블로그

봇 완화 공급업체에 물어볼 10가지 질문

바이런 맥노트 썸네일
바이런 맥노트
2021년 5월 6일 게시

봇 문제가 있는 것 같습니다. 트래픽 급증, 높은 계정 인수(ATO) 비율 또는 누군가가 귀하의 기프트 카드를 해킹하여 귀하의 지적 재산을 수집하는 등의 이유로 인프라 비용이 증가했을 수 있습니다. 더 깊이 파고들면 사기 문제와 더불어 최근 브랜드 점수와 고객 충성도의 하락도 발견할 수 있을 것입니다. 여러분은 속도 제한, IP 및 지역 차단, 평판, 지문, CAPTCHA, 다중 인증(MFA) 등을 직접 사용해 보려고 했지만, 여러 솔루션을 관리하고, 공격자보다 앞서 나가려고 노력하고, 구매를 완료하지 못한 좌절한 고객을 상대해야 하므로 끝없는 싸움이 되었습니다.

이제 전문가를 불러 도움을 받고 시간을 되찾기로 결심했습니다. 몇몇 공급업체로 범위를 좁혔고, 그들에게 몇 가지 질문을 할 겁니다. 하지만 어떤 질문들이요?

다음은 봇 완화 공급업체의 솔루션이 귀하의 환경에 적합한지 여부를 알려주는 몇 가지 좋은 정보입니다.

1. 공급업체는 공격자의 재편을 어떻게 처리합니까?

고객 계정에서 인식된 가치가 높으면 공격자는 쉽게 포기하지 않을 것입니다. 대신 지속적으로 재정비하고 다시 시도할 것입니다. 이것은 기본적인 공격자 경제학 이며, 이는 가장 중요한 질문입니다. 보안 대책이 마련되면 끈질긴 공격자는 다양한 방법, 도구, 심지어 AI를 사용하여 완화 제어를 우회하기 위해 재정비합니다. 자격 증명 스터핑 피해자들은 봇과 자동화에 스스로 맞서 싸우는 것이 두더지 때리기 게임과 같다고 말합니다. 여러분은 게임을 플레이하기 위해 서비스에 비용을 지불하는 것이니, 그들이 이를 어떻게 처리하는지 물어보세요.

공격자는 항상 재정비합니다. 공급업체는 어떻게 대응합니까?

2. 공급업체가 고객 마찰을 크게 증가시켰는가?

CAPTCHA와 MFA는 고객과의 마찰을 크게 증가시킵니다. 인간의 실패율은 15%에서 50%에 이르며 이로 인해 카트 포기율이 높아지고 사용자 만족도가 떨어집니다. 단 한 번이라도 부정적인 사용자 경험을 한 뒤에도 해당 고객은 다시 돌아오지 않을 수도 있습니다.

솔직히 말해서, 마찰을 일으키는 것으로 알려진 대책에 의존하는 공급업체에 대해 신중하게 생각해 보세요. 이런 방어수단은 사용자를 좌절시킬 뿐만 아니라, 공격자는 종종 이를 우회할 수 있다. 사기꾼은 도구와 인력을 활용하여 CAPTCHA를 풀 수 있으며, 손상된 PII를 활용하여 계정 소유자를 사칭한 다음 전화선을 자신이 제어하는 계정으로 이동하여 MFA 요청을 완료할 수도 있습니다.

3. 이 서비스는 거짓 양성 결과를 어떻게 처리하나요?

공급업체가 실제 사람을 봇으로 표시하는 경우 거짓 긍정이 발생합니다. 거짓 부정은 봇을 인간으로 표시하는 경우입니다.

봇 완화에는 두 가지가 모두 포함됩니다. 그렇지 않다고 주장하는 공급업체는 의심하세요. 하지만 공급업체는 거짓 양성 문제에 매우 신속하게 대응해야 합니다. 즉, 공급업체에 연락하여 불만을 제기하고 거짓 양성 판정에 대한 처리를 요구할 수 있어야 합니다.

4. 공격자가 감지를 우회하면 서비스는 어떻게 적응하나요?

탐지를 우회하려고 시도하고 심지어 성공하여 거짓 부정을 하는 고급 공격자가 있을 것입니다. 봇 완화 공급업체는 숙련된 공격자가 곧 모든 대응책을 우회할 것이라는 믿음을 갖고 운영해야 합니다. 이런 일이 일어나면 부작용(계정 인수, 사기, 왜곡된 비즈니스 분석 등)이 나타나기 전까지는 그 사실을 알지 못할 수도 있습니다. 그런 다음 공급업체에 연락하여 수정 방법에 대해 논의해야 합니다.

