Cómo detectar bots: lo que necesitas saber


El CTO de Akamai analiza por qué el aprendizaje automático y la nube son importantes cuando se trata de violaciones de seguridad, ataques relacionados con IoT y relleno de credenciales.

Dan Patterson, productor senior de CBS News y CNET, entrevistó a Patrick Sullivan, CTO de Akamai, Estrategia de seguridad, sobre cómo detectar y protegerse contra los bots. La siguiente es una transcripción editada de la entrevista.

Dan Patterson: Esto parece un juego fascinante de gato y ratón. ¿Cuáles son algunas de las tácticas de evasión que implementan los creadores de bots o al menos los usuarios de bots? Y si soy una empresa, una empresa B2B o incluso una campaña política, ¿cuáles son algunos de los métodos de detección que podría utilizar?

Patrick Sullivan: Al atrapar a los bots realmente poco sofisticados, alguien que no tiene una gran habilidad, a menudo hay algunos avisos bastante fáciles allí. Es posible que vea una pequeña cantidad de IP que generan una gran cantidad de solicitudes, bastante fácil de detectar. Puedes aplastarlos con bastante facilidad. Creo que durante muchos años CAPTCHA ha sido una opción para los defensores.

En este punto, creo que esta es un área donde el aprendizaje automático en el lado adversario, las computadoras son mejores para resolver CAPTCHA en estos días que los seres humanos. Puedes, con un conjunto de entrenamiento bastante pequeño, entrenar una máquina para poder resolver un enigma CAPTCHA, y se volverán más expertos en eso que un ser humano. Entonces, esa es una defensa que presenta un alto nivel de fricción para un usuario closing y no es terriblemente efectiva contra un adversario.

VER: Conciencia de seguridad y política de capacitación (TechRepublic Quality)

Hemos pasado a ver cosas como, si alguien dice que están en una MacBook con un navegador Chrome, y realmente interrogamos y damos huellas dactilares a ese dispositivo, ¿pueden ejecutar cosas como JavaScript? ¿Pueden hacer cosas que un dispositivo typical podría hacer si afirma ser quien es? Y puedes encontrar cosas allí, pero los bots tienden a limpiar eso también. Incluso hemos visto las firmas TLS.

A medida que las personas encriptan la comunicación, hay una negociación bidireccional entre el cliente y el servidor, que los cifrados aceptarán en ambas direcciones. Hemos descubierto que puede obtener alguna señal de si algo es un bot o un humano. Luego, tan pronto como comenzó a ejercer esa señal, vimos una explosión masiva en la aleatorización de las suites más seguras que usaban las personas.

Así que en estos días, el área más efectiva es realmente el aprendizaje automático. Averiguar, según la telemetría, los movimientos del mouse, la orientación de un teléfono, eso es más difícil. Se necesita mucho más trabajo para que un adversario cree una experiencia sintética equivalent a la humana en términos de entrada / salida del usuario en comparación con un bot. Así que ese es el estado del arte real.

Dan Patterson: Hablando del estado del arte, ¿qué pasa con la nube? Parece que si voy a comprar un package de bot y desplegarlo, probablemente necesito una plataforma para implementarlo. Tal vez podría construir mi propia estructura de servidor, pero probablemente sea mucho más fácil usar la nube.

Patrick Sullivan: Absolutamente. Vemos toneladas de solicitudes provenientes de la nube que son bots, y eso es cierto para los bots buenos y los bots malos. Si piensa en muchas de las empresas que prestan un servicio a un operador de sitios internet, están construyendo sus bots, su automatización en la nube. Por lo tanto, el hecho de que la solicitud provenga de la nube no significa necesariamente que sea maliciosa, pero aumenta sus sospechas.

En realidad, lo que encontramos es parte de estos bots, y probablemente lo viste en tu exploración, te dan la capacidad de conectar una red de servidores proxy. Realmente, lo que sucede allí es que, en lugar de enviar las solicitudes desde los bots que opera, puede alquilar tiempo en un ejército masivo de servidores proxy y luego la solicitud en realidad vendrá de esos servidores proxy. Entonces, cuando profundizamos en eso y descubrimos de dónde provienen estos servidores proxy, esos tienden a ser dispositivos de IoT domésticos que tienen una seguridad muy pobre que han sido comprometidos por millones.

La gente los monetiza alquilando tiempo en esos dispositivos y eso es realmente útil para el atacante porque pueden reducir la tasa de solicitud de un solo dispositivo. Vienen de una geografía que es donde quieran estar, pueden alquilar servidores proxy que se encuentran en la geografía doméstica de los usuarios, los usuarios nativos de ese sitio world-wide-web, por lo que es una evasión muy efectiva que se ve utilizada. Casi todas las herramientas que estoy seguro de que viste tenían cierta capacidad para conectar una lista de servidores proxy.

Dan Patterson: Hablar contigo es como hablar con el pasado y conectarlo con el futuro. Hace solo unos años, teníamos conversaciones sobre cómo IoT doméstico y IoT de consumo podrían ser secuestrados para los tipos de ataques automatizados que usan la nube, y ahora me está diciendo que sus datos muestran que esta realidad se ha materializado. Creo que dijiste que el phishing estuvo involucrado en algunos de estos ataques, ¿es correcto?

Patrick Sullivan: Ellos pueden ser. Entonces, cuando observa las infracciones, si observa el corpus de datos de las infracciones ocurridas en 2018 y luego cuál fue la causa raíz, la causa número uno de las infracciones fueron las credenciales comprometidas. Hay un número de formas en que podría ocurrir en un ataque dirigido, tal vez alguien podría suplantarte la identidad, hacer que vayas a un sitio web que parece un facsímil de tu experiencia de inicio de sesión para tu correo electrónico. Pones tus credenciales, alguien las toma y ahora tienen tus credenciales, se hacen cargo de tu correo electrónico comercial y luego se van. Ese es el caso objetivo.

El caso más común que vemos, particularmente en el espacio del consumidor, es lo que llamamos relleno de credenciales. Así como puede comprar una herramienta para operar una botnet, puede comprar una lista de servidores proxy, puede comprar una lista de credenciales previamente comprometidas, contraseñas de nombre de usuario. Lo que harán estos operadores de bot es intentar reutilizar esas credenciales en masa en toda la World-wide-web en diferentes sitios.

Y allí, vimos en los últimos menos de un año y medio, aproximadamente 55 mil millones de esos intentos, personas que intentaban reutilizar esas credenciales para comprometer una cuenta. Por lo basic, hay un ecosistema, por lo que una vez que hayan comprometido la cuenta, se la entregarán a otra persona del ecosistema para que cometa el fraude y el fraude será diferente en las finanzas que en el comercio minorista de lo que es en medios de comunicación que en los juegos, pero hay un camino bastante claro hacia los dólares para el atacante en cada uno de esos casos.

Ver también

20200423-sullivan2-dan.jpg "src =" https://tr4.cbsistatic.com/hub/i/r/2020/05/08/470575e2-1978-47e4-ab62-8ca27b97e1cf/resize/770x/4d5875393c95610397eaa30a3a992d43/20200423 -sullivan2-dan.jpg

CTO de Akamai Patrick Sullivan

Imagen: TechRepublic



Enlace a la noticia unique