ブログ

ボット対策ベンダーに尋ねるべき 10 の質問

バイロン・マクノートのサムネイル
バイロン・マクノート
2021年5月6日公開

ボットの問題があると思われます。 トラフィックの急増、アカウント乗っ取り (ATO) 率の高さ、または誰かがギフトカードをクラックして知的財産を盗み出すことなどにより、インフラストラクチャ コストが増加している可能性があります。 おそらく、さらに深く掘り下げていくと、詐欺問題や、ブランドスコアと顧客ロイヤルティの最近の低下も見つかるでしょう。 レート制限、IP およびジオブロッキング、レピュテーション、フィンガープリンティング、CAPTCHA、多要素認証 (MFA) を使用して自分で対処しようとしましたが、複数のソリューションを管理し、攻撃者より先に行動し、購入を完了できないイライラした顧客に対処するのは終わりのない戦いになりました。

今、あなたは専門家に助けを求め、時間を節約することに決めました。 ベンダーを数社に絞り込み、いくつか質問をするつもりです。 しかし、どんな質問ですか?

ここでは、ボット緩和ベンダーのソリューションが環境に適しているかどうかを判断するのに役立ついくつかの優れた例を紹介します。

1. ベンダーは攻撃者の再編成にどのように対処しますか?

顧客アカウントの認識価値が高い場合、攻撃者は簡単に諦めることはなく、継続的にツールを改良して再試行する可能性があります。 これは基本的な攻撃者の経済学であり、つまりこれが最も重要な質問であることを意味します。 セキュリティ対策が導入されると、執拗な攻撃者はさまざまな方法、ツール、さらには AI を使用して、緩和制御を回避するために再編成します。クレデンシャル スタッフィングの被害者は、ボットや自動化と自力で戦うのはモグラ叩きのようなものだと言います。 あなたはこのゲームをプレイするためにサービス料を払っているのですから、彼らがどのように対処するかを尋ねてください。

攻撃者は常にツールを一新します。 ベンダーはどのように対応しますか?

2. ベンダーは顧客との摩擦を大幅に増加させますか?

CAPTCHA と MFA により、顧客に対する摩擦が大幅に増加します。 人的ミス率は 15% ~ 50% の範囲で、カートの放棄率が高くなり、ユーザー満足度が低下します。 一度でも否定的なユーザー エクスペリエンスを経験した後、顧客が二度と戻ってこなくなる可能性もあります。

正直に言うと、摩擦を生じさせることが知られている対策に頼っているベンダーについては慎重に検討してください。 これらの防御はユーザーを苛立たせるだけでなく、攻撃者がそれを回避できることも多々あります。 詐欺師はツールと人的労力を利用して CAPTCHA を解読し、侵害された個人情報を利用してアカウント所有者になりすまし、電話回線を自分の管理下にあるアカウントに移動して MFA リクエストを完了することもできます。

3. サービスは誤検知をどのように処理しますか?

ベンダーにとっての誤検知とは、実際の人間をボットとしてマークすることです。 偽陰性とは、ボットを人間としてマークすることです。

ボット緩和には両方の要素が多少含まれます。それ以外のことを主張するベンダーには疑いを持ってください。 しかし、ベンダーは誤検知の問題に対して迅速に対応する必要があります。つまり、ベンダーに連絡して苦情を申し立て、誤検知の判定に対処してもらう必要があります。

4. 攻撃者が検出を回避した場合、サービスはどのように適応しますか?

検出を回避しようとし、さらには検出を回避して偽陰性になる高度な攻撃者も存在します。 ボット緩和ベンダーは、熟練した攻撃者がすべての対策をすぐに回避するかのように動作する必要があります。 実際に発生した場合、副作用(アカウントの乗っ取り、詐欺、ビジネス分析の歪みなど)が現れるまで、そのことに気付かない可能性があります。 次に、ベンダーに連絡して、修復方法について協力する必要があります。

彼らはこのプロセスをどのように処理するのでしょうか? ベンダーの対応と処理時間はどのくらいですか?

