Bots são a ruína do teste de segurança de Turing
Bots são legais. Bots são assustadores. Os bots são o futuro. Os bots estão ficando mais inteligentes a cada dia.
Dependendo do tipo de bot de que estamos falando, ficamos frustrados ou fascinados por eles. Por um lado, os chatbots são frequentemente considerados um componente essencial das estratégias de transformação digital dos negócios. Do lado do consumidor, eles oferecem uma oportunidade de apresentar uma resposta rápida a perguntas e dúvidas. Internamente, eles podem executar tarefas e responder perguntas sobre o status de tudo, desde um relatório de despesas arquivado recentemente até a capacidade atual do seu novo aplicativo.
Por outro lado (e reconhecidamente mais sombrio), alguns bots são ruins. Muito ruim. Existem os thingbots – aqueles dispositivos IoT que foram comprometidos e se juntaram a uma botnet Estrela da Morte . E há bots cujo único propósito é roubar, roubar e impedir negócios por meio de subterfúgios.
São esses últimos bots que nos preocupam hoje, pois eles estão ficando significativamente mais inteligentes e, infelizmente, agora são a maioria dos “usuários” na Internet.
Seriamente. 52% de todo o tráfego da Internet não é humano. Agora, parte disso são APIs B2B e bots legítimos, como indexadores de pesquisa e bots de mídia. Mas uma boa parte deles são apenas bots ruins. De acordo com a Distil Networks , que rastreia esses roedores digitais, “os bots ruins representam 20% de todo o tráfego da web e estão em todos os lugares, o tempo todo”. Para grandes sites, eles foram responsáveis por 21,83% do tráfego – um aumento de 36,43% desde 2015. Outras pesquisas contam uma história semelhante. Não importa quem esteja oferecendo os números, nenhum deles é uma boa notícia para os negócios.
O relatório da Distil Networks observa que “em 2016, um terço (32,36%) dos sites tiveram picos de tráfego de bots ruins de 3x a média, e uma média de 16 picos desse tipo por ano”. Picos repentinos são uma causa de problemas de desempenho (conforme a carga aumenta, o desempenho diminui), bem como tempo de inatividade.
Se os bots estiverem atacando aplicativos locais, eles podem não apenas causar interrupções, mas também aumentar o custo associado ao aplicativo. Muitos aplicativos ainda são implantados em plataformas que exigem licenças. Cada vez que uma nova instância é iniciada, uma entrada no livro-razão contábil também é iniciada. Custa dinheiro real para dimensionar software. Independentemente dos custos de licenciamento, há custos associados a cada transação porque o hardware e a largura de banda ainda não são tão baratos quanto gostaríamos.
Na nuvem, a escala é mais fácil (geralmente), mas você ainda vai pagar por isso. Nem a computação nem a largura de banda são gratuitas na nuvem e, assim como em suas contrapartes locais, o custo de uma transação real aumentará devido ao tráfego de bots.
A resposta é elementar, claro. Pare o trânsito antes que ele chegue ao aplicativo.
Isso parece muito mais fácil do que é. Veja, a segurança é forçada a operar como “jogador C” na interpretação padrão do Teste de Turing . Para quem não se lembra, o Teste de Turing força um interrogador (jogador C) a determinar qual jogador (A ou B) é uma máquina e qual é humano. E ele só pode usar respostas escritas, porque senão, bem, claro. Fácil.
Da mesma forma, hoje, as soluções de segurança devem distinguir entre humanos e máquinas usando apenas informações transmitidas digitalmente.
Firewalls de aplicativos da Web: Jogador ‘C’ no Teste de Segurança de Turing
Firewalls de aplicativos da Web (WAF) são projetados para fazer isso. Seja como um serviço , no local ou na nuvem pública , um WAF protege aplicativos contra bots, detectando-os e negando-lhes acesso aos recursos desejados. O problema é que muitos WAF filtram apenas bots que correspondem a agentes de usuário e endereços IP ruins conhecidos. Mas os bots estão ficando mais inteligentes e sabem como alternar entre endereços IP e agentes de usuário para evitar a detecção. O Distil observa essa inteligência crescente quando aponta que 52,05% dos “bots ruins carregam e executam JavaScript, o que significa que eles têm um mecanismo JavaScript instalado”.
O que significa que você precisa ter muito mais informações sobre o “usuário” se quiser identificar – e rejeitar – bots ruins com sucesso. A boa notícia é que a informação está disponível e é toda digital. Assim como há muito que pode ser aprendido a partir da linguagem corporal humana, padrões de fala e escolhas de vocabulário, também há muito que pode ser aprendido a partir dos bits digitais que são transportados junto com cada transação.
Com a combinação certa de inteligência de ameaças, criação de perfil de dispositivo e análise comportamental, um WAF pode distinguir corretamente bots ruins de usuários legítimos – humanos ou bots. Sua escolha determina se um bot pode ou não superar sua estratégia de segurança e efetivamente “ganhar” o Teste de Segurança de Turing.
- Inteligência de Ameaças
A inteligência de ameaças combina geolocalização com classificação proativa de tráfego e usa feeds de inteligência de tantas fontes confiáveis quanto possível para ajudar a identificar bots maliciosos. Isso é essencialmente “big security data” que permite que todo um ecossistema de parceiros de segurança compartilhe inteligência que resulta em identificação oportuna e, portanto, mais precisa das últimas tentativas de bots.
Criar um perfil de dispositivo inclui comparar solicitações com assinaturas de BOT conhecidas e verificações de identidade. Sistema operacional, rede, tipo de dispositivo – tudo o que pode ser obtido de uma conexão (e há muito) pode ser usado. A impressão digital também é valiosa porque verifica-se que a quantidade de informação (talvez inadvertidamente) compartilhada pelos navegadores (e bots) é quase suficiente para identificá-los de forma única. Uma ótima leitura sobre essa teoria pode ser encontrada no site da EFF . Gostaria de ressaltar que foi determinado estatisticamente que, em 2007, eram necessários apenas 32,6 bits de informação para identificar exclusivamente um indivíduo. As sequências de caracteres do agente do usuário contêm cerca de 10,5 bits, e os bots fornecem isso livremente.
Em um mundo digital, no entanto, os perfis podem mudar em um instante e a localização pode ser mascarada ou falsificada. É por isso que a análise comportamental também faz parte da identificação de bots ruins no tráfego legítimo. Isso geralmente assume a forma de algum tipo de desafio. Vemos isso em usuários em captchas e caixas de seleção "Não sou um robô", mas esses não são os únicos meios de desafiar bots. A análise comportamental também observa anomalias de sessão e transação, bem como tentativas de acesso por força bruta.
O uso de todos os três fornece um contexto mais abrangente e permite que o WAF identifique corretamente os bots maliciosos e recuse o acesso a eles.
Nós (o Nós Corporativo) sempre nos referimos a essa combinação única de variáveis como "contexto". O contexto é um componente integral de muitas soluções de segurança hoje em dia – controle de acesso, gerenciamento de identidade e segurança de aplicativos. O contexto é essencial para uma estratégia de segurança centrada em aplicativos e é uma capacidade essencial de qualquer WAF capaz de lidar com bots maliciosos de forma precisa e eficaz. O contexto fornece uma “visão geral” e permite que um WAF separe corretamente o ruim do bom e, ao fazer isso, proteja ativos valiosos e restrinja os custos de fazer negócios.
A solução está pronta. Os bots vieram para ficar e, com o WAF certo, você pode melhorar sua capacidade de impedi-los de fazer o que os bots ruins fazem: roubar dados e recursos que têm impactos reais nos resultados financeiros da empresa.