Лоши ботове генерират 30% от уеб-трафика

Приложните програмни интерфейси (API) са все по-честа мишена за атаки чрез ботове (снимка: CC0 Public Domain)

През първите шест месеца на 2023 г. ботовете са генерирали малко под половината (48%) от целия интернет трафик. Злонамерените ботове съставляват по-голямата част от това количество: общо 30%, според актуални данни.

През юни 2022 г. е проведена кибератака срещу срещу най-голямата китайскоезична платформа в Австралия, „Media Today“: нападателите са направили над 20 милиона опита за нулиране на потребителски пароли в регистрационната система на платформата. Тези нападатели обаче не са хора. Атаката е дело на ботове – сложни, автоматизирани програми, които се роят из интернет, изпълнявайки предварително зададени инструкции.

Добри и лоши ботове

Каква е разликата между добрите и злите ботове? Добрите вършат полезна работа. Например те събират данни за търсачките. Злите атакуват различни цифрови системи, уеб приложения и интерфейси за програмиране на приложения (API) с намерение за кражба на данни, измама, отказ на услуга и др. Правят го със скорости и обеми, които хакерите-човеци не могат да постигнат.

Атаките с лоши ботове еволюират и стават все по-сложни. Те са все по-добри в имитирането на човешкото поведение и заобикалянето на традиционните контроли за сигурност. И след като пробият, те се използват за по-усъвършенствани атаки срещу организации.

Това включва сканиране за уязвимости за намиране и използване на грешки, както и атаки с груба сила и „пръскане“ д пароли за компрометиране и превземане на имейл акаунти. Ботовете са въоръжени с милиони потенциални пермутации на потребителски имена и пароли и ще бомбардират своите мишени безмилостно, до постигане на успех.

Проблемът с API

Приложните програмни интерфейси (API) са все по-честа мишена за атаки с ботове, тъй като са сравнително недостатъчно защитени и се използват широко за автоматизирани процеси и комуникации. Освен това нарастващото използване на API улеснява достъпа на ботовете и манипулирането на данни в мащаб.

Нападателите се насочват към приложения, които използват API за достъп до имейл акаунти. Това може да е, например, маркетингово приложение за имейли, което изпраща и проследява групови или персонализирани електронни писма до потенциални или съществуващи клиенти.

Приложните програмни интерфейси (API) са проектирани за свързване и споделяме ма данни между други приложения – и човек може лесно да подцени колко беззащитни са данните в такава ситуация. Комбинацията от недостатъчно защитени интерфейси на приложенията, слабите политики за удостоверяване и достъп, отвореността към външния свят и липсата на специфични мерки за сигурност срещу ботовете – като ограничаване на обема и скоростта на входящия трафик – оставя тези API и данните, които съхраняват, изключително уязвими за пробив.

Побеждаване на лошите ботове

Организациите могат да бъдат претоварени от големия брой решения, които изглежда са необходими, за да се преборят с ботовете. Добрата новина е, че много доставчици на сигурност разработват консолидирани решения, известни като услуги за защита на уеб-приложения и API (WAAP) и защитни стени на уеб-приложения (WAF). Те които осигуряват стабилна защита срещу лоши ботове, независимо под каква форма идват и каквато и да е целта им.

Защитната стена за уеб-приложение (WAF) наблюдава и филтрира входящия и изходящия трафик между дадено уеб-приложение и интернет. WAF може да защити API от бот-атаки по няколко начина:

IP репутация: WAF може да блокира или регистрира заявки от известни злонамерени IP адреси, които са свързани с ботнети, проксита, които ботовете използват за стартиране на атаки, или анонимни мрежи за маршрутизиране.

Ограничаване на скоростта: WAF може да ограничи броя на заявките, които дадена програма или клиент може да отправи към API в рамките на определено време. Това може да попречи на ботовете да претоварят целевия API с порой от заявки или да извършат груба атака срещу него.

Откриване на сигнатура: WAF може да открива и блокира заявки, които съответстват на предварително дефинирани модели на злонамерено поведение, като например SQL инжектиране или междусайтови скриптове. Това може да попречи на ботовете да се възползват от грешки в API или да инжектират зловреден код.

Поведенчески анализ: WAF може да анализира поведението на програма и да идентифицира аномалии или отклонения от очакваните „нормални“ модели, като например честота на заявките, размер, бисквитки. Това може да помогне на защитната стена да прави разлика между трафика от хора и този от ботове – и да открива всички ботове, които се опитват да имитират човешко поведение.

Наред с това е важно да се засилят основите на сигурността. Тук трябва да се работи за внедряване на силни пароли и многофакторно удостоверяване, поддържане на актуалността на софтуера, провеждане на редовни одити на сигурността и обучение за информираност относно сигурността.

Коментар