إن تجربة استيقاظك على جهاز الإنذار في الساعة الثالثة صباحًا هي تجربة يفهمها الأخوة في مجال الأمن. لوحة العدادات التي انبثقت فجأة في منحنى حركة المرور، مثل رجفان بطيني في تخطيط القلب - إما أن ينفجر المستخدم، أو أن المخترق قادم. في المرة الأخيرة التي أدت فيها إحدى المنصات الاجتماعية بسبب منشورات فرشاة خبيثة إلى سيل من حوادث قواعد البيانات، رافقت فريقها للبقاء مستيقظًا ثلاث ليالٍ لاستعادة البيانات. هذا الشيء يجعلني أفهم تمامًا: جدار الحماية التقليدي أمام هجمات طبقة التطبيقات، هو ببساطة جدار ورقي.
لقد تخطت حركة المرور الخبيثة في الوقت الحاضر حدود هجمات حجب الخدمة الموزعة البسيطة والفجة. هؤلاء الأشخاص متطورون للغاية، حيث يستخدمون تجمعات البروكسي لتدوير عناوين بروتوكول الإنترنت، ومحاكاة إيقاع الأشخاص الحقيقيين الذين ينزلقون على الشاشة، وحتى محاكاة فاصل نقر المستخدم العادي. في العام الماضي قبضنا على عصابة زاحفين، رأس طلباتهم حتى بصمات المتصفح ودقة الشاشة مزورة تمامًا مثل الأشخاص الحقيقيين. هل تعتمد فقط على تقييد تردد بروتوكول الإنترنت؟ لا تكن ساذجًا، فهم يستخدمون عشرات الآلاف من ترددات IP الديناميكية، هل يمكنك حظر أكثر من؟
لقد رأيت الكثير من الشركات تكدس جدران حماية الأجهزة بشكل أعمى. تشتري جهازاً بمليون دولار وتضعه في غرفة الخوادم، ظناً منها أنها تستطيع أن ترتاح. ونتيجة لذلك، يتحول المخترقون إلى هجمات موزعة منخفضة السرعة، حيث يطلب كل عنوان IP مرتين أو ثلاث مرات في الدقيقة، متجاوزين تماماً قاعدة العتبة. الأمر السيئ حقًا هو أن هذه الطلبات تختلط مع حركة المرور العادية، وتستنزف موارد الخادم ببطء مثل السرطان. وبحلول الوقت الذي تجد فيه حالة شاذة في السجلات، يكون تجمع اتصالات قاعدة البيانات ممتلئاً بالفعل.
التعرف السلوكي هو المفتاح لكسر الجليد. هناك فرق جوهري بين أنماط تشغيل المستخدم الحقيقي والروبوت: فالأشخاص الحقيقيون يتصفحون بتوقف عشوائي، ومسارات الفأرة ذات الأقواس، وسرعات التمرير مع اختلافات سريعة وبطيئة. أما سلوك الروبوتات فهو أشبه بخط مستقيم مرسوم بمسطرة - مثالي للغاية ولكنه مكشوف. في العام الماضي، أعطيت منصة مواعدة للقيام بالحماية، من خلال تحليل منحنى تسارع حركة الفأرة، واكتشفت أكثر من 3000 عملية حقيقية مزيفة لحساب التسجيل الجماعي.
يتم تنفيذ نظام البصمات السلوكية هذا على عقد حافة CDN. لا تنتظر أبدًا حتى تعود حركة المرور إلى الخادم لتتم معالجتها، وبحلول ذلك الوقت ستكون تكاليف النطاق الترددي قد انفجرت. يجب أن تكون شبكة CDN الجيدة مثل مفتش أمني متمرس، قادر على التنبؤ بالمخاطر من خلال الخصائص السلوكية عند المدخل. لقد اختبرت وحدة الحماية الذكية لشبكة CDN5 ووجدت أنها يمكن أن تستغرق أقل من 5 أجزاء من الثانية لإكمال تحليل سلوك طلب واحد، ويتم التحكم في معدل الإنذار الكاذب عند 0.011 تيرابايت أو أقل.
لنلقِ نظرة على مثال تكوين فعلي. يقوم تكوين محرك القاعدة التالي بحساب جدارة الطلب بالثقة من 12 بُعدًا في وقت واحد:
التحليل السلوكي لا يكفي، بل يجب أن يقترن بالتحكم الذكي في بروتوكول الإنترنت. ولكن لا تحجب شريحة IP بأكملها بحماقة! في العام الماضي، قامت إحدى شركات التجارة الإلكترونية عن طريق الخطأ بحظر عنوان الفئة "ب" بالكامل لإحدى الجامعات، مما أدى إلى حظر جميع المستخدمين المستهدفين لحملة ترويجية. الممارسة الناضجة الآن هي نظام نقاط ائتمان IP، والذي يشبه بناء ملف تعريف صحي لكل عنوان IP.
