In collaborazione con Barracuda Networks, vi proponiamo un percorso in tre puntate all’interno della cybersecurity: un vero ABC della sicurezza operativa
B come bot protection
Negli ultimi anni, il traffico di bot automatizzati è cresciuto rapidamente. Un tempo erano usati prevalentemente dai motori di ricerca, mentre oggi hanno diversi impieghi, buoni e no. I bot buoni sono essenzialmente i crawler dei motori di ricerca, i bot dei social network, i crawler aggregatori, i bot di monitoraggio, ecc. Questi obbediscono alle regole definite dal proprietario del sito nel file robots.txt, pubblicano i metodi per validarli in quanto dicono cosa sono e lavorano in modo da evitare di sovraccaricare i siti e le applicazioni che visitano.
I bot cattivi sono costruiti per eseguire varie attività malevole. Si va dai semplici ‘scraper’ che cercano di rubare qualche dato a un’applicazione (e che vengono agevolmente bloccati) fino ad avanzati bot persistenti che si comportano quasi come un essere umano e cercano di aggirare il più possibile gli strumenti usati per riconoscerli. Questi bot tentano attacchi come il web e price scrapping, inventory hoarding, account takeover, distributed denial of service (DDoS) e altri ancora. I bot cattivi costituiscono una parte significativa del traffico sui siti web e riuscire a individuarli e bloccarli è estremamente importante.
In base a misurazioni effettuate da Barracuda nei primi sei mesi del 2021, il traffico automatizzato rappresenta quasi i due terzi del traffico Internet: circa il 25% di questo traffico è generato da bot buoni come i crawler dei motori di ricerca, i bot dei social network e i bot di monitoraggio.
Oggi i bot sono altamente sofisticati e possono essere quasi umani nel loro comportamento per aggirare la maggior parte delle difese. Le difese standard adottate per bloccarli, soprattutto Google reCAPTCHA, non sono assolutamente un problema per loro. Infatti, i CAPTCHA basati su immagini sono più semplici da risolvere per i bot che per gli umani. Esiste un intero ecosistema costruito intorno ai bot: dagli individui che costruiscono questi bot intelligenti ai servizi che offrono account Google con ‘alta reputazione’ per bypassare i CAPTCHA, fino ai servizi che offrono indirizzi IP residenziali (Resis) per bypassare i blocchi basati sulla reputazione dell’indirizzo IP e ai servizi di ‘garanzia’ che impediscono agli acquirenti dei bot di essere raggirati. Dato il numero crescente di persone che si dedicano ai bot per fare denaro facile – come ad esempio il bagarinaggio sulla Playstation 5 nel dicembre 2020 – i bot sono diventati un fenomeno mainstream e un grosso problema.
Cosa dicono i professionisti della sicurezza
Gli attacchi bot sono cresciuti notevolmente negli ultimi anni e ciò ha portato ad alcuni compromessi. Due anni fa, la minaccia più significativa veicolata dai bot erano gli attacchi di account takeover o di furto di credenziali e degli attacchi si parlava molto, come pure erano frequenti le rivelazioni di furti di credenziali da siti come Linkedin.
Secondo la recente indagine effettuata da Barracuda sui professionisti della sicurezza applicativa, gli attacchi basati sui bot sono stati negli ultimi 12 mesi i più probabili contributori alle violazioni della sicurezza risultanti da vulnerabilità delle applicazioni.
L’ampio ventaglio di attacchi bot che hanno come target le applicazioni rende decisamente complicato bloccarli.
Con una tale varietà di vettori di attacco, non deve sorprendere che molte organizzazioni stiano lottando per difendere le proprie applicazioni dai bot. Mentre lo spam generato dai bot è poco più di una seccatura, questi sono spesso usati come un fumogeno per nascondere qualcosa di più pericoloso e per questo la questione non può essere ignorata. In funzione della sua frequenza, il bot spam può diventare qualcosa da cui è difficile difendersi e che può evolvere facilmente da fastidio a serio problema operativo.
Tutti questi bot in combinazione tra loro aumentano la possibilità di avere successo. Attacchi bot multivettore a bassa intensità sono al centro del problema e molto probabilmente hanno contribuito alla maggior parte delle violazioni negli ultimi anni.
Secondo gli intervistati appartenenti al settore dei servizi finanziari, tre tipi di attacco hanno costituito la sfida più grande da cui difendersi: DDoS, bot che fingevano di essere un particolare software e bot che fingevano di essere un particolare browser. Questo tipo di spoofing è diventato un problema reale per le applicazioni finanziarie e spesso gli hacker usano versioni craccate per eseguire azioni malevole nei confronti di queste organizzazioni. DDoS significa perdite finanziarie significative, anche per il solo fatto che questi sistemi diventano indisponibili. Il fatto che le frodi finanziarie siano al secondo posto nella lista è piuttosto interessante perché ci si aspetterebbe fosse la minaccia prevalente. Questo significa che l’accesso via app o browser è ormai massivo e continua a crescere.
In generale, i bot che fingono di essere particolari software e browser sono fra i primi cinque pericoli per la maggior parte dei settori. L’altra risposta interessante è che il settore immobiliare e delle costruzioni e il settore pubblico sono molto preoccupati per lo spam. Ciò suggerisce che i siti immobiliari potrebbero vedere molto spam in circolazione.
Settore pubblico, retail, aziende e servizi professionali sono i più preoccupati per i bot ‘low and slow’. Le organizzazioni del settore pubblico spesso hanno molti download di file, che non sono ‘blindati’ e diventano obiettivi regolari per gli hacker che tentano attacchi DDoS. Anche il retail ha molto da perdere dai bot low and slow che tentano vari tipi di attacchi come account takeover, price scraping, scalping, ecc.
La capacità di prevenire, individuare e identificare i bot sarà una funzionalità critica per i vendor che aiutano le organizzazioni a difendersi dagli attacchi basati su bot.
Le organizzazioni, che debbano fare i conti con gli spam bot, i bot fraudolenti o i bot che si fingono software e browser, richiedono urgentemente miglioramenti quando si tratta di difendersi da questi vettori di attacco. Dopo tutto, nell’ultimo anno i bot sono stati il contributore più prolifico alle violazioni delle applicazioni. Secondo gli intervistati, ci sono aree precise che appaiono tra le più desiderabili quando si sceglie una soluzione di sicurezza per tagliare fuori i bot: prevenzione delle frodi, individuazione dello spam e identificazione dei bot.
Queste funzioni saranno critiche per la difesa dalla maggior parte degli attacchi, ma ogni vendor che possa offrire queste caratteristiche all’interno di un’unica soluzione potrà migliorare incredibilmente le capacità attuali di sicurezza dai bot di moltissime organizzazioni.
