봇은 튜링 보안 테스트의 골칫거리입니다.
봇은 멋지죠. 봇은 무섭습니다. 봇이 미래입니다. 봇은 날로 더 똑똑해지고 있습니다.
우리가 어떤 종류의 봇에 대해 이야기하고 있는지에 따라 우리는 봇에 좌절감을 느끼기도 하고, 매료되기도 합니다. 한편, 채팅봇은 종종 기업의 디지털 전환 전략의 핵심 구성 요소로 간주됩니다. 소비자 측면에서는 질문과 문의에 신속하게 대응할 수 있는 기회를 제공합니다. 내부적으로는 최근 제출된 경비 보고서부터 새로 설치된 앱의 현재 용량까지 모든 것의 상태에 대한 작업을 실행하고 질문에 답할 수 있습니다.
반면에 (인정하건대 더 어두운) 일부 봇은 나쁩니다. 아주 나쁜. 데스 스타 봇넷에 가입하여 침해된 IoT 기기를 씽봇 이라고 합니다. 그리고 사기극을 통해 사업을 수집하고, 훔치고, 중단시키는 것만을 목적으로 하는 봇도 있습니다.
오늘날 우리가 걱정하는 것은 이러한 후자의 봇입니다. 이들은 점점 더 똑똑해지고 있으며, 안타깝게도 이들은 이제 인터넷 "사용자"의 대다수를 차지하고 있습니다.
진지하게. 모든 인터넷 트래픽의 52%는 인간이 아닌 트래픽입니다. 이제 그 중 일부는 B2B API와 검색 인덱서, 미디어 봇과 같은 합법적인 봇입니다. 하지만 그 중 상당 부분은 그저 나쁜 봇입니다. 이러한 디지털 설치류를 추적하는 Distil Networks 에 따르면 "악성 봇은 모든 웹 트래픽의 20%를 차지하며 언제나 어디에나 존재합니다." 대규모 웹사이트의 경우 트래픽의 21.83%를 차지했는데, 이는 2015년 이후 36.43% 증가한 수치입니다. 다른 연구에서도 비슷한 이야기가 나옵니다. 누가 숫자를 제시하든 그 중 어느 것도 기업에 좋은 소식이 아닙니다.
Distil Networks의 보고서는 "2016년에 3분의 1(32.36%)의 사이트에서 평균의 3배에 달하는 악성 봇 트래픽 급증이 발생했으며, 연간 평균 16회가 발생했습니다."라고 언급합니다. 갑작스러운 급증은 성능 문제(부하가 증가하면 성능이 저하됨)와 다운타임의 원인이 됩니다.
봇이 온프레미스 앱을 공격하는 경우, 중단이 발생할 수 있을 뿐만 아니라 해당 앱과 관련된 비용이 증가할 수 있습니다. 아직도 많은 앱이 라이선스가 필요한 플랫폼에 배포되어 있습니다. 새로운 인스턴스가 시작될 때마다 회계 원장에도 항목이 기록됩니다. 소프트웨어를 확장하려면 실제로 비용이 듭니다. 라이선스 비용과 관계없이 모든 거래에는 관련 비용이 발생합니다. 하드웨어와 대역폭이 우리가 원하는 만큼 저렴하지 않기 때문입니다.
클라우드에서는 확장이 더 쉽지만(보통은) 여전히 비용을 지불해야 합니다. 클라우드에서는 컴퓨팅과 대역폭이 모두 무료가 아니며, 온프레미스와 마찬가지로 봇 트래픽으로 인해 실제 거래 비용이 증가할 것입니다.
물론, 답은 초보적입니다. 앱에 접속하기 전에 트래픽을 중단하세요.
듣기에는 쉬운 일이지만 실제론 그렇지 않습니다. 보시다시피 보안은 튜링 테스트의 표준 해석 에 따르면 "플레이어 C"로 작동하도록 강제됩니다. 기억나지 않는 분들을 위해 말씀드리자면, 튜링 테스트는 질문자(플레이어 C)가 플레이어(A 또는 B) 중 누가 기계이고 누가 인간인지 판별하도록 합니다. 그리고 서면 답변만 가능합니다. 그렇지 않으면, 뭐, 당연하지요. 쉬운.
이와 비슷한 방식으로 오늘날 보안 솔루션은 디지털로 전달된 정보만을 사용하여 인간과 기계를 구분해야 합니다.