5. ベンダーは手動(人間による)不正行為をどのように処理しますか?

ベンダーが自動化 (ボット) の阻止に特に長けている場合、非常に意志が強く熟練した攻撃者は、自動化対策を回避すべく実際のブラウザで認証情報を手入力し、アカウント乗っ取り (ATO) や詐欺につながる可能性があります。 実際、安全なログオンの背後にあるわずか 10 ドルの価値が、プロの攻撃者を動機付けるには十分かもしれません。 多くのサービスではこれを検出しません (人間はボットではないため)。

ベンダーは、人間が信頼できる顧客であるか詐欺師であるかを判断できなければなりません。

彼らのサービスは悪意のある意図を検出できますか? 正確な検出により、ボット、高度なツールと AI を使用して人間の行動をエミュレートまたは表示する攻撃者、および実際の顧客を区別し、攻撃者の偵察活動を支援したり、顧客エクスペリエンスに影響を与えたりすることなく、最も適切なアクションを実行できます。 

このサービスは手動による不正行為をどのように処理しますか?

6. 1 人の顧客がバイパスされた場合、ベンダーはそのバイパスが他のすべての顧客に影響を与えないようにどのように保護しますか?

多くの場合、カスタム検出および軽減ポリシーをすべての顧客に展開する必要があります。 そうすれば、攻撃者が 1 つのサイトで対策を回避できるほど十分にツールを改良したとしても、そのプレイブックを自動的に使用してサイトに侵入することはできません。 各顧客は、別の顧客に対する再ツール化から隔離される必要があります。

銀行や金融サービスなどの特定の業界は、最も意欲的で洗練されたサイバー犯罪者を引き付けます。 最も効果的なボット緩和ソリューションは、類似の攻撃プロファイルとリスク領域全体で攻撃者の手法を検出し、適切な対策を自動的に展開します。 さらに、過去の不正行為記録により AI モデルをさらにトレーニングして、有効性を最大化できます。

7. 攻撃者が緩和策を回避した場合、サービスは攻撃を依然として把握できますか?

攻撃者が防御を回避した後、サービスが利用できなくなることはよくあります。 ベンダーが検出に使用するデータに対して緩和策を講じた場合、攻撃者が緩和策を回避したときに検出能力が失われます。 たとえば、IP をブロックした場合、攻撃者がブロックを回避 (グローバルに配布) すると、ベンダーは可視性を失い、攻撃が実際にどれほど深刻であるかを把握できなくなります。

正しく動作しているシステムの例としては、10,000 件のログインが行われ、人間の行動分析が適切な範囲内にあるため、最初はすべて正常に見える場合が挙げられます。 しかし、後に 10,000 人全員が同一の動作をしていたことが判明し、ログインが自動化されていたことが分かりました。

最も効果的なボット緩和ソリューションは、さまざまなデバイス、ネットワーク、環境、動作テレメトリ信号を継続的に収集して分析し、可視性を最大限に高めて異常を正確に特定します。 これにより、クローズドループ AI モデルの有効性が向上し、ベンダーのセキュリティ オペレーション センター (SOC) に重要な洞察が提供されます。

8. ソリューションの導入と保守はどの程度難しいですか?

ユーザーまたは管理者はカスタム エンドポイント ソフトウェアをインストールする必要がありますか、それとも保護は自動的に行われますか? エンドポイントが存在しない場合、ベンダーはどのようにしてルート化されたモバイル デバイスを検出するのでしょうか? 最新のセキュリティツールとダークウェブのデータを使用して、どのように攻撃を検出するのでしょうか? APIについてはどうですか?

