Dlaczego organizacje powinny korzystać z usług zewnętrznych ekspertów, aby chronić sie przed złymi BOTami?
źródło: opracowanie własne
Nielegalne przejmowanie danych lub dostępów do kont użytkowników, zapożyczanie treści ze stron internetowych i powielanie ich na innych serwisach bez wiedzy autora, wreszcie ataki DoS, mające przejąć kontrolę nad daną witryną – to tylko niektóre przykłady aktywności złych BOTów. Z ich problemem boryka się coraz więc firm, także w Polsce. Jak ochronić biznes przed tym zagrożeniem? W poniższym tekście zastanowimy się czy firma powinna wprowadzić wewnętrzne rozwiązania problemu złych Botów czy też skorzystać z usług zewnętrznego eksperta.
Metody zarządzania złośliwymi BOTami.
Złe BOTy, zwane też złośliwymi, to zautomatyzowane programy, wykonujące pewne przypisane im działania na danej stronie internetowej lub urządzeniu, na którym zostaną zainstalowane. Charakteryzują się tym, że podejmowane przez nie aktywności są formą oszustwa, a sama akcja odbywa się bez wiedzy administratora strony lub właściciela sprzętu. Efektem ich działania są najczęściej: kradzieże danych lub własności intelektualnej, przejmowanie kont użytkowników, odebranie kontroli nad daną witryną internetową i dostarczanie fałszywego ruchu na serwis w celu zapewnienia oszustowi korzyści finansowych. Mogą więc być bardzo niebezpieczne praktycznie dla każdego e-biznesu, a ich aktywność w internecie rośnie z roku na rok w zatrważającym tempie. Podobnie jak ich technologiczne zaawansowanie.
Jak przyznaje większość dyrektorów firm, ich pierwszą odpowiedzią na działanie złych BOTów było wprowadzenie wewnętrznego mechanizm obronnego. Możemy wyróżnić cztery rodzaje wewnętrznych rozwiązań do zarządzania złośliwymi BOTami, które organizacja podejmuje w ramach swojej struktury:
-
ręczna analiza, mająca na celu stworzenie listy podejrzanych adresów IP, a następnie blokowane ich za pomocą kontroli dostępu,
-
ograniczenie liczby wizyt z tego samego adresu IP,
-
podstawowe rozwiązania oparte na fingerprintingu (więcej o tej technice pisaliśmy w poprzednim tekście), zbierające informacje o adresie IP i innych podstawowych danych, aby zidentyfikować i zablokować złośliwe BOTy,
-
zaawansowane wewnętrzne rozwiązania do zarządzania botami tworzone przy wykorzystaniu wewnętrznych danych i uczenia maszynowego.
Niestety jak dowodzą badania przeprowadzone w organizacjach, które wdrożyły wewnętrzne rozwiązania mające chronić je przed złymi BOTami – metody te nie są skuteczne, a zdarza się, że przynoszą więcej szkód niż pożytku.
Wady wewnętrznych rozwiązań do zarządzania botami
Przede wszystkim mechanizmy stosowane przez większość firm nie wykrywają całego ruchu pochodzącego od złych BOTów. Jak pokazują statystyki nawet bardziej zaawansowane rozwiązania stworzone przez organizacje pozwalały wychwycić od 25 % do połowy całego ruchu generowanego przez złośliwe BOTy. Dzieję się tak ponieważ nie potrafią one rozpoznać różnych typów tych zautomatyzowanych intruzów. Najczęściej wewnętrzne mechanizmy obronne tworzone są w oparciu o dane przedsiębiorstwa, a więc system identyfikuje tylko te zagrożenia z którymi miał już styczność w przeszłości. Dodatkowo oszuści posługujący się złymi BOTami są doskonale zorganizowani i często wiedzą, jakich systemów obronnych używa dana witryna. Są więc przygotowani - stosują różne taktyki, aby wewnętrzne rozwiązania firmy ich nie zidentyfikowały.
Na przykład znaczna część organizacji, które wykorzystują własne zasoby, aby chronić się przed BOTami, stawia na wykluczenie geograficzne pewnych obszarów, zwłaszcza krajów, w których nie prowadzą działalności lub tych, które uznają za niebezpieczne. Podczas gdy współcześni twórcy BOTów bez problemu zmieniają adresy IP i położenie geograficzne swoich sprzętów. Wewnętrzne rozwiązania oparte na filtrowaniu geograficznym stają się więc obecnie zupełnie bezużyteczne.
Po drugie metody przyjęte w większości firm przypisywały części prawdziwych użytkowników status BOTa. Zdarzało się, że nawet połowa wszystkich aktywności przypisanych przez program złym BOTom, w rzeczywistości nie miała z nimi nic wspólnego. Takie sytuacje zdarzają się, ponieważ programy te skupiają się przeważnie na eliminowaniu wszelkiego potencjalnego zagrożenia, a nie na technikach rozpoznawania złych BOTów. Zbyt szeroko określone kryteria powodują, że prawdziwi użytkownicy strony, zidentyfikowani jako BOTy zostają zablokowani, a firma tracii potencjalnych klientów.
Dodatkowo tego typu rozwiązania mają problem ze zrozumieniem charakterystycznych zachowań użytkowników, a to wpływa negatywnie na ogólne wrażenia osób odwiedzających witrynę.
Wewnętrzne systemy nie będą też skuteczne w przypadku zaawansowanych ataków DoS. Jak twierdzi Sam Crowther, dyrektor generalny globalnej firmy zajmującej się cyberbezpieczeństwem, Kasada - „Jeśli chodzi o DDoS, niestety ataki L7 DDoS można zatrzymać tylko poprzez analizę klienta łączącego się. Oznacza to, że starsze rozwiązania CDN, które przeprowadzają analizę na żądanie HTTP, są nieskuteczne w zapobieganiu tym atakom.”
Prawidłowe zarządzanie BOTami wymaga ciągłych badań i kompleksowej znajomości tematu, aby możliwe było nadążenie za cyberprzestępcami, nieustannie doskonalącymi swoje techniki. Oprócz ogromnej wiedzy, zaplecza technologicznego i znacznych środków przeznaczanych na research firma musiałaby również zatrudniać ekspertów i oddelegować ich wyłącznie do tego celu, aby mieć szansę samodzielnie stawić czoła złym BOTom. Kiedy więc weźmiemy pod uwagę koszty okaże się, że nie ma to ekonomicznego sensu. Znacznie efektywniejsze będzie zatrudnienie specjalisty – zewnętrznej firmy poświęconej tej tematyce. Ekspertów nie trzeba na szczęście szukać daleko – jednym z nich jest TrafficWatchdog.