لقد أعجبت بنظام رصيد عناوين IP الخاص بـ CDN07. فهي تسجل عناوين IP على أبعاد مثل السجلات السلوكية التاريخية، وسمعة ASN، وشذوذ الموقع الجغرافي، وحتى اكتشاف ما إذا كانت تعمل في بيئة افتراضية. لقد رأيت حالة أطلق فيها أحد عناوين IP تنبيهًا عالي الخطورة عند أول طلب، وعند التحقق منه تبين أنه مثيل EC2 تم طلبه للتو من Amazon AWS - كيف يمكن لمستخدم عادي استخدام مضيف سحابي لتمرير موقع تواصل اجتماعي؟
من الناحية العملية، من الأفضل استخدام آلية التحدي بدلاً من الحظر المباشر. على سبيل المثال، لن يؤثر إرجاع رمز الحالة 418 (أنا إبريق شاي) لطلب مشبوه على المستخدمين العاديين، ولكنه سيجبر الروبوت على إظهار ألوانه الحقيقية. رمز الحالة هذا موجود بالفعل في معيار RFC، ويستخدم خصيصًا لإثارة برنامج الهجوم الآلي. لقد نشرت هذا المنطق في نظام حماية 08Host الخاص بي:
لا تفرط في استخدام وسيلة حماية واحدة. العبرة من حادثة العام الماضي التي تم فيها تجاوز منصة فيديو في العام الماضي: استخدم المخترقون نواة المتصفح الحقيقية + البرامج النصية الآلية لمحاكاة السلوك البشري بشكل مثالي. في النهاية، لم يتم إيقافه إلا من خلال طبقات متعددة من التحقق من الصحة - أولاً التحقق من اتساق بصمة WebGL، ثم التحقق من الانحرافات في انجراف الساعة، وأخيراً استخدام التحقق من صحة مسار الماوس غير المتداخل. مع إزالة هذه العقبات الثلاث، تكون تكلفة محاكاة المتصفح أكثر تكلفة من توظيف شخص حقيقي للنقر عليه.
مقارنات البيانات هي الأكثر دلالة. فيما يلي التغييرات الرئيسية التي طرأت على البيانات منذ انتقالنا إلى بنية حماية متعددة الطبقات في العام الماضي:
ارتفع معدل حظر الطلبات الخبيثة من 671 TP3T إلى 99.21 TP3T، وانخفضت الطلبات الإيجابية الكاذبة من 3.11 TP3T إلى 0.051 TP3T، وانخفضت تكاليف النطاق الترددي بمقدار 411 TP3T (حيث تم إسقاط حركة المرور الخبيثة عند الحافة مباشرة). أكثر ما يلفت الانتباه هو رسائل التنبيه في مجموعة العمليات، حيث انخفضت من المئات في اليوم إلى أرقام أحادية في الأسبوع. الآن يمكن للمهندسين تحت الطلب أن يناموا أخيرًا ليلة كاملة.
يسألني بعض عملائي دائمًا ما إذا كان يجب أن أبني نظام الحماية الخاص بي. ما لم يكن لديك فريق حماية محترف وعُقد عالمية، لا ترميها. لقد رأيت شركات ناشئة تشارك في قاعدة قواعدها الخاصة، وبسبب الصيانة غير المناسبة، لم يتم تحديث القواعد لمدة نصف عام، وتم إزالتها بسبب موجة من أنواع الهجمات الجديدة. إن شبكات استخبارات التهديدات الخاصة بمزوّدي شبكات CDN المحترفين هي شبكات متعددة المنصات، مثل CDN5، التي تتعامل مع تريليونات الطلبات كل يوم، وترى أنماط هجمات أكثر شمولاً من أي شركة منفردة.
أخيرًا، أود أن أشارككم درسًا مستفادًا من الدم والدموع: يجب أن نقوم باختبار النطاق الرمادي قبل الدخول على الإنترنت! في إحدى المرات قمنا بتشغيل القدر الكامل من قواعد الحماية دون اختبار، ونتيجة لذلك، وبسبب طريقة خاصة لتحميل ملف CSS، تم الحكم عليه بشكل خاطئ على أنه طلب خبيث، مما أدى إلى تحريف نمط الموقع بالكامل. الآن أفضل ممارساتنا هي: أولاً مع تشغيل تجربة حركة المرور 10% لمدة 24 ساعة، وتحليل سجلات الإنذارات الكاذبة لضبط القواعد، ثم استخدام 48 ساعة لتضخيم نسبة حركة المرور تدريجياً.
الأمن هو في الأساس لعبة هجوم ودفاع. القواعد التي تعمل اليوم قد يتم تجاوزها غدًا. لذا لا تضع قاعدة وتتركها وشأنها. أقرأ تقرير معلومات التهديدات الأسبوعي كل أسبوع وأقوم بمراجعة شهرية لقواعد الحماية. في هذه الأيام، حتى شبكات CDN يجب أن “تمنع زملاء العمل” - في بعض الأحيان تطلق إدارات الأعمال فجأة أنشطة ترويجية، كما يمكن أن تؤدي التغييرات المفاجئة في أنماط حركة المرور إلى تفعيل قواعد الحماية.
يجب أن تكون شبكة CDN الحقيقية عالية الدفاع مثل حارس شخصي متمرس: يمكنه تحديد العملاء المهمين (المستخدمين العاديين) بدقة، ورؤية القتلة المختلطين في الحشد (الطلبات الخبيثة)، ولكن أيضًا لضبط استراتيجية الفحص الأمني بمرونة (قواعد ديناميكية). تذكّر أن جميع الوسائل التقنية لخدمة الأعمال التجارية، لا تسعى وراء الأمان المطلق لجعل تجربة المستخدم مثل أمن المطار - اخلع حذاءك وفك حزامك واسحب جهاز الكمبيوتر الخاص بك، فسينفد المستخدمون العاديون عاجلاً أم آجلاً.
(بناءً على طلب العملاء، CDN5، CDN07، 08Host هي لأغراض العرض التوضيحي الفني، يرجى تحديد مزود الخدمة المناسب وفقًا للنشر الفعلي لاحتياجات العمل)