그들은 이 과정을 어떻게 처리하나요? 공급업체의 응답 및 처리 시간은 얼마나 걸립니까?

5. 공급업체는 수동(인간이 주도하는) 사기를 어떻게 처리합니까?

공급업체가 자동화(봇)를 차단하는 데 특히 능숙한 경우 매우 단호하고 숙련된 공격자가 실제 브라우저에서 직접 자격 증명을 입력하여 자동화 방지 방어를 우회할 수 있으며, 이는 잠재적으로 계정 인수(ATO) 및 사기로 이어질 수 있습니다. 사실, 보안 로그인에 10달러의 가치만 있어도 전문 공격자에게 동기를 부여하기에 충분할 수 있습니다. 많은 서비스는 이를 감지하지 못합니다(인간은 봇이 아니기 때문입니다).

판매자는 인간이 신뢰할 수 있는 고객인지 사기꾼인지 판단할 수 있어야 합니다.

해당 서비스는 악의적인 의도를 감지할 수 있는가? 정확한 탐지를 통해 정교한 도구와 AI를 사용하여 인간의 행동을 모방하거나 보여주는 공격자(봇)와 실제 고객을 구별하고, 공격자의 정찰 활동을 돕거나 고객 경험에 영향을 주지 않으면서 가장 적절한 조치를 취할 수 있습니다. 

서비스는 수동 사기를 어떻게 처리합니까?

6. 한 고객이 우회되면 공급업체는 그 우회가 다른 모든 고객에게 영향을 미치지 않도록 어떻게 보호할 것인가?

대부분의 경우, 모든 고객을 대상으로 맞춤형 탐지 및 완화 정책을 배포해야 합니다. 이런 방식을 사용하면 공격자가 한 사이트의 대책을 우회할 만큼 충분히 재조정하더라도 해당 플레이북을 자동으로 사용하여 사이트에 침입할 수 없습니다. 각 고객은 다른 고객에 대한 재조정으로부터 보호되어야 합니다.

은행 및 금융 서비스 같은 특정 산업 분야는 가장 적극적이고 정교한 사이버 범죄자들의 관심을 끌기 마련입니다. 가장 효과적인 봇 완화 솔루션은 유사한 공격 프로필과 위험 표면에서 공격자의 기술을 감지하여 적절한 대책을 자동으로 구축합니다. 또한, 과거의 사기 기록을 통해 AI 모델을 더욱 훈련시켜 효율성을 극대화할 수 있습니다.

7. 공격자가 완화 조치를 우회하는 경우, 서비스는 여전히 공격에 대한 가시성을 유지할 수 있습니까?

공격자가 방어망을 우회한 후에 서비스가 작동하지 않는 것은 매우 흔한 일입니다. 공급업체가 탐지에 사용하는 데이터를 완화하는 경우 공격자가 완화 조치를 우회하면 탐지 기능을 잃게 됩니다. 예를 들어, IP를 차단하면 공격자가 차단을 우회(전 세계적으로 배포)할 때 공급업체는 가시성을 잃고 공격이 실제로 얼마나 심각한지 알 수 없게 됩니다.

시스템이 올바르게 작동하는 예로는 10,000건의 로그인이 접수되었지만 모두 인간에게 적절한 범위 내에 있는 행동 분석 결과를 보였기 때문에 처음에는 괜찮아 보이는 경우가 있습니다. 하지만 나중에 10,000명 모두가 동일한 행동을 했다는 것이 밝혀졌는데, 이는 로그인이 자동화되었다는 것을 의미합니다.

가장 효과적인 봇 완화 솔루션은 다양한 장치, 네트워크, 환경 및 행동 원격 측정 신호를 지속적으로 수집하고 분석하여 가시성을 극대화하고 이상을 정확하게 식별합니다. 이를 통해 폐쇄 루프 AI 모델의 효율성이 향상되고 공급업체의 보안 운영 센터(SOC)에 주요 통찰력이 제공됩니다.

8. 솔루션을 배포하고 유지 관리하는 것이 얼마나 어렵습니까?

사용자 또는 관리자가 맞춤형 엔드포인트 소프트웨어를 설치해야 합니까? 아니면 보호가 자동으로 이루어집니까? 엔드포인트가 존재하지 않는 경우 공급업체는 루팅된 모바일 기기를 어떻게 감지합니까? 최신 보안 도구와 다크 웹의 데이터를 활용해 공격을 어떻게 탐지하나요? API는 어떤가요?

