ボットはチューリング セキュリティ テストの悩みの種です
ボットはクールです。 ボットは怖いです。 ボットは未来です。 ボットは日々賢くなっています。
どのような種類のボットについて話しているかによって、私たちはそのボットにイライラしたり、魅了されたりします。 一方、チャットボットは、企業のデジタル トランスフォーメーション戦略の重要な要素であると考えられることがよくあります。 消費者側では、質問や問い合わせに対して迅速に回答する機会を提供します。 社内では、最近提出された経費報告書から最新のアプリの現在の容量まで、あらゆるタスクを実行し、ステータスに関する質問に答えることができます。
一方では(そして確かにより暗い)、一部のボットは悪質です。 とても悪いです。 侵入されてデス・スター・ボットネットに参加したIoT デバイス、つまりThingBotがあります。 そして、スクレイピング、窃盗、そして策略によるビジネス妨害だけを目的とするボットも存在します。
今日私たちが懸念しているのは、後者のボットです。ボットは大幅に賢くなってきており、残念なことに、現在ではインターネット上の「ユーザー」の大多数を占めています。
真剣に。 インターネットトラフィックの 52% は人間によるものではありません。 その一部は、ビジネス ツー ビジネス API や、検索インデクサーやメディア ボットなどの正当なボットです。 しかし、その大部分はまったく悪いボットです。 これらのデジタルネズミを追跡しているDistil Networksによると、「悪質なボットはウェブトラフィック全体の 20% を占めており、いつでもどこにでも存在している」とのことです。 大規模ウェブサイトの場合、トラフィックの 21.83% を占め、2015 年から 36.43% 増加しました。 他の研究でも同様のことが言えます。 誰が数字を提示したとしても、そのどれもがビジネスにとって良いニュースではない。
Distil Networks のレポートでは、「2016 年には、サイトの 3 分の 1 (32.36%) で平均の 3 倍の悪質なボット トラフィックの急増が発生し、平均して年間 16 回の急増が発生しました」と指摘されています。 突然のスパイクは、パフォーマンスの問題(負荷が増加するとパフォーマンスが低下)やダウンタイムの原因となります。
ボットがオンプレミスのアプリを攻撃している場合、停止が発生するだけでなく、そのアプリに関連するコストが上昇する可能性があります。 多くのアプリは依然として、ライセンスを必要とするプラットフォームに展開されています。 新しいインスタンスが起動されるたびに、会計元帳にエントリが追加されます。 ソフトウェアを拡張するには実際にお金がかかります。 ライセンス費用とは関係なく、ハードウェアと帯域幅がまだ私たちが望むほど安くないため、すべての取引には関連費用がかかります。
クラウドでは、スケーリングは(通常は)簡単ですが、それでも料金がかかります。 クラウドではコンピューティングも帯域幅も無料ではなく、オンプレミスの場合と同様に、ボット トラフィックによって実際のトランザクションのコストが増加します。
もちろん、答えは初歩的なものです。 アプリに到達する前にトラフィックを停止します。
これは実際よりもはるかに簡単に聞こえます。 ご存知のように、セキュリティは、チューリング テストの標準的な解釈では「プレーヤー C」として動作することを余儀なくされます。 覚えていない人のために説明すると、チューリング テストでは、尋問者 (プレイヤー C) が、どちらのプレイヤー (A または B) が機械で、どちらが人間であるかを判断する必要があります。 そして、書面による回答しか使用できません。そうでなければ、まあ、当然です。 簡単。
今日のセキュリティ ソリューションも同じように、デジタルで提供された情報のみを使用して人間と機械を区別する必要があります。
Web アプリケーション ファイアウォール: チューリングセキュリティテストのプレイヤー「C」
