SIRT)
Dla przyk?adu spójrzmy na metod? blokowania IP. Atakuj?cy ponownie wykorzystuj? adresy IP (?rednio tylko 2,2 raza). Cz?sto w interwa?ach raz dziennie lub raz w tygodniu. To sprawia, ?e ??blokowanie adresów IP jest w du?ej mierze nieskuteczne.
