BLOG

10 questions à poser à un fournisseur de solutions de lutte contre les robots

Byron McNaught Miniature
Byron McNaught
Publié le 6 mai 2021

Vous suspectez que vous avez un problème de bot. Peut-être avez-vous des coûts d’infrastructure accrus en raison de pics de trafic, d’un taux élevé de prise de contrôle de compte (ATO) ou de quelqu’un qui pirate vos cartes-cadeaux et récupère votre propriété intellectuelle. Très probablement, si vous creusez plus profondément, vous découvrirez également un problème de fraude, ainsi qu'une baisse récente des scores de marque et de la fidélité des clients. Vous avez essayé de le gérer vous-même avec la limitation du débit, le blocage IP et géographique, la réputation, l'empreinte digitale, le CAPTCHA et l'authentification multifacteur (MFA), mais c'est devenu une bataille sans fin pour gérer plusieurs solutions, essayer de garder une longueur d'avance sur les attaquants et gérer des clients frustrés qui n'ont pas pu finaliser leur achat.

Vous avez maintenant décidé de faire appel à des professionnels pour vous aider et récupérer une partie de votre temps. Vous avez sélectionné quelques fournisseurs et vous allez leur poser quelques questions. Mais quelles questions ?

Voici quelques exemples utiles qui peuvent vous donner une idée si la solution d’atténuation des robots du fournisseur est adaptée à votre environnement.

1. Comment le fournisseur gère-t-il le réoutillage des attaquants ?

Si la valeur perçue de vos comptes clients est élevée, les attaquants n'abandonneront probablement pas facilement. Au contraire, ils se rééquiperont en permanence et réessayeront. Il s’agit de l’économie de base des attaquants , ce qui signifie que c’est votre question la plus importante. Lorsqu'une contre-mesure de sécurité est mise en place, les attaquants persistants se réorganisent pour contourner le contrôle d'atténuation en utilisant diverses méthodes, outils et même l'IA. Les victimes de vol d'identifiants disent que lutter contre les robots et l'automatisation par elles-mêmes revient à jouer au jeu du chat et de la souris. Vous payez un service pour jouer à ce jeu à votre place, alors demandez-leur comment ils le gèrent.

Les attaquants se réorganisent en permanence. Comment le vendeur réagit-il ?

2. Le vendeur augmente-t-il considérablement les frictions avec les clients ?

Le CAPTCHA et le MFA augmentent considérablement les frictions avec vos clients. Les taux d’échec humains varient de 15 à 50 % et entraînent un taux élevé d’abandon de panier et une diminution de la satisfaction des utilisateurs. Et votre client pourrait ne jamais revenir, même après une seule expérience utilisateur négative.

Honnêtement, réfléchissez bien aux fournisseurs qui s’appuient sur des contre-mesures connues pour introduire des frictions. Non seulement ces défenses frustrent les utilisateurs, mais les attaquants parviennent souvent à les contourner malgré tout. Les fraudeurs peuvent utiliser des outils et du travail humain pour résoudre les CAPTCHA , et peuvent même exploiter des informations personnelles compromises pour se faire passer pour des titulaires de compte afin de déplacer des lignes téléphoniques vers des comptes sous leur contrôle afin de répondre aux demandes MFA.

3. Comment le service gère-t-il les faux positifs ?

Un faux positif pour un vendeur est lorsqu'il marque un véritable humain comme un robot. Un faux négatif se produit lorsqu'ils marquent un robot comme étant humain.

L'atténuation des robots aura un peu des deux ; méfiez-vous de tout fournisseur qui prétend le contraire. Mais un fournisseur doit être très réactif au problème des faux positifs ; c'est-à-dire que vous devez pouvoir le contacter, vous plaindre et faire en sorte que la détermination du faux positif soit traitée.

4. Lorsqu'un attaquant contourne la détection, comment le service s'adapte-t-il ?

Il y aura des attaquants avancés qui tenteront et réussiront même à contourner la détection, devenant ainsi un faux négatif. Un fournisseur de solutions d’atténuation des robots doit agir comme si un attaquant qualifié allait contourner de manière imminente toutes les contre-mesures. Lorsque cela se produit, vous ne le saurez peut-être pas avant d’en voir les effets secondaires (prise de contrôle de compte, fraude, analyses commerciales faussées, etc.). Vous devrez ensuite contacter votre fournisseur et travailler avec lui sur la manière de remédier au problème.

