Роман Иванченко, RED Security: современные боты — это угроза, от которой не спасают WAF и Anti-DDoS

Роман Иванченко: Злоумышленники стали куда хитрее. Раньше тактика хакеров в основном заключалась в том, чтобы перегружать сервисы компаний вредоносным трафиком. Хотя, такие атаки и растут в мощности, для них уже существует эффективное противодействие в виде защиты Anti-DDoS. Затем начали применяться инструменты сканирования веб-ресурсов на наличие уязвимостей для дальнейшего взлома и кражи данных. В ответ на это появились такие средства защиты веб-приложений, как WAF. В последние годы инструментарий злоумышленников значительно расширился.

Например, в процессе проведения атак на веб-ресурсы теперь хакеры сканируют их на наличие уязвимостей с помощью сканеров или ботов. Если обнаруживают отсутствие защиты от DDoS-атак, то, реализуя такую атаку, они быстро добиваются недоступности ресурса. Также, используя ботов, злоумышленники получают доступ к учетным записям пользователей, рассылают спам, реализуют фишинговые атаки, массово отправляют запросы смс-сообщений, искусственно искажают SEO-показатели сайтов.

Именно применение ботов позволяет злоумышленникам снизить стоимость атаки, поскольку ручная ее организация стоит дороже. Кроме того, атаки посредством ботов могут становиться прикрытием для более изощренных схем: пока владелец ресурса борется с смс-атакой, можно попытаться вручную взломать межсетевой экран и начать прорываться к веб-серверу, базе данных, операционной системе, получить доступ в сеть и к другим серверам ИТ-инфраструктуры.

Первые ботнеты появились еще в 2000-х и уже тогда начали использоваться в атаках не только на пользователей, но и на корпоративные ресурсы. С тех пор количество бот-сетей неуклонно и интенсивно росло. По оценкам аналитиков RED Security, в настоящее время доля вредоносного трафика ботов в общем объеме интернет-трафика составляет порядка 25-30%. Некоторые эксперты рынка кибербезопасности отмечают, что из-за атак с использованием вредоносных ботов крупная онлайн-площадка может терять по несколько миллионов рублей в месяц. И самая большая проблема для компаний состоит в том, что бот-атаки на бизнес идут уже сейчас, а эффективных мер для их предотвращения еще не так много.

Роман Иванченко: По нашему опыту, больше всего рискуют онлайн-ритейл, банки, сервисы путешествий, площадки продажи авиа и жд-билетов, каршеринги. Но атаковать могут любой веб-ресурс, особенно, если на сайте есть каталоги или формы авторизации. Добавили кнопку «купить» или «зарегистрироваться» — вы уже под угрозой.

Сами же атаки обычно ведутся в нескольких направлениях. В первую очередь, это перегрузка запросами форм регистрации, заказа, страниц входа. Боты массово запрашивают СМС с кодами подтверждений. Компания оплачивает рассылку всех сообщений, но проблема серьезнее — настоящие пользователи не получают СМС из-за высокой нагрузки на системы. Сотни клиентов не могут зайти в аккаунты, заказать такси или открыть дверь каршеринговой машины, компания теряет деньги на простое.

Второй тип атак направлен на сбор информации. Посредством ботов злоумышленники ищут уязвимости в веб-сервисах, выгружают данные и продают конкурентам взломанной компании. Так, например, конкурент онлайн-ритейлера может разжиться базой данных его клиентов, поставщиков, подрядчиков, выгрузить данные об ассортименте.

Зачастую боты используют подбор паролей к личным кабинетам на сайтах. Хакеры при помощи ботнетов пробуют авторизоваться под именами пользователей или сотрудников. Если это получается, из аккаунтов воруют конфиденциальную информацию и данные банковских карт клиентов. С помощью этой информации у клиентов компании могут в дальнейшем вывести деньги с карт посредством социальной инженерии, а вместе с тем бизнесу грозят штрафы за утечки и потеря репутации.

Наконец, атаки ботов приводят к искажению статистики. Боты создают на сайты ложную нагрузку — из-за этого менеджерам сложнее анализировать показатели бизнеса и планировать действия. Злоумышленники также могут искажать рейтинги поисковиков при помощи кликов — тогда страницы компании пропадают из выдачи.

Иногда боты вообще ничего не воруют и не перегружают, а просто сканируют инфраструктуру на уязвимости. В этом случае хакерская сеть проверяет открытые порты, формы для заполнения и интерактивные элементы сайтов и приложений. Когда информации достаточно, злоумышленники выстраивают стратегию атаки и возвращаются с целой «армией» ботов.

Роман Иванченко: Я убежден, что решения WAF и Anti-DDoS входят в перечень обязательных мер кибербезопасности. Такие сервисы могут отражать значительное число атак, но со стороны неспециализированных программ. Даже защита от DDoS уровня L7 не убережет бизнес от ботнета. С таким справляются лишь целевые антибот-решения, одно из таких — RED Security Antibot — мы на днях представили рынку.