귀하의 팀이 JavaScript에서 관련 기능 9개 중 5개를 개발하고, 귀하의 솔루션이 클라우드와 아키텍처 전반에서 실행되어 애플리케이션 개발 라이프사이클이나 고객 경험에 마찰을 주지 않으면서 가시성과 보안 효율성을 극대화하는 맞춤형 보호 기능을 원활하게 배포할 때 도움이 됩니다.

9. 공급업체는 어떤 유형의 이상을 감지합니까?

공격자는 끊임없이 봇, 자동화, 손상된 인증 정보를 이용해 공격을 수행하며, 최종 목표는 금전적 이익을 얻는 것입니다. 기본적인 완화책만으로는 충분하지 않습니다. 예를 들어 공격자는 IP 주소를 재사용하지만 일반적으로 평균 2.2회에 불과합니다. 종종 하루에 한 번이나 일주일에 한 번만 사용되죠! 이로 인해 IP 차단이 거의 효과가 없게 됩니다.

자동화 도구는 속도 제한을 우회하는 맞춤형 공격을 구성할 수 있고, CAPTCHA 솔버와 웹 스택 에뮬레이션은 헤더 및 환경 확인을 스푸핑할 수 있으며, 스크립트 가능한 소비자 브라우저와 지문 방지 도구는 지문 식별 및 행동 분석조차 이길 수 있습니다. 이는 진정한 군비경쟁이다.

공격자는 일반적으로 4가지 벡터에 투자합니다.

  • 네트워크 트래픽 스푸핑
  • 다양한 유효한 장치 및 브라우저 에뮬레이션
  • 도난된 자격 증명, PII 및 합성 ID 사용
  • 실제 인간의 행동을 모방하고 보여주기

IP 주소 외에도 100개가 넘는 클라이언트 신호가 있습니다. 우수한 서비스는 IP 차단, 서명 및 지문 인식에 의존하기보다는 다양한 신호와 AI를 활용하여 실행 가능한 통찰력을 제공하고 사기를 나타내는 비정상적인 동작(복사 및 붙여넣기 활동, 화면 전환, 이상한 화면 공간 사용, 장치 친화성, 환경 스푸핑, 신원 익명화 시도 포함)을 감지합니다.

공급업체는 어떤 종류의 정보와 원격 측정을 수집할 수 있습니까?

10. 공급업체는 얼마나 빨리 변경을 할 수 있나요?

공격자가 현재의 대응책을 우회하기 위해 재정비할 때 공급업체는 얼마나 빨리 재정비할 것인가? 시간인가요, 아니면 일인가요? 정교한 지속적 공격자가 있고 여러 가지 대책이나 SOC와의 협의가 필요한 경우 공급업체에서 추가 비용을 청구합니까?

모든 공급업체가 궁금해하는 다른 질문들도 있습니다. 배포 모델(클라우드 옵션이 있는가?) 및 비용 모델(트래픽을 정화하거나 시간당 요금을 청구하는가?)과 같은 사항입니다. 물론 각 공급업체의 서비스 수준 계약(SLA)도 비교해야 합니다. 하지만 당신은 아마 그 질문들을 어차피 할 뻔했을 겁니다(맞죠?).

그렇습니다. F5가 최고의 애플리케이션 보안 공급업체이기 때문에 이 기사는 약간 편향되어 있을 수 있습니다. 하지만 저희를 선택한 수백 명의 고객을 생각해 보세요. 이는 그들이 물은 질문이며, 다른 봇 완화 공급업체를 선택하더라도 이 질문이 도움이 되기를 바랍니다. 공격자는 클라우드, 아키텍처, CDN, 보안 및 사기 대응팀 조직도를 기준으로 차별하지 않기 때문입니다. 앱 뒤에는 돈이 있고, 범죄자들은 바로 그곳을 공격합니다.

다음 단계

금융 기관, 소매업체, 항공사, 호텔 체인을 포함한 세계에서 가장 가치 있는 브랜드는 이미 F5 봇 완화 솔루션을 사용하여 앱, 고객 및 비즈니스를 보호하고 있습니다.

F5는 다른 공급업체보다 더 많은 봇과 자동화를 지속적으로 중단합니다. 이를 통해 사기를 줄이고 운영상의 복잡성을 줄이는 동시에 수익을 늘리고 고객 경험을 개선할 수 있습니다.

직접 확인하고 싶으시면 말씀해 주세요 .

 

이 게시물의 일부는 F5의 현재 제공 서비스를 반영하도록 업데이트된 기존 게시된 콘텐츠를 기반으로 합니다.