Webapplicationファイアウォール (WAF) は、これを実現できるように設計されています。 WAF は、サービス、オンプレミス、パブリック クラウドのいずれの場合でも、ボットを検出し、ボットが要求するリソースへのアクセスを拒否することで、アプリをボットから保護します。 問題は、多くの WAF が既知の不正なユーザーエージェントと IP アドレスに一致するボットのみをフィルタリングすることです。 しかし、ボットはより賢くなっており、検出を回避するために IP アドレスを切り替えたり、ユーザーエージェントを切り替える方法を知っています。 Distil は、このインテリジェンスの向上について、「悪質なボットの 52.05% が JavaScript をロードして実行しており、つまり JavaScript エンジンがインストールされている」と指摘しています。
つまり、悪質なボットをうまく識別して拒否するには、「ユーザー」に関するさらに多くの情報が必要になるということです。 良いニュースは、情報はすべてデジタル化されて存在しているということです。 人間のボディランゲージ、話し方、語彙の選択から多くのことを学ぶことができるのと同様に、あらゆる取引に付随するデジタルビットからも多くのことを学ぶことができます。
脅威インテリジェンス、デバイス プロファイリング、動作分析を適切に組み合わせることで、WAF は悪質なボットと正当なユーザー (人間またはボット) を正しく区別できます。 あなたの選択によって、ボットがセキュリティ戦略を巧みに回避し、チューリング セキュリティ テストに効果的に「勝つ」ことができるかどうかが決まります。
- 脅威インテリジェンス
脅威インテリジェンスは、地理的位置情報とトラフィックのプロアクティブな分類を組み合わせ、できるだけ多くの信頼できるソースからのインテリジェンス フィードを使用して、悪質なボットを特定します。 これは本質的には「ビッグ セキュリティ データ」であり、セキュリティ パートナーのエコシステム全体で情報を共有し、最新のボットの試みをタイムリーかつより正確に識別できるようになります。
デバイスのプロファイル作成には、既知の BOT 署名と ID チェックに対するリクエストの比較が含まれます。 オペレーティング システム、ネットワーク、デバイスの種類など、接続から収集できるすべての情報 (多数あります) を使用できます。 フィンガープリンティングが貴重なのは、ブラウザ(およびボットも同様)によって(おそらくは意図せずに)共有される情報の量が、それらを一意に識別するのに十分に近いことが判明しているためです。 この理論に関する素晴らしい記事がEFF のサイトで見つかります。 2007 年時点では、個人を一意に識別するために必要な情報は 32.6 ビットだけであることが統計的に判明していることを指摘しておきます。 ユーザーエージェント文字列には約 10.5 ビットが含まれており、ボットはそれを自由に提供します。
しかし、デジタルの世界では、プロフィールは瞬時に変更される可能性があり、位置情報は隠されたり偽装されたりする可能性があります。 そのため、行動分析は、正当なトラフィックから悪質なボットを識別する作業の一部でもあります。 これは多くの場合、何らかの挑戦の形をとります。 これは、キャプチャや「私はロボットではありません」というチェックボックスのユーザーとして見られますが、ボットに対抗する手段はそれだけではありません。 動作分析では、セッションやトランザクションの異常、およびブルートフォースアクセスの試みも監視します。
これら 3 つすべてを使用すると、より包括的なコンテキストが提供され、WAF は不正なボットを正しく識別してアクセスを拒否できるようになります。
私たち(つまり、企業の私たち)は、この変数のユニークな組み合わせを常に「コンテキスト」と呼んでいます。 コンテキストは、アクセス制御、ID 管理、アプリ セキュリティなど、今日の多くのセキュリティ ソリューションの不可欠な要素です。 コンテキストは、アプリ中心のセキュリティ戦略にとって非常に重要であり、悪質なボットを正確かつ効果的に処理できる WAF の重要な機能です。 コンテキストは「全体像」を提供し、WAF が悪質なものと良いものを正しく区別できるようにすることで、貴重な資産を保護し、事業コストを抑制します。
修正が完了しました。 ボットは今後も存在し続けるでしょう。適切な WAF を導入すれば、悪質なボットが行うような、企業の収益に実際に影響を与えるデータやリソースの盗難を防ぐ能力を高めることができます。