Czy nadchodzi czas walki roBOTów? Zmiany na rynku cyberbezpieczeństwa

Zmiany na rynku cybersecurity w bieżącym roku są bardzo duże. Użytkownicy sieci muszą mierzyć się z coraz większą ilością zagrożeń. Poza zwiększoną liczbą ataków DDoS, zwiększoną ilością Credential Stuffing, atakami dużych grup przestępczych czy komórek bezpieczeństwa współpracujących z agendami rządowymi niektórych Państw, utrzymuje się cały czas silny trend wzrostowy generowany przez BOTy. Czyli dziś atakują nas nie tylko ludzie ale też programy, algorytmy, mechanizmy symulujące działania człowieka często w oparciu o język maszynowy oraz sztuczną inteligencję. Zachodzi zatem potrzeba skierowania uwagi na ten obszar, który powoduje spadki wydajności sieci oraz naraża na ogromną ilość incydentów bezpieczeństwa. Na ten właśnie temat porozmawiamy z Michałem Nyczem, Account Executive w Akamai Technologies.

Akamai jest liderem na rynku rozwiązań cyber-bezpieczeństwa.

Jakie zmiany zaobserwowali Państwo w ostatnich miesiącach?

Michał Nycz, Akamai Technologies

Michał Nycz, Account Executive, Akamai Technologies: Odpowiadając na to pytanie należałoby zacząć od tego, że Akamai faktycznie widzi sporo. Mam na myśli to, że Akamai posiada tak naprawdę wgląd w około 30% całego światowego internetu w tym w około 2/3 wszystkich zapytań DNS, które wydarzają się dziennie na świecie. Idąc tutaj krok dalej ? w dużej mierze obserwujemy wszystkie te zdarzenia, które dotyczą dużych graczy, takich jak 19 z 20 największych banków w Europie, największe światowe firmy ecommerce, firmy gamingowe, czy instytucje publiczne. Mówiąc krótko ? wiemy co trapi dużych graczy, jakie dotykają ich zagrożenia, z czym na co dzień walczą.

W tym roku krajobraz bezpieczeństwa zmieniał się bardzo dynamicznie ? dotyczyło to chociażby wzrostu aktywności BOTnetów, czy tych historycznie dużych ataków DDoS z ostatnich miesięcy, czy wzrostu aktywności jeśli chodzi o content typu ransomware, czy malware. Przez globalny wzrost trafficu internetowego, wzrosła liczba zagrożeń. Trzeba zauważyć, że wzrósł również poziom ?bezczelności? z jaką działają atakujący. Często obserwowaliśmy ataki wycelowane w konkretne eventy u danego klienta, często były wykonywane pod groźbą okupu, czy chociażby była obserwowana duża liczba ataków z wykorzystaniem BOTów z wielu różnych adresów, tak żeby zmniejszyć prawdopodobieństwo identyfikacji takiego ataku. W ciągu ostatniego roku, dzienna liczba ataków credential stuffing, które obserwowaliśmy wahała się między 80 a 360 milionów. Dzieje się naprawdę sporo.

Wspomniał Pan o BOTach, czy faktycznie ma to tak duży wpływ na światowy internet?

Michał Nycz: Jeśli chodzi o same BOTy, to faktycznie problem wydaje się być dość istotny. Po pierwsze z uwagi na skalę, bo średnio ruch BOTów stanowi tak na prawdę od 30% do nawet 70% całego ruchu przychodzącego do danego serwisu internetowego, czy aplikacji? po drugie z uwagi na te krytyczne, wrażliwe punkty, których dotyczą ewentualne ataki z wykorzystaniem BOTów. I tutaj robi się już na prawdę ciekawie. Jak popatrzymy sobie do czego są wykorzystywane BOTy, to przede wszystkim należy wspomnieć o credential stuffing – przykładowo wielkie BOTnety, które w darknecie walidują kradzione listy userów wraz z ich danymi do logowania, wykorzystując fakt, że często ci userzy korzystają z podobnych haseł w wielu serwisach. Następnie przy użyciu tych skradzionych danych, z użyciem BOTów dokonuje się ataku na różne serwisy internetowe – np. banki, ecommerc-y, inne serwisy zawierające istotne dane tych użytkowników. Kiedy już dochodzi do skutecznego ataku, mamy do czynienia z account takeover, z przejęciem konta danego użytkownika, które może wygenerować oczywiście potężne straty finansowe. Warto wspomnieć, że im większa potencjalna wartość, tym bardziej skomplikowany atak. Pomijając drakońskie kary związane z możliwą utratą danych, nie należy zapomnieć o nadszarpniętej reputacji w przypadku skutecznego ataku.