Средства защиты от DDoS-атак оберегают веб-ресурсы от флуда и наплыва запросов на сервера компании. WAF защищает интерфейс подключения к веб-серверу или API. Но оба типа программ можно обмануть, если имитировать действия человека — так и поступают ботнеты.

Antibot-решение распознает, от кого идет запрос — от настоящего человека или робота. И если поведение нетипично для пользователя, сервис пресекает активность злоумышленников. В связке с инструментами Anti-DDoS и WAF такая система безопасности надежно защищает веб-ресурсы организаций от атак.

Роман Иванченко: Наш сервис обеспечивает анализ трафика тремя разными методами: техническим, статистическим и поведенческим. Даже если один из них не распознает бота, остальные выяснят, человек посылает запросы к веб-ресурсу или нет. Разные способы аналитики страхуют друг друга — поэтому сервис не блокирует запросы пользователей. При техническом анализе система защиты собирает данные о трафике. Отслеживается соединение, техническая информация веб-клиента и операционная система. Как правило, боты подключаются вне браузера, а при помощи установленного в ботнете софта. Когда наш антибот замечает такую аномалию, в абсолютном большинстве случаев он распознает злоумышленников. Статистический анализ построен на базе сигнатур — типовых запросов от ботов-вредителей. Аналитики пополняют базу сигнатур, в которую антибот в свою очередь вносит информацию о вычисленных им запросах вредоносных ботов. Затем RED Secuity Antibot сравнивает входящий трафик с этой базой и блокирует те запросы, которые находит в базе.

Самый продвинутый вид анализа — поведенческий, за него отвечает нейросеть. Сайт или приложение отправляет пользователю JSON-запрос, а в ответ получает данные о его системе. RED Security Antibot наблюдает за пользователем, и, если в его поведении встречаются аномалии, его запросы к веб-ресурсам блокируются. Я ни разу не встречал человека, который за долю секунды открывал бы несколько тысяч вкладок в онлайн-магазине — и антибот тоже считает это странным. Действия пользователей распознаются за пару мгновений. Если проверка все равно оставляет сомнения, RED Security Antibot передает ее на ручную проверку аналитикам. Когда подозрительные действия повторяются, доступ злоумышленников к веб-ресурсам блокируется. Такой двойной анализ исключает случайные блокировки пользователей.

Роман Иванченко: В сервисе RED Security Antibot используется не просто набор триггеров, а система, которая постоянно развивается. Мы улучшаем ее сразу двумя способами. Первый — ручной, силами аналитиков. Они в постоянном режиме улучшают работу топ-50 правил защиты, дополняют их и корректируют при необходимости. Им в руки попадают все данные о подозрительных срабатываниях: аналитики их изучают, а затем закрепляют или отклоняют.

Второй — при помощи искусственного интеллекта. Технологии в составе нашего сервиса ловко обучаются: хакеры постоянно что-то изобретают, а RED Security Antibot распознает подозрительную активность и пополняет свою базу. Это важный момент: многие аналогичные системы просто сверяют трафик со своим архивом данных, который пополняется раз в пару дней. У нас же все распознает ИИ — ему не нужно ждать обновлений базы. Кстати, искусственный интеллект — та причина, по которой мы рекомендуем сервисное решение вместо on-prem. В этом случае нейросеть антибот-сервиса будет обучаться на данных всех подключенных клиентов, а не только одной компании. Мы даже разработали компромиссное решение для тех, кто категорически не хочет передавать данные через интернет — таких клиентов подключаем через оптическое волокно напрямую.

Роман Иванченко: Да, такие системы защиты есть и на Западе — это общемировой тренд. Хакеры в самых разных уголках мира настраивают ботнеты и подключают искусственный интеллект к своему ПО. В ответ компании в области кибербезопасности разрабатывают антибот-решения с разной степенью успешности. Они задействуют похожие технологии — тоже подключают машинное обучение для того, чтобы развивать свои решения. Но в России сейчас ими не воспользоваться.

Роман Иванченко: Самое точное предсказание, которое можно сделать — «завтра будет не легче, чем сегодня». Хакеры будут бесконечно изобретать новые способы атак, а ИБ-компании — способы противодействия. Мне кажется, это никогда не закончится, но к счастью, добро в этой сфере часто побеждает. Общемировой тренд показывает, что мы вступили в битву нейросетей. Злоумышленники с их помощью обучают ботов, чтобы покушаться на бизнес. Поставщики сервисов защиты используют ИИ, чтобы вовремя выявлять и устранять такие угрозы. Я думаю, за счет ИИ сервисы защиты будут эволюционировать куда динамичнее. Кибербезопасность в России будет активно развиваться. В последние несколько лет российские компании чаще атакуются зарубежными хакерами. Локальные разработчики адаптировались и сделали много собственных продуктов — я думаю, этот тренд продолжится и в будущем. У сервиса RED Security Antibot хорошие перспективы. У него большой потенциал в развитии, поэтому защита станет быстрее, точнее и интеллектуальнее.