Comment gèrent-ils ce processus ? Quelle est la réponse du fournisseur et quel est son délai d’exécution ?

5. Comment le fournisseur gère-t-il la fraude manuelle (impliquée par l’homme) ?

Si votre fournisseur est particulièrement habile à repousser l'automatisation (bots), un attaquant très, très déterminé et compétent saisira les informations d'identification à la main dans de vrais navigateurs afin de contourner les défenses anti-automatisation, ce qui peut potentiellement conduire à une prise de contrôle de compte (ATO) et à une fraude . En fait, une simple somme de 10 $ derrière une connexion sécurisée peut suffire à motiver un attaquant professionnel. De nombreux services ne détectent pas cela (puisque les humains ne sont pas des robots).

Le vendeur doit être en mesure de déterminer si un humain est un client digne de confiance ou un fraudeur.

Leur service peut-il détecter une intention malveillante ? Une détection précise peut faire la distinction entre un robot, un attaquant utilisant des outils sophistiqués et l'IA pour imiter ou reproduire un comportement humain, et un vrai client, puis prendre l'action la plus appropriée sans aider les efforts de reconnaissance de l'attaquant ni impacter l'expérience client. 

Comment le service gère-t-il la fraude manuelle ?

6. Si un client est contourné, comment le fournisseur peut-il protéger ce contournement pour qu'il n'affecte pas tous les autres clients ?

Dans de nombreux cas, des politiques de détection et d’atténuation personnalisées doivent être déployées pour chaque client. De cette façon, si un attaquant se réorganise suffisamment pour contourner les contre-mesures sur un site, il ne peut pas automatiquement utiliser ce manuel pour pénétrer dans votre site. Chaque client doit être protégé contre un réoutillage par rapport à un client différent.

Certains secteurs d’activité, comme les services bancaires et financiers, attirent les cybercriminels les plus motivés et les plus sophistiqués. Les solutions d’atténuation des robots les plus efficaces détecteront les techniques des attaquants sur des profils d’attaque et des surfaces de risque similaires afin de déployer automatiquement des contre-mesures appropriées. De plus, les enregistrements historiques des fraudes peuvent permettre de former davantage les modèles d’IA pour maximiser leur efficacité.

7. Si un attaquant contourne une atténuation, le service a-t-il toujours une visibilité sur l’attaque ?

Il est très courant qu’un service devienne aveugle après qu’un attaquant ait contourné les défenses. Si le fournisseur atténue les données qu'il utilise pour détecter, alors lorsqu'un attaquant contourne l'atténuation, vous perdez la capacité de détection. Par exemple, s’ils bloquent sur l’IP, lorsque l’attaquant contourne le blocage (distribue globalement), le fournisseur peut perdre la visibilité et ne saura pas à quel point l’attaque est réellement grave.

Un exemple d'un système qui fonctionne correctement est celui où 10 000 connexions sont effectuées et où elles semblent toutes correctes au départ, car elles présentent des analyses comportementales dans la plage appropriée pour les humains. Mais plus tard, il s'avère que les 10 000 personnes avaient des comportements identiques, ce qui signifie que les connexions étaient automatisées.

Les solutions d’atténuation des robots les plus efficaces collectent et analysent en continu divers signaux de télémétrie d’appareils, de réseau, d’environnement et de comportement pour maximiser la visibilité et identifier avec précision les anomalies. Cela améliore à son tour l’efficacité des modèles d’IA en boucle fermée tout en fournissant des informations clés au centre d’opérations de sécurité (SOC) du fournisseur.

8. Dans quelle mesure la solution est-elle difficile à déployer et à maintenir ?

L'utilisateur ou l'administrateur doit-il installer un logiciel de point de terminaison personnalisé ou la protection est-elle automatique ? S'il n'y a pas de présence de point de terminaison, comment le fournisseur détecte-t-il les appareils mobiles enracinés ? Comment détecte-t-il les attaques utilisant les derniers outils de sécurité et les données du Dark Web ? Qu'en est-il des API ?

