0
0
Por muitos anos, o monitoramento de segurança baseou-se na coleta de dados da camada 4 do modelo OSI por meio de tipos de dados como NetFlow. Como os dados da camada 4 lidavam com a camada de transporte, não são os mais informativos — embora por um período de tempo, era o que as equipes de segurança podiam acessar de forma confiável e consultar com eficiência. Então, à medida que a tecnologia melhorou, as equipes de segurança tiveram acesso a um conjunto de dados muito mais rico: dados da camada 7 . Logs de proxy, logs de DNS, captura de pacotes (PCAP) e outras fontes de dados da camada 7 tornaram-se disponíveis, e isso mudou o jogo para as equipes de segurança.
Os dados da camada 7 nos permitem interrogar a camada de aplicação. Especificamente, no que se refere a canais digitais, como Web e dispositivos móveis, os dados da camada 7 nos permitem entender o que está acontecendo na sessão do aplicativo do usuário final. Isso nos dá um contexto essencial em torno da atividade do usuário final. Infelizmente, os dados da camada 7 não nos permitem entender o “como” por trás do que está acontecendo. Perguntas como “Como o usuário final está se comportando?”, “Qual é a intenção do usuário final?” e “Essa atividade do usuário final é legítima?” só pode ser respondida olhando além da camada 7.
Para entender a intenção – o “como” por trás do “o quê” – precisamos examinar de perto o comportamento do usuário final na sessão. Essa percepção comportamental adicional é fundamental para a capacidade de uma empresa de separar o tráfego legítimo da fraude. Em outras palavras, a diferença entre o uso legítimo de um aplicativo e o abuso desse aplicativo (ou seja, fraude) é a intenção do usuário final responsável pela atividade. Quando olhamos para o conceito de fraude dessa maneira, é fácil ver que a visibilidade sobre “o que” o usuário final está fazendo dentro da sessão do aplicativo não é suficiente. Também precisamos de visibilidade sobre “como” eles estão fazendo isso.
Comportamentos que podem sinalizar uso fraudulento
Algumas pessoas se referem a essa camada de usuário final acima da camada 7 do modelo OSI como camada 8 . E como diz a música da Vila Sésamo , oito é ótimo. Vamos dar uma olhada em algumas das maneiras pelas quais os dados da camada 8 podem nos ajudar a detectar melhor a fraude.
Movimentos do mouse otimizados. Usuários legítimos tendem a ter movimentos de mouse muito aleatórios ao interagir com um aplicativo. A razão é simples: os usuários legítimos não estão interagindo com o aplicativo “profissionalmente” e, portanto, não têm necessidade ou incentivo para otimizar os movimentos do mouse. Os fraudadores, por outro lado, que podem estar tentando acessar dezenas, centenas ou milhares de contas de forma fraudulenta, têm toda a motivação para otimizar os movimentos do mouse para economizar tempo.
Colando. Não sei você, mas não costumo recortar e colar meu nome de usuário e senha ou nome e sobrenome de um arquivo de texto. Como se vê, a maioria dos usuários legítimos também não. Os fraudadores, como você pode imaginar, fazem isso com bastante frequência, principalmente quando se trata de aquisição de contas (ATO).
Chaves estranhas. Se você for um usuário legítimo, é provável que use um conjunto bastante padrão de letras, números e caracteres especiais ao interagir com um aplicativo. É bastante improvável que você use teclas de função, atalhos de teclado ou outras combinações incomuns. Os fraudadores que desejam economizar tempo, no entanto, geralmente fazem exatamente isso.
Um dispositivo de assinatura. Os fraudadores geralmente têm um ou alguns dispositivos favoritos que configuraram exatamente como desejam. Os fraudadores geralmente usam esses mesmos dispositivos para fazer login em um número relativamente grande de contas no mesmo aplicativo. Por isso, se investirmos na identificação precisa e confiável do dispositivo e rastrearmos os logins por dispositivo, muitas vezes podemos usar esse conhecimento para entender quando podemos estar lidando com uma sessão fraudulenta.
Outros truques. Os fraudadores geralmente contam com falsificação de ambiente, VPN e outros truques para tentar parecer usuários legítimos. Usuários legítimos fazem isso com muito menos frequência, embora ainda aconteça.
Os comportamentos dos usuários acima são alguns exemplos das diferenças de comportamento entre usuários legítimos e fraudadores. Nenhum desses comportamentos por si só pode nos dizer com 100% de certeza se uma determinada sessão é legítima ou fraudulenta. Eles podem, no entanto, nos fornecer informações valiosas sobre o “como” por trás do “o quê”. Isso, por sua vez, pode nos ajudar a fazer avaliações muito mais precisas sobre o que é fraude. Compreender o comportamento do usuário final (dados da camada 8) nos permite aumentar nossas taxas de detecção e, ao mesmo tempo, diminuir nossas taxas de falsos positivos.
FONTE: DARK READING