BLOG

10 perguntas para fazer a um fornecedor de mitigação de bots

Miniatura de Byron McNaught
Byron McNaught
Publicado em 06 de maio de 2021

Você suspeita que tem um problema com bot. Talvez você tenha aumentado os custos de infraestrutura devido a picos de tráfego, uma alta taxa de aquisição de conta (ATO) ou alguém esteja quebrando seus cartões-presente e roubando sua propriedade intelectual. Provavelmente, se você investigar mais a fundo, também encontrará um problema de fraude, bem como quedas recentes nas pontuações da marca e na fidelidade do cliente. Você tentou lidar com isso sozinho com limitação de taxa, bloqueio de IP e geográfico, reputação, impressão digital, CAPTCHA e autenticação multifator (MFA), mas se tornou uma batalha sem fim gerenciando várias soluções, tentando ficar à frente dos invasores e lidando com clientes frustrados que não conseguiam concluir suas compras.

Agora você decidiu chamar profissionais para ajudar e recuperar um pouco do seu tempo. Você reduziu a lista para alguns fornecedores e vai fazer algumas perguntas a eles. Mas que perguntas?

Aqui estão algumas boas que podem lhe dar uma ideia se a solução do fornecedor de mitigação de bots é a mais adequada para seu ambiente.

1. Como o fornecedor lida com a reformulação do invasor?

Se o valor percebido nas contas dos seus clientes for alto, os invasores provavelmente não desistirão facilmente. Em vez disso, eles se reestruturarão continuamente e tentarão novamente. Esta é uma questão básica de economia de ataque , o que significa que esta é a sua pergunta mais importante. Quando uma contramedida de segurança é colocada em prática, os invasores persistentes vão se reequipar para contornar o controle de mitigação usando vários métodos, ferramentas e até mesmo IA. Vítimas de credential stuffing dizem que lutar contra bots e automação por si só é como brincar de whack-a-mole. Você está pagando um serviço para jogar este jogo para você, então pergunte como eles fazem isso.

Os atacantes sempre se reequipam. Como o fornecedor responde?

2. O fornecedor aumenta drasticamente o atrito com o cliente?

CAPTCHA e MFA aumentam drasticamente o atrito para seus clientes. As taxas de falhas humanas variam de 15% a 50% e levam ao alto abandono de carrinhos e à diminuição da satisfação do usuário. E seu cliente pode nunca mais voltar, mesmo depois de uma única experiência negativa do usuário.

Honestamente, pense cuidadosamente sobre fornecedores que contam com contramedidas conhecidas por gerar atrito. Essas defesas não apenas frustram os usuários, mas os invasores geralmente conseguem contorná-las de qualquer maneira. Os fraudadores podem utilizar ferramentas e trabalho humano para resolver CAPTCHAs e podem até mesmo utilizar PII comprometidas para se passar por titulares de contas, a fim de mover linhas telefônicas para contas sob seu controle, a fim de concluir solicitações de MFA.

3. Como o serviço lida com falsos positivos?

Um falso positivo para um fornecedor é quando ele marca um ser humano real como um bot. Um falso negativo é quando eles marcam um bot como humano.

A mitigação de bots terá um pouco dos dois; desconfie de qualquer fornecedor que diga o contrário. Mas um fornecedor deve ser muito receptivo ao problema de falsos positivos; ou seja, você deve ser capaz de contatá-lo, reclamar e ter a determinação de falso positivo resolvida.

4. Quando um invasor ignora a detecção, como o serviço se adapta?

Haverá invasores avançados que tentarão e até conseguirão contornar a detecção, tornando-se um falso negativo. Um fornecedor de mitigação de bots deve operar como se um invasor habilidoso fosse ignorar imediatamente todas as contramedidas. Quando isso acontece, você pode não saber até ver os efeitos colaterais (tomada de conta, fraude, análises comerciais distorcidas, etc.). Então você precisará entrar em contato com seu fornecedor e trabalhar com ele para descobrir como remediar.

Como eles lidam com esse processo? Qual é a resposta e o tempo de resposta do fornecedor?

5. Como o fornecedor lida com fraudes manuais (impulsionadas por humanos)?

Se o seu fornecedor for particularmente hábil em manter a automação (bots) do lado de fora, um invasor muito, muito determinado e habilidoso digitará credenciais manualmente em navegadores reais para contornar as defesas antiautomação, o que pode levar à tomada de conta (ATO) e fraude . Na verdade, apenas US$ 10 em valor por trás de um logon seguro pode ser suficiente para motivar um invasor profissional. Muitos serviços não detectam isso (já que humanos não são robôs).

O fornecedor deve ser capaz de determinar se um ser humano é um cliente confiável ou um fraudador.

O serviço deles consegue detectar intenções maliciosas? A detecção precisa pode distinguir entre um bot, um invasor que usa ferramentas sofisticadas e IA para imitar ou exibir comportamento humano, e um cliente real, e então tomar a ação mais apropriada sem auxiliar nos esforços de reconhecimento do invasor ou impactar a experiência do cliente. 

Como o serviço lida com fraude manual?

6. Se um cliente for ignorado, como o fornecedor protege esse desvio de afetar todos os outros clientes?

Em muitos casos, políticas personalizadas de detecção e mitigação devem ser implantadas para cada cliente. Dessa forma, se um invasor se reorganizar o suficiente para contornar as contramedidas em um site, ele não poderá usar automaticamente esse manual para entrar no seu site. Cada cliente deve ser isolado de uma reformulação em relação a um cliente diferente.