Cela aide lorsque votre équipe invente 5 des 9 fonctionnalités pertinentes de JavaScript et que vos solutions s'exécutent sur plusieurs clouds et architectures, déployant de manière transparente des protections personnalisées qui maximisent la visibilité et l'efficacité de la sécurité sans introduire de friction dans le cycle de vie du développement des applications ou l'expérience client.

9. Quels types d’anomalies le fournisseur détecte-t-il ?

Les attaquants utilisent constamment des robots, l’automatisation et des informations d’identification compromises pour les aider dans leurs efforts, le but ultime étant le gain financier. Les mesures d’atténuation de base ne suffisent pas. Par exemple, les attaquants réutilisent les adresses IP, mais généralement seulement 2,2 fois en moyenne. Souvent, ils ne sont utilisés qu’une fois par jour ou une fois par semaine ! Cela rend le blocage IP largement inefficace.

Les outils d'automatisation peuvent créer des attaques sur mesure qui contournent la limitation de débit, les solveurs CAPTCHA et l'émulation de pile Web peuvent falsifier les contrôles d'en-tête et d'environnement, les navigateurs consommateurs scriptables et les outils anti-empreintes digitales peuvent battre les empreintes digitales et même l'analyse comportementale. C’est vraiment une course aux armements.

Les attaquants investissent généralement selon quatre vecteurs :

  • Usurpation du trafic réseau
  • Émulation d'une variété d'appareils et de navigateurs valides
  • Utilisation d'identifiants volés, d'informations personnelles identifiables et d'identités synthétiques
  • Imiter et reproduire le comportement humain réel

Il existe plus d'une centaine de signaux clients en plus de l'adresse IP. Un bon service exploitera une variété de signaux et d’IA pour fournir des informations exploitables et détecter les comportements anormaux indiquant une fraude, notamment les activités de copier-coller, le basculement d’écran, l’utilisation inhabituelle de l’espace de l’écran, l’affinité des appareils, l’usurpation de l’environnement et les tentatives d’anonymisation de l’identité, plutôt que de s’appuyer sur le blocage d’IP, les signatures et les empreintes digitales.

Quels types d’informations et de télémétrie le fournisseur peut-il collecter ?

10. Dans combien de temps le fournisseur peut-il apporter une modification ?

Lorsque l’attaquant se réorganise pour contourner les contre-mesures actuelles, à quelle vitesse le fournisseur se réorganise-t-il ? Est-ce des heures ou des jours ? Le fournisseur facture-t-il un supplément s'il s'agit d'un attaquant persistant et sophistiqué et que plusieurs contre-mesures ou consultations avec le SOC sont nécessaires ?

Il existe d’autres questions qui constituent des enjeux majeurs pour tout vendeur. Des éléments tels que les modèles de déploiement (existe-t-il une option cloud ?) et le modèle de coût (trafic propre ou facturation à l'heure ?). Et, bien sûr, vous devez comparer l’accord de niveau de service (SLA) de chaque fournisseur. Mais vous alliez probablement poser ces questions de toute façon (n'est-ce pas ?).

Oui, cet article est légèrement biaisé, car F5 est le premier fournisseur de sécurité des applications. Mais pensez aux centaines de clients avec qui nous avons discuté et qui nous ont choisis ; ce sont des questions qu'ils ont posées, et nous espérons qu'elles vous aideront, même si vous finissez par choisir un autre fournisseur d'atténuation des robots. Parce que les attaquants ne font pas de discrimination en fonction du cloud, de l’architecture, du CDN ou des organigrammes de votre équipe de sécurité et de fraude. L’argent se trouve derrière vos applications et c’est là que les criminels attaquent.

Prochaines étapes

Les marques les plus précieuses au monde, notamment les institutions financières, les détaillants, les compagnies aériennes et les chaînes hôtelières, utilisent déjà les solutions d’atténuation des robots F5 pour protéger leurs applications, leurs clients et leur entreprise.

F5 arrête systématiquement plus de robots et d'automatisations que les autres fournisseurs. Cela réduit la fraude et la complexité opérationnelle tout en augmentant les revenus et en améliorant l’expérience client.

Faites-nous savoir si vous souhaitez voir par vous-même.

 

Certaines parties de cet article sont basées sur du contenu précédemment publié qui a été mis à jour pour refléter les offres actuelles de F5.