Les robots sont le fléau du test de sécurité de Turing
Les robots sont cool. Les robots sont effrayants. Les robots sont l'avenir. Les robots deviennent chaque jour plus intelligents.
Selon le type de bot dont on parle, on est soit frustré, soit fasciné par eux. D’une part, les chatbots sont souvent considérés comme un élément clé des stratégies de transformation numérique des entreprises. Du côté du consommateur, ils offrent la possibilité de présenter une réponse rapide aux questions et aux requêtes. Du côté interne, ils peuvent exécuter des tâches et répondre à des questions sur l’état de tout, depuis un rapport de dépenses récemment déposé jusqu’à la capacité actuelle de votre toute nouvelle application.
D’un autre côté (et c’est plus sombre, il faut l’admettre), certains robots sont mauvais. Très mauvais. Il existe des thingbots – ces appareils IoT qui ont été compromis et ont rejoint un botnet de l’Étoile de la Mort . Et il y a des robots dont le seul but est de récupérer, de voler et d'arrêter les affaires par le biais de subterfuges.
Ce sont ces derniers robots qui nous intéressent aujourd’hui, car ils deviennent de plus en plus intelligents et, malheureusement, ils constituent désormais la majorité des « utilisateurs » d’Internet.
Sérieusement. 52 % de tout le trafic Internet est non humain. Une partie de cela concerne les API interentreprises et les robots légitimes, comme les indexeurs de recherche et les robots multimédias. Mais une bonne partie d'entre eux sont simplement de mauvais robots. Selon Distil Networks , qui traque ces rongeurs numériques, « les robots malveillants représentent 20 % de l’ensemble du trafic Web et sont présents partout, à tout moment ». Pour les grands sites Web, ils représentaient 21,83 % du trafic, soit une augmentation de 36,43 % depuis 2015. D’autres recherches racontent une histoire similaire. Peu importe qui propose ces chiffres, aucun d’entre eux n’est une bonne nouvelle pour les entreprises.
Le rapport de Distil Networks indique que « en 2016, un tiers (32,36 %) des sites ont connu des pics de trafic de robots malveillants trois fois supérieurs à la moyenne, et une moyenne de 16 pics de ce type par an ». Les pics soudains sont une cause de problèmes de performances (à mesure que la charge augmente, les performances diminuent) ainsi que de temps d'arrêt.
Si les robots attaquent des applications sur site, ils peuvent non seulement provoquer des pannes, mais également augmenter le coût associé à cette application. De nombreuses applications sont encore déployées sur des plateformes qui nécessitent des licences. Chaque fois qu'une nouvelle instance est lancée, une entrée est également enregistrée dans le grand livre comptable. Faire évoluer un logiciel coûte de l’argent. Indépendamment des coûts de licence, des coûts sont associés à chaque transaction, car le matériel et la bande passante ne sont toujours pas aussi bon marché que nous le souhaiterions.
Dans le cloud, l’évolutivité est plus facile (généralement), mais vous devrez quand même payer pour cela. Ni le calcul ni la bande passante ne sont gratuits dans le cloud, et comme leurs homologues sur site, le coût d'une transaction réelle va augmenter en raison du trafic des robots.
La réponse est bien sûr élémentaire. Arrêtez le trafic avant qu'il n'atteigne l'application.
Cela semble bien plus facile que cela ne l’est. Vous voyez, la sécurité est obligée de fonctionner comme le « joueur C » dans l’ interprétation standard du test de Turing . Pour ceux qui ne s'en souviennent pas, le test de Turing oblige un interrogateur (joueur C) à déterminer quel joueur (A ou B) est une machine et lequel est humain. Et il ne peut utiliser que des réponses écrites, sinon, eh bien, bien sûr. Facile.
De la même manière, aujourd’hui, les solutions de sécurité doivent faire la distinction entre l’humain et la machine en utilisant uniquement des informations transmises numériquement.
