Los bots son la pesadilla de la prueba de seguridad de Turing.
Los bots son geniales. Los bots dan miedo. Los bots son el futuro. Los bots se vuelven más inteligentes cada día.
Dependiendo de qué tipo de bot del que estemos hablando, nos sentimos frustrados o fascinados por ellos. Por un lado, los chatbots a menudo se consideran un componente clave de las estrategias de transformación digital de las empresas. Desde el lado del consumidor, brindan la oportunidad de presentar una respuesta rápida a preguntas y consultas. En el aspecto interno, pueden ejecutar tareas y responder preguntas sobre el estado de todo, desde un informe de gastos presentado recientemente hasta la capacidad actual de su nueva aplicación.
Por otro lado (y ciertamente más oscuro), algunos bots son malos. Muy malo. Existen thingbots : aquellos dispositivos IoT que han sido comprometidos y se han unido a una botnet Estrella de la Muerte . Y hay bots cuyo único propósito es raspar, robar y detener negocios mediante subterfugios.
Son estos últimos bots los que nos ocupan hoy, ya que se están volviendo significativamente más inteligentes y lamentablemente, ahora son la mayoría de los “usuarios” de Internet.
En serio. El 52% de todo el tráfico de Internet no es humano. Parte de esto son API de empresa a empresa y bots legítimos, como indexadores de búsqueda y bots de medios. Pero una buena parte de ellos son simplemente bots malos. Según Distil Networks , que rastrea a estos roedores digitales, “los bots maliciosos representan el 20% de todo el tráfico web y están en todas partes, en todo momento”. En el caso de los sitios web de gran tamaño, representaron el 21,83% del tráfico, un aumento del 36,43% desde 2015. Otras investigaciones cuentan una historia similar. No importa quién ofrezca las cifras, ninguna de ellas es una buena noticia para los negocios.
El informe de Distil Networks señala que “en 2016, un tercio (32,36 %) de los sitios tuvieron picos de tráfico de bots maliciosos de 3 veces la media, y un promedio de 16 picos de este tipo por año”. Los picos repentinos son una causa de problemas de rendimiento (a medida que aumenta la carga, el rendimiento disminuye), así como de tiempo de inactividad.
Si los bots atacan aplicaciones locales, pueden no solo provocar interrupciones, sino también aumentar el costo asociado con esa aplicación. Muchas aplicaciones todavía se implementan en plataformas que requieren licencias. Cada vez que se lanza una nueva instancia, se produce una entrada en el libro contable. Escalar el software cuesta dinero real. Independientemente de los costos de licencia, existen costos asociados a cada transacción porque el hardware y el ancho de banda aún no son tan baratos como nos gustaría.
En la nube, escalar es más fácil (generalmente), pero aun así tendrás que pagar por ello. Ni el cómputo ni el ancho de banda son gratuitos en la nube y, al igual que en sus contrapartes locales, el costo de una transacción real aumentará gracias al tráfico de bots.
La respuesta es elemental, por supuesto. Detenga el tráfico antes de que llegue a la aplicación.
Esto suena mucho más fácil de lo que es. Como se ve, la seguridad se ve obligada a operar como “jugador C” en la interpretación estándar de la prueba de Turing . Para aquellos que no lo recuerdan, la prueba de Turing obliga a un interrogador (jugador C) a determinar qué jugador (A o B) es una máquina y cuál es un humano. Y sólo se pueden utilizar respuestas escritas, porque de lo contrario, bueno, obvio. Fácil.
De la misma manera, hoy en día las soluciones de seguridad deben distinguir entre humanos y máquinas utilizando únicamente información transmitida digitalmente.