チームが JavaScript の 9 つの関連機能のうち 5 つを発明し、ソリューションがクラウドやアーキテクチャ全体で実行され、アプリケーション開発ライフサイクルや顧客エクスペリエンスに摩擦を生じさせることなく、可視性とセキュリティの有効性を最大化するカスタマイズされた保護をシームレスに展開する場合に役立ちます。

9. ベンダーはどのような種類の異常を検出しますか?

攻撃者は、金銭的利益を得ることを最終目的として、ボット、自動化、侵害された資格情報を常に活用して攻撃を遂行しています。 基本的な緩和策だけでは不十分です。 たとえば、攻撃者は IP アドレスを再利用しますが、通常は平均 2.2 回だけです。 多くの場合、1 日に 1 回または 1 週間に 1 回しか使用されません。 これにより、IP ブロッキングはほとんど効果がなくなります。

自動化ツールは、レート制限を回避するカスタマイズされた攻撃を構築でき、CAPTCHA ソルバーと Web スタック エミュレーションはヘッダーと環境のチェックを偽装でき、スクリプト可能なコンシューマー ブラウザーとアンチフィンガープリンティング ツールは、フィンガープリンティングや動作分析さえも回避できます。 それはまさに軍拡競争だ。

攻撃者は通常、次の 4 つのベクトルに沿って投資します。

  • ネットワークトラフィックの偽装
  • さまざまな有効なデバイスとブラウザをエミュレートする
  • 盗まれた認証情報、個人情報、合成IDの使用
  • 実際の人間の行動を模倣し、示す

IP アドレス以外にも 100 を超えるクライアント信号があります。 優れたサービスは、IP ブロック、署名、フィンガープリンティングに頼るのではなく、さまざまなシグナルと AI を活用して実用的な洞察を提供し、コピー アンド ペースト アクティビティ、画面の切り替え、画面領域の不適切な使用、デバイスの親和性、環境のスプーフィング、ID の匿名化の試みなど、詐欺を示唆する異常な動作を検出します。

ベンダーはどのような情報やテレメトリを収集できますか?

10. ベンダーはどのくらい早く変更を加えることができますか?

攻撃者が現在の対策を回避するためにツールを再導入した場合、ベンダーはどのくらいの速さでツールを再導入するでしょうか? それは数時間ですか、それとも数日ですか? 高度な攻撃者が執拗に攻撃し、複数の対策や SOC との協議が必要な場合、ベンダーは追加料金を請求しますか?

どのベンダーにとっても必須の質問が他にもあります。 展開モデル(クラウド オプションはありますか?)やコスト モデル(クリーンなトラフィックか、時間単位で課金されますか?)など。 もちろん、各ベンダーのサービス レベル契約 (SLA) を比較する必要があります。 しかし、あなたはおそらくいずれにせよそれらの質問をするつもりだったでしょう(そうですよね?)。

はい、F5 はトップクラスのアプリケーション セキュリティ ベンダーなので、この記事には多少偏りがあります。 しかし、私たちが話し合った何百人ものお客様から当社を選んでいただいたことを考えてみてください。これらはお客様から尋ねられた質問であり、最終的に別のボット緩和ベンダーを選択する場合でも、これらの質問がお役に立てば幸いです。 攻撃者は、クラウド、アーキテクチャ、CDN、またはセキュリティおよび詐欺チームの組織図に基づいて区別しないからです。 アプリの背後にはお金が隠されており、犯罪者はそこを攻撃します。

次のステップ

金融機関、小売業者、航空会社、ホテルチェーンなど、世界で最も価値のあるブランドはすでに、アプリ、顧客、ビジネスを保護するために F5 のボット緩和ソリューションを使用しています。

F5 は、他のベンダーよりも多くのボットと自動化を一貫して阻止します。 これにより、不正行為や運用の複雑さが軽減され、収益が増加し、顧客エクスペリエンスが向上します。

ご自身の目でご覧になりたい場合はお知らせください

 

この投稿の一部は、F5 の現在の提供内容を反映するように更新された、以前に公開されたコンテンツに基づいています。