Pare-feu d'application Web : Joueur « C » dans le test de sécurité de Turing
Les pare-feu application Web (WAF) sont conçus pour pouvoir le faire. Qu'il s'agisse d'un service , sur site ou dans le cloud public , un WAF protège les applications contre les robots en les détectant et en leur refusant l'accès aux ressources qu'ils désirent. Le problème est que de nombreux WAF filtrent uniquement les robots qui correspondent à des agents utilisateurs et des adresses IP connus comme étant de mauvaise qualité. Mais les robots deviennent plus intelligents et savent comment alterner entre les adresses IP et changer d’agent utilisateur pour échapper à la détection. Distil note cette intelligence croissante lorsqu'il souligne que 52,05 % des « mauvais robots chargent et exécutent JavaScript, ce qui signifie qu'ils ont un moteur JavaScript installé ».
Cela signifie que vous devez disposer de beaucoup plus d’informations sur « l’utilisateur » si vous voulez identifier et rejeter avec succès les mauvais robots. La bonne nouvelle est que l’information existe et qu’elle est entièrement numérique. Tout comme il y a beaucoup à apprendre du langage corporel, des modèles de parole et des choix de vocabulaire d’un être humain, il est également possible de glaner beaucoup de choses à partir des éléments numériques qui accompagnent chaque transaction.
Avec la bonne combinaison de renseignements sur les menaces, de profilage des appareils et d’analyse comportementale, un WAF peut correctement distinguer les mauvais robots des utilisateurs légitimes, humains ou robots. Votre choix détermine dans quelle mesure un bot peut ou non déjouer votre stratégie de sécurité et « gagner » efficacement le test de sécurité de Turing.
- Renseignement sur les menaces
Les renseignements sur les menaces combinent la géolocalisation avec la classification proactive du trafic et utilisent des flux de renseignements provenant d'autant de sources crédibles que possible pour aider à identifier les mauvais robots. Il s’agit essentiellement de « big data de sécurité » qui permettent à tout un écosystème de partenaires de sécurité de partager des renseignements permettant une identification rapide et donc plus précise des dernières tentatives de bots.
Le profilage d'un appareil comprend la comparaison des requêtes avec les signatures BOT connues et les vérifications d'identité. Système d'exploitation, réseau, type d'appareil : tout ce qui peut être glané à partir d'une connexion (et il y en a beaucoup) peut être utilisé. L'empreinte digitale est également utile car il s'avère que la quantité d'informations (peut-être par inadvertance) partagées par les navigateurs (et les robots) est suffisamment proche pour les identifier de manière unique. Une excellente lecture sur cette théorie peut être trouvée sur le site de l'EFF . Je tiens à souligner qu’il a été statistiquement déterminé qu’en 2007, il suffisait de 32,6 éléments d’information pour identifier de manière unique un individu. Les chaînes d'agent utilisateur contiennent environ 10,5 bits, et les robots les fournissent librement.
Dans un monde numérique, cependant, les profils peuvent changer en un instant et la localisation peut être masquée ou falsifiée. C'est pourquoi l'analyse comportementale fait également partie de l'identification des mauvais robots du trafic légitime. Cela prend souvent la forme d’une sorte de défi. Nous voyons cela sous forme d'utilisateurs dans des captchas et de cases à cocher « Je ne suis pas un robot », mais ce ne sont pas les seuls moyens de défier les robots. L'analyse comportementale surveille également les anomalies de session et de transaction, ainsi que les tentatives d'accès par force brute.
L’utilisation des trois fournit un contexte plus complet et permet au WAF d’identifier correctement les mauvais robots et de leur refuser l’accès.
Nous (c’est-à-dire le « nous » de l’entreprise) avons toujours fait référence à cette combinaison unique de variables sous le nom de « contexte ». Le contexte est aujourd’hui un élément essentiel de nombreuses solutions de sécurité : contrôle d’accès, gestion des identités et sécurité des applications. Le contexte est essentiel à une stratégie de sécurité centrée sur les applications et constitue une capacité clé de tout WAF capable de gérer les robots malveillants avec précision et efficacité. Le contexte fournit une « vue d’ensemble » et permet à un WAF de distinguer correctement le bon du mauvais et, ce faisant, de protéger des actifs précieux et de limiter les coûts de fonctionnement.
Le problème est résolu. Les robots sont là pour rester, et avec le bon WAF, vous pouvez améliorer votre capacité à les empêcher de faire ce que font les mauvais robots : voler des données et des ressources qui ont un impact réel sur les résultats de l'entreprise.