Combatiendo Bots: Detecta y mitiga ataques distribuidos

Combatiendo Bots: Detecta y mitiga ataques distribuidos

  • miércoles 22 noviembre, 2023

 

El panorama de los ataques de bots experimenta un gran aumento tanto en magnitud, complejidad y sofisticación. Pero una de las tendencias más comunes que vemos es un aumento en «ataques de bots distribuidos a gran escala».  Estos bots están dirigidos a apps de comercio electrónico, servicios financieros, reservas de viajes, etc.

El objetivo es apropiación de cuentas, denegación de inventario, scraping y otros ataques donde se implementan los bots malos. 

¿Qué son los ataques de bots distribuidos?

Cuando decimos ataques de bots distribuidos, nos referimos a bots malos rotando a una escala rápida para pasar desapercibidos. Los ataques de bots distribuidos se podrían clasificar en dos tipos principales:

1) IP Fija, donde bots rotan identidad simulando comportamiento humano.
2) IP giratoria.

La razón por la que los ataques de bots distribuidos son más frecuentes es por que los atacantes ahora pueden confiar en servicios que ofrecen acceso fácil y barato a muchas direcciones IP. En resumen estos atacantes implementan botnet avanzados y automatizados para ejecutar estos ataques y poder evadir la detección tanto como puedan.

A continuación profundicemos a detalle en los 2 tipos de ataques principales:

IP Fijas con rotación

IP fijas con rotación es mucho más fácil de automatizar y los atacantes pueden generar dichos ataques a través de algunos scripts de automatización. 

Con acceso a múltiples servicios de raspado, los atacantes rotan la identidad y simulan un comportamiento humano. Esto da como resultado falsificación de diferentes agentes de usuario, parámetros de encabezado, huellas digitales del dispositivo, etc. Aunque esto también es difícil de detectar, ya que la IP permanece fija y otras identidades se rotan. En resumen Radware Bot Manager podrá detectar dichos rotadores con precisión.

IP giratoria

El segundo caso de propiedad intelectual rotatoria es mucho más desafiante. Los atacantes tienen acceso a multitud de IP diferentes y a servidores proxy residenciales. Normalmente la cantidad de visitas provenientes de cada IP puede no considerarse anómala. Cuando el tráfico proviene de la franja de IP, el ataque se vuelve más grande, debilitando las aplicaciones del cliente. 

Al rotar constantemente las direcciones IP, los atacantes pueden evadir las medidas de limitación de velocidad basadas en IP. Además, la solución tradicional de protección contra bots no pueda mitigar dichos ataques, porque la reputación de estas IP también podría terminar mostrándose tan buena como la que proviene de los servidores proxy residenciales.

¿Cómo mitiga Radware Bot Manager estos ataques de bots distribuidos?

Una sola técnica para bloquear los ataques no será suficiente, se necesita un enfoque holístico para detectarlos y mitigarlos. 

Aquí es donde Bot Manager se ocupa de esto de varias maneras diferentes. Algunas de las técnicas clave seguidas se enumeran a continuación:

Análisis basado en el comportamiento

Sin basarse únicamente en la reputación de la IP, Bot Manager analiza los patrones de comportamiento del usuario, cookies enviadas, movimiento del mouse y datos de patrones de clic, etc,. Esto para identificar comportamientos anómalos.

Detección de anomalías basada en aprendizaje automático

Implica observar múltiples características diferentes, crear un vector de características, alimentar un algoritmo de aprendizaje automático para marcar anomalías automáticamente. Esto es una capacidad de detección única y sólida disponible en Bot Manager.

Protección contra la suplantación de identidad

La forma en que los bots intentan eludir la solución de detección de bots es rotar la identidad y camuflarse. Como resultado la clave aquí es evitar dicha suplantación de identidad, y que mejor con Bot Manager. Esta solución es a prueba de manipulaciones y no puede falsificarse. 

Cualquier intento de hacerlo es fácilmente identificado por el motor de detección de bots y solo la fuente (con la identidad apropiada) puede bloquearse. Esto ayuda a que el motor de detección de bots sea extremadamente preciso y no tenga que depender de firmas basadas en IP para mitigar los ataques de bots.

Identificar anomalías de tráfico automáticamente

Uno de los diferenciadores clave desde el punto de vista de Bot Manager es detectar anomalías de tráfico en todo el sitio o en URL específicas de forma automática.

La forma en que se hace esto es que la solución aprende automáticamente la línea de base para el tráfico normal durante un intervalo de tiempo específico y, en el momento en que hay una anomalía significativa en comparación con la línea de base calculada automáticamente, el módulo puede generar una alerta. 

En el caso de un ataque altamente distribuido desde muchas IP, el algoritmo de referencia descubrirá que existe una anomalía significativa en comparación con la línea de base tanto en la cantidad de IP únicas vistas como en el tráfico general que llega al sitio, lo que indica un ataque distribuido.

El resultado de esto es generar automáticamente el patrón de firma correcto que aísle el comportamiento del bot por sí solo y se produce una creación automática de firma para mitigar dichos ataques.

¿Qué sigue?

Con la experiencia que tiene Bot Manager de Radware en la protección contra múltiples amenazas automatizadas , el producto puede mitigar eficazmente los ataques de bots distribuidos a través de su enfoque integral y de múltiples capas. Pero a medida que la escala, la complejidad y la sofisticación de estos ataques de bots distribuidos continúan creciendo, el producto continúa evolucionando y presentando formas más nuevas y únicas de identificar a los rotadores.

¿Te interesa conoce más sobre Bot Manager? Con gusto podemos ayudarte. Ponte en contacto con nosotros y en breve un especialista se pondrá en contacto contigo.

Contáctanos
ventas@advance-nt.com
Tel. 5556730701
WhatsApp: 5578679504