웹 앱 방화벽: 튜링 보안 테스트의 플레이어 'C'
웹 애플리케이션 방화벽(WAF)은 이를 수행할 수 있도록 설계되었습니다. 서비스형 , 온프레미스형 또는 퍼블릭 클라우드형 WAF는 앱을 봇으로부터 보호하여 봇을 탐지하고 봇이 원하는 리소스에 액세스하는 것을 거부합니다. 문제는 많은 WAF가 알려진 나쁜 사용자 에이전트 및 IP 주소와 일치하는 봇만 필터링한다는 것입니다. 하지만 봇은 점점 더 똑똑해지고 있으며 감지를 피하기 위해 IP 주소를 순환하고 사용자 에이전트를 바꾸는 방법을 알고 있습니다. Distil은 "불량 봇의 52.05%가 JavaScript를 로드하고 실행한다. 즉, JavaScript 엔진이 설치되어 있다는 의미"라고 지적하면서 이러한 지능이 증가하고 있음을 지적합니다.
즉, 성공적으로 나쁜 봇을 식별하고 거부하려면 "사용자"에 대한 정보가 훨씬 더 많아야 한다는 의미입니다. 좋은 소식은 정보가 세상에 널리 퍼져 있고, 그 정보가 모두 디지털이라는 것입니다. 인간의 신체 언어, 말투, 어휘 선택에서 많은 것을 배울 수 있는 것처럼 모든 거래와 함께 전달되는 디지털 비트에서도 많은 것을 얻을 수 있습니다.
위협 인텔리전스, 장치 프로파일링, 행동 분석을 올바르게 조합하면 WAF는 악성 봇과 합법적인 사용자(인간이나 봇)를 정확하게 구별할 수 있습니다. 귀하의 선택에 따라 봇이 귀하의 보안 전략을 따돌리고 튜링 보안 테스트에서 효과적으로 "승리"할 수 있는지 여부가 결정됩니다.
- 위협 인텔리전스
위협 인텔리전스는 지리적 위치 정보와 트래픽의 사전 분류를 결합하고 가능한 한 많은 신뢰할 수 있는 출처에서 얻은 인텔리전스 피드를 활용하여 악성 봇을 식별하는 데 도움이 됩니다. 이는 본질적으로 보안 파트너의 전체 생태계가 정보를 공유하여 최신 봇 시도를 시기적절하고 더 정확하게 식별할 수 있도록 하는 "빅 보안 데이터"입니다.
장치 프로파일링에는 알려진 BOT 서명과 신원 확인을 비교하여 요청을 비교하는 작업이 포함됩니다. 운영 체제, 네트워크, 장치 유형 등 연결에서 얻을 수 있는 모든 것(정보는 아주 많습니다)을 사용할 수 있습니다. 또한 지문 분석은 브라우저(및 봇)가 공유하는 정보의 양(아마도 의도치 않게)이 고유하게 식별하기에 충분하다는 점이 밝혀지기 때문에 가치가 있습니다. 이 이론에 대한 유용한 정보는 EFF 사이트에서 찾아볼 수 있습니다. 2007년을 기준으로 개인을 고유하게 식별하는 데 필요한 정보는 32.6비트에 불과하다는 것이 통계적으로 밝혀졌습니다. 사용자 에이전트 문자열은 약 10.5비트로 구성되며, 봇은 이를 무료로 제공합니다.
그러나 디지털 세계에서는 프로필이 순식간에 바뀔 수 있고 위치가 가려지거나 위조될 수도 있습니다. 그렇기 때문에 행동 분석은 합법적인 트래픽에서 악성 봇을 식별하는 데에도 포함됩니다. 이는 종종 어떤 종류의 도전의 형태를 띱니다. 우리는 이를 캡차와 "로봇이 아닙니다" 체크박스를 사용하는 사용자로 보지만, 이것만이 봇에 도전하는 유일한 수단은 아닙니다. 행동 분석은 세션 및 거래 이상 징후와 무차별 대입 공격 시도도 감시합니다.
세 가지를 모두 사용하면 보다 포괄적인 맥락을 제공하고 WAF가 악성 봇을 올바르게 식별하여 액세스를 거부할 수 있습니다.
우리(기업의 우리)는 항상 이 고유한 변수 조합을 '맥락'이라고 지칭해 왔습니다. 오늘날 컨텍스트는 액세스 제어, ID 관리, 앱 보안 등 많은 보안 솔루션의 필수 구성 요소입니다. 앱 중심 보안 전략에 있어 컨텍스트는 매우 중요하며, 악성 봇을 정확하고 효과적으로 처리할 수 있는 WAF의 핵심 기능입니다. 컨텍스트는 "전반적인 그림"을 제공하고 WAF가 나쁜 것과 좋은 것을 올바르게 구분할 수 있도록 하며, 그렇게 함으로써 귀중한 자산을 보호하고 비즈니스 비용을 제한할 수 있습니다.
해결책이 나왔습니다. 봇은 항상 존재하며, 적절한 WAF를 사용하면 봇이 나쁜 봇이 하는 일, 즉 기업의 최종 이익에 실질적인 영향을 미치는 데이터와 리소스를 훔치는 일을 방지하는 능력을 향상시킬 수 있습니다.