Rosnące koszty utrzymania infrastruktury związane ze wzrostem natężenia ruchu, przejęcia kont, nieuprawnione wykorzystanie kart podarunkowych, usuwanie własności intelektualnej – to powszechne kłopoty biznesu wynikające ze stosowania botów przez świat cyberprzestępczy. Przypomnijmy też, że w ostatnim czasie sam wzrost ataków DDoS wyniósł 55%[1], z czego ponad 50% stanowią ataki wykorzystujące wiele wektorów.
Firmy próbują zaradzić tym problemom, ograniczając szybkość, blokując szkodliwe adresy IP i lokalizacje. Wykorzystują także przestarzałą i nieskuteczną technologię CAPTCHA czy utrudniające klientom korzystanie z aplikacji uwierzytelnianie wieloskładnikowe (MFA). Powyższym celom służy wiele rozwiązań, które mają za zadanie uprzedzić ruchy atakujących i zaradzić rosnącej frustracji klientów próbującym finalizować zakupy czy transakcje. Główne wyzwania połączonych sił biznesu i IT wiążą się z trendami kreowanymi przez atakujących.
Atakujący zmieniają narzędzia
Jeśli wartość kont klientów firmy czy organizacji jest wysoka, napastnicy będą nieustannie próbować się do niej dostać, zmieniając metody i narzędzia aż do skutku. Wprowadzający środki zaradcze biznes jest narażony na zmieniające się stale formy ataku, które mają na celu ominięcie zabezpieczeń – włącznie z wykorzystaniem Sztucznej Inteligencji.
Najpopularniejsze metody hakerów i poprawne wykrywanie anomalii
Atakujący stale wykorzystują boty, automatyzację i zhakowane dane uwierzytelniające, aby osiągnąć przychód. Podstawowe środki łagodzące nie są wystarczające[2]. Atakujący zazwyczaj wykorzystują cztery metody dla ukrycia się i pozyskania dostępu:
- Spoofing – fałszowanie usług i protokołów ruchu sieciowego
- Emulowanie – duplikacja prawidłowych urządzeń i przeglądarek
- Wykorzystywanie skradzionych danych oraz syntetycznych tożsamości
- Naśladowanie i prezentowanie rzeczywistych ludzkich zachowań
Dobre rozwiązania mitygujące wykorzystują różnorodne sygnały i Sztuczną Inteligencję, aby dostarczać praktycznej wiedzy i wykrywać nietypowe zachowania wskazujące na oszustwo — w tym czynności kopiowania i wklejania, przełączanie ekranu, dziwne wykorzystanie zawartości ekranu, powinowactwo urządzeń, fałszowanie środowiska i próby anonimizacji tożsamości.
Tradycyjne rozwiązania zabezpieczające utrudniają życie klientom
Tymczasem powszechne CAPTCHA są przestarzałe i nieskuteczne ze względu na działalność ludzkich farm kliknięć, które je rozwiązują. Często stosowane żądania realizacji uwierzytelniania wieloskładnikowego (MFA) także są łamane przez podszywanie się hakerów pod właścicieli kont z wykorzystaniem wykradzionych danych osobowych. Obie technologie utrudniają korzystanie klientom z aplikacji. Wskaźnik niepowodzenia transakcji u ludzi waha się w przypadku zastosowania powyższych od 15% do 50%. Prowadzi to do porzucania koszyków zakupowych i zmniejszenia zadowolenia użytkowników.
Kłopot z fałszywymi alarmami – pozytywne identyfikacje ludzi jako botów są faktem
Człowiek może być rozpoznany przez rozwiązania mitygujące jako bot i odwrotnie. Rozwiązania łagodzące kłopoty z botami mogą się mylić – warto przyjrzeć się rozmiarom podobnych pomyłek i szybko reagować na fałszywe alarmy i niwelować podobne alerty w przyszłości.
Przestępcy omijają wykrywanie botów – konieczność dostosowania rozwiązań
Faktem jest, że przestępcy omijają zabezpieczenia. Skuteczna strategia dostosowania rozwiązań musi opierać się na założeniu, że napastnik bezproblemowo omija wszystkie środki zaradcze. Kluczowa staje się błyskawiczna reakcja na jego działania i wpisanie jej w strategię ochrony przed botami. Firmy powinny mieć świadomość, w jakim czasie są w stanie zareagować na zmianę ich rozwiązań zabezpieczających oraz jak szybko są mogą wprowadzić do nich odpowiednie zmiany.
Śledzenie ataku wymaga analizy ciągłej – widoczność anomalii jest kluczowa
Gdy zabezpieczenia zostaną ominięte, rozwiązanie czy usługa mitygująca powinny mieć ciągły wgląd w przebieg ataku. Najskuteczniejsze rozwiązania stale gromadzą i analizują różne sygnały telemetryczne urządzeń, sieci, środowiska i behawioralne, aby zmaksymalizować widoczność i dokładnie zidentyfikować anomalie. Poprawia to skuteczność modeli Sztucznej Inteligencji w pętli zamkniętej, zapewniając kluczowe informacje dla operacji bezpieczeństwa.
„Sprawdzam” – pytania IT
Analizując odporność organizacji na zautomatyzowane ataki, konieczne staje się przyjrzenie się także kosztom wdrożenia i utrzymania rozwiązań. W tym rozpatrzenie, czy możliwe jest wykorzystanie chmury oraz modelu kosztów zabezpieczeń (czysty ruch lub opłata godzinowa). Warto odpowiedzieć sobie na kilka pytań. Np. jeśli użytkownik lub administrator musi zainstalować niestandardowe oprogramowanie punktu końcowego, czy ochrona będzie automatyczna? Jeśli nie ma punktu końcowego, w jaki sposób rozwiązanie wykrywa zrotowane urządzenia mobilne? Jak wykrywane są ataki przy użyciu najnowszych narzędzi bezpieczeństwa i danych z Dark Web? A co z API?
Trzeba pamiętać o oszustwach manualych – kierowanych przez ludzi
Celem ominięcia zabezpieczeń przed botami zdeterminowani przestępcy wprowadzają w przeglądarkach dane uwierzytelniające także ręcznie. Może to prowadzić do przejęcia kont (ATO) i oszustw. Zabezpieczenia powinny też uwzględniać ocenę, czy mamy do czynienia z klientem czy przestępcą, aby na tej podstawie podjąć kroki dla manualnych działań ludzi lub przeciw nim.
Ireneusz Wiśniewski, dyrektor zarządzający F5 Poland
[1] https://www.f5.com/labs/articles/threat-intelligence/ddos-attack-trends-for-2020 dane z okresu styczeń 2020 – marzec 2021: analiza F5 Silverline Security Operations Center (SOC) i F5 Security Incident Response Team (SIRT)
[2] Dla przykładu spójrzmy na metodę blokowania IP. Atakujący ponownie wykorzystują adresy IP (średnio tylko 2,2 raza). Często w interwałach raz dziennie lub raz w tygodniu. To sprawia, że blokowanie adresów IP jest w dużej mierze nieskuteczne.
