Inicio / Información Util / Good Bot, Bad Bot: bloquear o no bloquear. Esa es la pregunta y la respuesta

Good Bot, Bad Bot: bloquear o no bloquear. Esa es la pregunta y la respuesta

Los bots son herramientas, ni buenas ni malas. Es la forma en que se usan lo que los hace beneficiosos, benignos o maliciosos. Debido a que se han asociado tanto con este último, “bot” se ha convertido en una palabra sucia.

Los sistemas de seguridad empresariales tienden a apuntar a los bots en todos los ámbitos, incluso si su propósito previsto es útil para los usuarios o las empresas. Desafortunadamente, esto puede dañar materialmente las operaciones comerciales en nombre de la seguridad. Las empresas deben tomar sus defensas a otro nivel y encontrar una manera eficiente de discriminar entre buenos y malos bots mientras mantienen una postura de seguridad sólida.

Bad Bots en aumento

El porcentaje de tráfico de Internet compuesto por bots generalmente se acepta en alrededor del 40%, con estimaciones que van del 25% al ​​50%. Cualquiera que sea el porcentaje real, el número de “bots malos”, aquellos que llevan a cabo ataques de relleno de credenciales, roban datos, difunden contenido falso a través de comentarios no deseados o sesgan las métricas publicitarias, continúa creciendo.

Un estudio reciente de Imperva encontró que, si bien el tráfico general de bots en realidad cayó como un porcentaje del tráfico web en 2019, la mala actividad de bot aumentó en más del 18% al 24% de todo el tráfico.

En este contexto, no es sorprendente que las herramientas de seguridad apunten a los bots solo por ser bots, pero recuerde que los “bots” son simplemente procesos automatizados. Dicho de manera más literal, no son más que robots de software. Los buenos bots son herramientas útiles que realizan servicios críticos para el negocio y no deben arrojarse sumariamente con el agua del baño. Los consumidores disfrutan de los beneficios de los bots que buscan los precios más bajos para bienes o servicios, recuerdan cuando se acerca una cita programada o responden verbalmente preguntas con la voz de Siri o Alexa.

Otros robots de software de misión crítica monitorean la salud de los sitios web, agregan contenido, brindan inteligencia de mercado y, en general, liberan al personal de tecnología de la información para diferentes tareas. A medida que las compañías continúen elevando su perfil digital y empleen más automatización, necesariamente aumentará el tráfico de “buenos bots”.

Entonces, ¿cómo pueden las empresas separar lo bueno de lo malo? ¿Permitir que los buenos bots hagan su magia de conveniencia y mantener a raya a los malos bots?

Conoce al enemigo

Comienza por entender cómo funcionan los robots malos. El equipo de investigación de ThreatX analizó recientemente 90 días de tráfico HTTP (s) para varios cientos de aplicaciones web de producción, que abarcan América, Europa y Asia. El tipo más común de bots maliciosos era el tipo que buscaba una entrada rápida, usando varias formas de escaneo, inyección y ejecución remota de comandos.

Estos robots malos intentaron entre uno y cinco ataques de sondeo en aproximadamente tres segundos, y luego desaparecieron. Este comportamiento sugiere que estaban buscando objetivos vulnerables sin gastar mucho esfuerzo o gasto.

Los ataques más persistentes encontrados en este esfuerzo de investigación provienen de personas que utilizan solicitudes semiautomáticas. A menudo implicaban la reutilización de nombres de usuario y contraseñas filtrados o robados (una técnica conocida como “relleno de credenciales”). De manera similar al ejemplo anterior, la inyección automática de pares de nombre de usuario / contraseña se puede usar para probar las credenciales robadas y, en última instancia, permitir que el atacante se haga cargo de las cuentas.

Un segundo cercano en prevalencia fueron los ataques de API, dirigidos a un subconjunto estrecho de URL dentro de un sitio, con solicitudes que llegan en ráfagas a una sola URL a una velocidad de varios por segundo, seguido de una pausa, imitando el tráfico web típico.

Ambos patrones de ataque son inteligentes y refuerzan nuestra creencia fundacional de que la seguridad es un juego interminable de gato y ratón. Los WAF estáticos basados ​​en reglas simplemente no pueden mantenerse al día con este tipo de ataques. El monitoreo agregado a lo largo del tiempo y el análisis de comportamiento utilizando fuentes como credenciales comprometidas y firmas conocidas son necesarias para desenmascarar este tipo de patrones de ataque.

Si bien los ataques iniciados por humanos no han desaparecido, eran notablemente escasos en nuestra muestra y a menudo parecían imitar escáneres de vulnerabilidad, alegando que provenían de firmas legítimas de investigación de seguridad.

Control de trafico

La proliferación de los malos bots es innegable, pero debido a que una parte significativa del tráfico web legítimo es el tráfico de los bots, los equipos de seguridad deben ajustar su enfoque. Para evitar interrupciones no deseadas de sistemas comerciales críticos, ya sean automatizados o no, los equipos de seguridad deben llevar los falsos positivos (FP) a casi cero para permitir el paso del tráfico legítimo mientras se bloquean los bots maliciosos. Las mejores prácticas son las siguientes:

  • Encuentre y corrija las configuraciones erróneas, que a menudo son un gran contribuyente a los falsos positivos del firewall de aplicaciones web (WAF).
  • Emplee la limitación de velocidad para ayudar a prevenir ataques DoS y proteger los servicios API de ser atacados, ya sea por usuarios maliciosos o por bucles de reintento.
  • Desarrolle un modelo de seguridad positivo que requiera que tanto los humanos como los bots se identifiquen a través de campos de metadatos para diferenciar explícitamente entre el tráfico beneficioso y no autorizado.
  • Monitoree regularmente los efectos de las soluciones de seguridad en el tráfico legítimo, ya sea humano o bot, en busca de signos de que las prácticas de seguridad estén obstaculizando las operaciones comerciales.

A medida que la automatización se convierta en un elemento esencial para administrar un negocio exitoso, desde las pruebas de seguridad cibernética hasta la implementación automatizada de software, desde las redes sociales hasta las compras diarias, los bots se convertirán en un elemento intrínseco del entorno. Para complicar aún más la situación, las líneas entre humanos y bot se continuarán difuminando. Las aplicaciones se volverán más sofisticadas y semiautomáticas, lo que dará lugar a una actividad humana asistida por bot que se verá cada vez más como bot.

Las organizaciones deben aprovechar al máximo sus operaciones basadas en la web. Para hacer eso, necesitan un nuevo enfoque para resolver este problema único de separar los bots buenos de los malos y tratarlos adecuadamente para apuntalar las defensas web.

Vea También

Primeros pasos con Wireshark: ¿qué está pasando en tu red?

Si eres un profesional o te interesa la seguridad informática, dar los primeros pasos con …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.