Certos setores da indústria, como bancos e serviços financeiros, atraem os criminosos cibernéticos mais motivados e sofisticados. As soluções de mitigação de bots mais eficazes detectarão as técnicas dos invasores em perfis de ataque e superfícies de risco semelhantes para implementar contramedidas apropriadas automaticamente. Além disso, registros históricos de fraudes podem treinar ainda mais os modelos de IA para maximizar a eficácia.

7. Se um invasor ignorar uma mitigação, o serviço ainda terá visibilidade do ataque?

É muito comum que um serviço fique cego depois que um invasor contorna as defesas. Se o fornecedor mitigar os dados que usa para detectar, quando um invasor ignora a mitigação, você perde a capacidade de detectar. Por exemplo, se eles bloquearem no IP, quando o invasor contornar o bloqueio (distribuir globalmente), o fornecedor poderá perder visibilidade e não saberá o quão ruim o ataque realmente é.

Um exemplo de um sistema que está funcionando corretamente é quando 10.000 logins são feitos e todos parecem bons inicialmente porque têm análises comportamentais dentro da faixa adequada para humanos. Mas depois foi determinado que todos os 10.000 tinham comportamentos idênticos, o que significa que os logins eram automatizados.

As soluções de mitigação de bots mais eficazes coletam e analisam continuamente vários sinais de telemetria de dispositivos, redes, ambientes e comportamentos para maximizar a visibilidade e identificar anomalias com precisão. Isso, por sua vez, melhora a eficácia dos modelos de IA de circuito fechado, ao mesmo tempo em que fornece insights importantes ao Centro de Operações de Segurança (SOC) do fornecedor.

8. Quão difícil é implantar e manter a solução?

O usuário ou administrador precisa instalar um software de endpoint personalizado ou a proteção é automática? Se não houver presença de endpoint, como o fornecedor detecta dispositivos móveis com root? Como ele detecta ataques usando as mais recentes ferramentas de segurança e dados da Dark Web? E as APIs?

Ajuda quando sua equipe inventa 5 dos 9 recursos relevantes em JavaScript e suas soluções são executadas em nuvens e arquiteturas, implantando perfeitamente proteções personalizadas que maximizam a visibilidade e a eficácia da segurança sem introduzir atrito no ciclo de vida de desenvolvimento do aplicativo ou na experiência do cliente.

9. Que tipos de anomalias o fornecedor detecta?

Os invasores estão constantemente utilizando bots, automação e credenciais comprometidas para auxiliar em seus esforços, tendo como objetivo final o ganho financeiro. Medidas básicas de mitigação não são suficientes. Por exemplo, os invasores reutilizam endereços IP, mas normalmente apenas 2,2 vezes em média. Muitas vezes, eles são usados apenas uma vez por dia ou uma vez por semana! Isso torna o bloqueio de IP amplamente ineficaz.

Ferramentas de automação podem construir ataques personalizados que ignoram a limitação de taxa, solucionadores de CAPTCHA e emulação de pilha da web podem falsificar verificações de cabeçalho e ambiente, navegadores de consumidor programáveis e ferramentas anti-impressão digital podem vencer a impressão digital e até mesmo a análise comportamental. É realmente uma corrida armamentista.

Os invasores geralmente investem em quatro vetores:

  • Falsificação de tráfego de rede
  • Emulando uma variedade de dispositivos e navegadores válidos
  • Usando credenciais roubadas, PII e identidades sintéticas
  • Emulando e exibindo comportamento humano real

Existem mais de cem sinais de clientes além do endereço IP. Um bom serviço aproveitará uma variedade de sinais e IA para fornecer insights acionáveis e detectar comportamento anômalo indicativo de fraude — incluindo atividade de copiar e colar, alternância de tela, uso estranho de espaço na tela, afinidade de dispositivo, falsificação de ambiente e tentativas de tornar a identidade anônima — em vez de depender de bloqueio de IP, assinaturas e impressão digital.

Que tipos de informações e telemetria o fornecedor pode reunir?

10. Com que rapidez o fornecedor pode fazer uma alteração?

Quando o invasor se reestrutura para contornar as contramedidas atuais, com que rapidez o fornecedor se reestruturará? São horas ou dias? O fornecedor cobra mais se houver um invasor persistente sofisticado e forem necessárias várias contramedidas ou consultas com o SOC?

Há outras questões que são essenciais para qualquer fornecedor. Coisas como modelos de implantação (existe uma opção de nuvem?) e modelo de custo (tráfego limpo ou cobrança por hora?). E, claro, você deve comparar o acordo de nível de serviço (SLA) de cada fornecedor. Mas você provavelmente faria essas perguntas de qualquer maneira (certo?).

Sim, este artigo é um pouco tendencioso, pois a F5 é a principal fornecedora de segurança de aplicativos. Mas considere as centenas de clientes com quem conversamos que nos escolheram; essas são perguntas que eles fizeram, e esperamos que elas ajudem você, mesmo que você acabe escolhendo um fornecedor diferente de mitigação de bots. Porque os invasores não discriminam com base na nuvem, arquitetura, CDN ou nos organogramas da sua equipe de segurança e fraude. O dinheiro está por trás dos seus aplicativos e é aí que os criminosos atacam.

PRÓXIMOS PASSOS

As marcas mais valiosas do mundo, incluindo instituições financeiras, varejistas, companhias aéreas e redes de hotéis, já estão usando as soluções de mitigação de bots da F5 para proteger seus aplicativos, clientes e negócios.

A F5 bloqueia consistentemente mais bots e automação do que outros fornecedores. Isso reduz fraudes e complexidade operacional, ao mesmo tempo em que aumenta a receita e melhora a experiência do cliente.

Avise-nos se você quiser ver com seus próprios olhos.

 

Partes desta postagem são baseadas em conteúdo publicado anteriormente que foi atualizado para refletir as ofertas atuais da F5.