0
0
Nenhuma empresa on-line pode se dar ao luxo de negligenciar ameaças de bot maliciosas. Os invasores e fraudadores utilizam cada vez mais bots para automatizar e coordenar ataques, levando as equipes de TI e as ferramentas de segurança mal equipadas ao limite.
Somente uma solução de proteção contra bots completa e 360° que aproveita os sinais de detecção globais agregados pode salvá-lo de ameaças inesperadas.
Caso em questão: um grande site de comércio eletrônico protegido pelo bot da DataDome e pela solução de gerenciamento de fraudes online permaneceu felizmente inalterado durante um ataque DDoS de alto volume e altamente distribuído. Além do mais, o site implementou a proteção para resolver um problema de raspagem .
Vamos nos aprofundar em um ataque real para entender as principais características de um ataque DDoS, como o cenário de ameaças está evoluindo e as implicações ao escolher uma solução de segurança.
O ataque, como aconteceu
Começando em uma sexta-feira e durando até sábado, o ataque DDoS ocorreu em várias ondas ao longo de 18 horas. No total, o site esteve sob ataque ativo por aproximadamente 4 horas.
O ataque pode ser dividido em duas ondas principais:
- 1ª vaga: Sexta à noite entre ~18:00 e ~0:00 (CEST).
- 2ª vaga: Sábado de manhã das ~10:00 às 12:00.
A primeira parte do ataque representou o maior volume de tráfego (29,375 milhões de solicitações de bot). Durante essa primeira onda, o DDoS gerou picos de tráfego que chegaram a 1,5 milhão de solicitações por minuto.
O ataque, como a maioria dos ataques DDoS atualmente, foi fortemente distribuído. O invasor aproveitou uma botnet de mais de 11.000 endereços IP distintos de 1.500 sistemas autônomos diferentes, espalhados por 138 países.
O ponto: limitar a taxa de IP simples ou bloquear geograficamente não teria sido eficaz.
O site de destino tem clientes em todo o mundo. Portanto, embora o bloqueio de todas as solicitações de determinados países pudesse ajudar a mitigar o ataque, também teria afetado a experiência do usuário de clientes inocentes baseados nos países bloqueados.
Se observarmos o número distinto de endereços IP usados pela botnet na linha do tempo, veremos que, durante cada pico, a botnet fazia solicitações de mais de 5.000 endereços IP diferentes.
Os pedidos vieram de todo o mundo, em particular dos Estados Unidos (24 milhões), Honduras (3,4 milhões), Alemanha (2 milhões) e Canadá (1,7 milhão). O mapa abaixo mostra a localização dos IPs envolvidos no ataque DDoS:
As solicitações vieram principalmente de sistemas autônomos de baixa qualidade que eram sistemas autônomos de datacenter ou frequentemente vinculados a ataques. Como tal, eles foram uma captura relativamente fácil para o DataDome. Aqui está um gráfico mostrando o número de solicitações por sistema autônomo (AS):
Embora o botnet aproveitasse centenas de agentes de usuário e diferentes cabeçalhos HTTP para evitar a detecção, ele tinha uma impressão digital TLS exclusiva durante as duas ondas de ataque, o que também ajudou o DataDome a identificar as solicitações como maliciosas. Nossa análise mostra que essa impressão digital TLS pode ser vinculada à biblioteca “got” do NodeJS.
Principais conclusões
Embora a empresa-alvo tenha implementado uma solução de proteção de bot com o objetivo de evitar a extração, a solução que ela escolheu (DataDome) também protegeu automaticamente seu site e aplicativo de um grande ataque DDoS. A equipe de TI da empresa recebeu uma notificação sobre o ataque em andamento, mas não havia nada que eles precisassem fazer: nenhum bloqueio manual de IP, nenhum ajuste frenético das regras do WAF, nenhuma preparação para chamadas de clientes furiosos. A proteção de bots da empresa cuidou de tudo.
Como as ameaças vêm em todas as formas e tamanhos, é importante escolher uma solução abrangente que analise cada solicitação em cada endpoint para capturar atividades maliciosas. Uma solução eficaz de proteção contra bots deve aproveitar todo o espectro de sinais de bots:
- Assinaturas do lado do servidor, incluindo cabeçalhos HTTP e impressões digitais TLS.
- Assinaturas do lado do cliente, como impressões digitais do navegador/JS.
- Sinais comportamentais, como movimentos do mouse e eventos de toque.
- Sinais de reputação por IP e sessão, incluindo detecção de proxy.
O bot DataDome e a solução de proteção contra fraude online fazem uso extensivo de tecnologias sofisticadas de aprendizado de máquina para distinguir humanos de bots com um nível de precisão que os sistemas de segurança baseados em regras simplesmente não conseguem igualar. Solicitações maliciosas são detectadas e bloqueadas em menos de 2 milissegundos. Enquanto isso, o tráfego de usuários legítimos é processado sem atrasos ou interrupções. E quando uma nova ameaça é detectada em um dos sites dos clientes da DataDome, o algoritmo é atualizado automaticamente para que todos os clientes sejam instantaneamente protegidos contra o invasor (detecção global agregada).
Seus sistemas de segurança estão prontos para resistir a um ataque DDoS de 18 horas em todos os seus endpoints?
FONTE: HELPNET SECURITY