Mają Państwo jeszcze jakieś ciekawe statystyki, związane z ruchem BOTów?

Michał Nycz: Mamy ich wiele, ale do moich ulubionych należą dwie. Zanotowaliśmy prawie 27 miliardów prób ataków credential stuffing w pierwszym kwartale tego roku – czyli 256% wzrostu w stosunku do roku 2019. I drugi: w ataku na jednego z naszych klientów zaobserwowaliśmy BOTnet atakujący z 13 tysięcy adresów IP, a z każdego z nich szła próba loginu co dwie godziny. W ciągu 24 godzin było 167 039 nielegalnych prób logowania i dotyczyło to 123 909 kont. Można sobie tylko wyobrazić, że tego typu atak bez trudu przechodzi na poziomie rate limitów. Potrzebne są bardziej zaawansowane rozwiązania.

Jakie są jeszcze inne przykłady ataków z wykorzystaniem BOTów?

Michał Nycz: Moglibyśmy wspomnieć chociażby o BOTach, które rejestrują fake-owe konta na naszych serwisach po to, żeby uzyskać z tego tytułu różne korzyści, czy chociażby dokonać fikcyjnych zakupów. Mamy też BOTy scrapujące – bardziej e-commercowy przykład – wyszukujące różnych informacji na temat naszych produktów – np. ich cen i przekazujące to bądź do konkurencji bądź do wyszukiwarek cenowych – i tutaj oczywiście taki traffic też ?kosztuje?. Mieliśmy również przypadki klientów, których za pomocą BOTów atakowała konkurencja – celem było oczywiście skompromitowanie swojego konkurenta i spowodowanie u niego strat finansowych.

Jakie podejście rekomenduje Akamai? Czy ruch BOTów można zablokować?

Michał Nycz: Przede wszystkim inteligentne, które nie będzie podejściem zero-jedynkowym. Podejście, w którym będziemy w stanie z całą pewnością stwierdzić czy dany BOT jest dobry, czy też jest zły, czy to na pewno jest BOT, czy może jest to jednak człowiek?? Aż w końcu jak tego BOTa zablokujemy – czy na pewno pozbędziemy się go permanentnie?? Bo może warto jednak podać mu jakiś content, na przykład fałszywy, żeby ?pomyślał? że wykonał zadanie i zostawił nas w spokoju? Na pewno to, co poleca Akamai, to bardzo mocno granularne podejście, dające możliwość wglądu w charakterystyki i zachowania działających na świecie BOTnetów. Podejście nastawione na weryfikację, czy jest to BOT, czy jest to człowiek, poprzez np. sprawdzenie danych telemetrycznych, a także na bardzo wnikliwą analizę charakterystyk ruchu na danym serwisie. Istotą jest również wymiana wiedzy i stosowanie sprawdzonych metod zarządzania poszczególnymi BOTnetami, które są stosowane przez innych klientów w tej samej branży.

Komentarz Integratora:

Wszelkie dane wskazują, że szczyt walki z roBOTami dopiero jest przed nami. Nasz przeciwnik staje się coraz mocniejszy. Dzięki sztucznej inteligencji i maszynom samouczącym się BOTy stają się coraz bardziej wyrafinowane i inteligentne. Warto podjąć zatem rozmowy i działania, tak aby w roku 2021 temu problemowi przyjrzeć się bliżej i dowiedzieć się jak działa rozwiązanie BOT Manager proponowane przez Akamai. Dlaczego jest takie unikalne, w jaki sposób może chronić, przynosić wymierne korzyści zarówno w obszarze bezpieczeństwa, wydajności jak i biznesowe w organizacjach. Możemy zaprezentować to rozwiązanie i przeprowadzić PoC u klienta. Zapraszamy więc do kontaktu z nami

– Daniel Wysocki, Kierownik Działu Cyberbezpieczeństwa w Advatech sp. z o.o.