Firewalls de aplicaciones web: Jugador 'C' en la prueba de seguridad de Turing
Los firewalls de aplicação web (WAF) están diseñados para poder hacer esto. Ya sea como servicio , en las instalaciones o en la nube pública , un WAF protege las aplicaciones contra bots al detectarlos y negarles el acceso a los recursos que desean. El problema es que muchos WAF solo filtran bots que coinciden con agentes de usuario y direcciones IP conocidos como malos. Pero los bots se están volviendo más inteligentes y saben cómo rotar direcciones IP y cambiar agentes de usuario para evadir la detección. Distil destaca esta creciente inteligencia cuando señala que el 52,05 % de los “bots maliciosos cargan y ejecutan JavaScript, lo que significa que tienen un motor JavaScript instalado”.
Lo que significa que es necesario tener mucha más información sobre el “usuario” si se quiere identificar y rechazar con éxito a los bots maliciosos. La buena noticia es que la información está disponible y es totalmente digital. Así como se puede aprender mucho del lenguaje corporal, los patrones de habla y las elecciones de vocabulario de una persona, también se puede obtener mucho de los fragmentos digitales que se transportan en cada transacción.
Con la combinación adecuada de inteligencia de amenazas, creación de perfiles de dispositivos y análisis de comportamiento, un WAF puede distinguir correctamente los bots maliciosos de los usuarios legítimos (humanos o bots). Su elección determinará si un bot puede burlar su estrategia de seguridad y “ganar” efectivamente la prueba de seguridad de Turing.
- Inteligencia de amenazas
La inteligencia de amenazas combina la geolocalización con la clasificación proactiva del tráfico y utiliza fuentes de inteligencia de tantas fuentes confiables como sea posible para ayudar a identificar bots maliciosos. En esencia, se trata de “big security data” que permite que todo un ecosistema de socios de seguridad comparta inteligencia que permite una identificación oportuna y, por lo tanto, más precisa de los últimos intentos de bots.
El perfil de un dispositivo incluye la comparación de solicitudes con firmas BOT conocidas y verificaciones de identidad. Sistema operativo, red, tipo de dispositivo: todo lo que se pueda obtener de una conexión (y hay mucho) se puede utilizar. La toma de huellas dactilares también es valiosa porque resulta que la cantidad de información (quizás inadvertidamente) compartida por los navegadores (y los bots por igual) es bastante cercana a la suficiente para identificarlos de forma única. Se puede encontrar una excelente lectura sobre esta teoría en el sitio de la EFF . Notaré que se ha determinado estadísticamente que a partir de 2007, solo se requieren 32,6 bits de información para identificar de forma única a un individuo. Las cadenas del agente de usuario contienen alrededor de 10,5 bits y los bots los proporcionan libremente.
Sin embargo, en un mundo digital, los perfiles pueden cambiar en un instante y la ubicación puede enmascararse o falsificarse. Por eso, el análisis del comportamiento también forma parte de la identificación de bots maliciosos dentro del tráfico legítimo. Esto a menudo toma la forma de algún tipo de desafío. Lo vemos en los usuarios cuando aparecen captchas y en las casillas de verificación “No soy un robot”, pero esos no son los únicos medios para desafiar a los bots. El análisis del comportamiento también detecta anomalías en sesiones y transacciones, así como intentos de acceso por fuerza bruta.
El uso de los tres proporciona un contexto más completo y permite que el WAF identifique correctamente los bots maliciosos y les niegue el acceso.
Nosotros (el Nosotros Corporativo) siempre nos hemos referido a esta combinación única de variables como “contexto”. El contexto es un componente integral de muchas soluciones de seguridad actuales: control de acceso, gestión de identidad y seguridad de aplicaciones. El contexto es fundamental para una estrategia de seguridad centrada en las aplicaciones y es una capacidad clave de cualquier WAF capaz de lidiar con bots maliciosos de manera precisa y eficaz. El contexto proporciona una “visión general” y permite que un WAF separe correctamente lo malo de lo bueno y, al hacerlo, proteja activos valiosos y limite los costos de hacer negocios.
La solución ya está. Los bots llegaron para quedarse y, con el WAF adecuado, puede mejorar su capacidad para evitar que hagan lo que hacen los bots maliciosos: robar datos y recursos que tienen impactos reales en los resultados del negocio.