Recientemente, un amigo se quejó a mí que después de su negocio en la CDN de alta defensa, el efecto de protección de la seguridad es para arriba, pero la tasa de falsos bloqueos también es ridículamente alta, no se mueve al usuario normal para detener fuera. Me reí después de escuchar este problema que me encontré hace tres años, cuando el cliente fue casi regañado a dudar de la vida.
Para ser honesto, muchos proveedores de servicios CDN de alta defensa en el mercado ahora, simplemente no toman la “tasa de bloqueos falsos” como los indicadores básicos para hacer frente. Ellos están más dispuestos a presumir de lo fuerte que su capacidad de protección, el número de nodos, la capacidad de limpieza, pero el uso real, la probabilidad de una solicitud normal para ser interceptado que la probabilidad de ser atacado es mayor. Esto es como si usted instaló una puerta de seguridad, el resultado es que su propia familia se queda fuera todos los días.
He probado una serie de servicios, incluyendo CDN5, CDN07 y 08Host, y encontró que detrás de la alta tasa de bloqueo es en realidad el resultado de una serie de problemas. Por ejemplo, la base de reglas es anticuado, el modelo de análisis de comportamiento es áspera, e incluso algunos proveedores de servicios con el fin de ahorrar problemas directamente a través del tablero - un cierto segmento IP es un poco de tráfico anormal, todo el segmento está bloqueado para usted. Este tipo de práctica áspera, en la era actual de funcionamiento afinado, es simplemente una broma.
Una regla de reconocimiento inteligente realmente buena debe ser como un viejo cazador cazando, que puede apuntar al objetivo con precisión pero no herirá por error a la vegetación circundante. Debe ser capaz de distinguir entre “ataques maliciosos” y “picos normales de actividad”, identificar “comportamientos de rastreo” y “operaciones repentinas de usuarios humanos”, e incluso adaptarse a las características del tráfico de diferentes industrias y escenarios. "Incluso tiene que ser capaz de adaptarse a las características del tráfico de diferentes industrias y escenarios.
En primer lugar, me gustaría decir que el malentendido más común: muchos equipos vienen con una pila loca de las normas, el odio todas las reglas WAF, lista negra de IP, la estrategia de protección CC abierta, el resultado es que la solicitud normal también es golpeado con un moretón. He visto una estación de comercio electrónico, debido a que la protección CC es demasiado estricta, un tercio de la solicitud de pedido durante la promoción fue juzgado erróneamente como un ataque, grandes pérdidas.
De hecho, la clave para reducir la tasa de falsos bloqueos no reside en el número de reglas, sino en la calidad e inteligencia de las mismas. Por ejemplo, CDN5 ha realizado un trabajo más detallado en este ámbito. En lugar de basarse únicamente en umbrales de frecuencia para emitir juicios, combinan información multidimensional como huellas JA3, tamaños de ventana TCP y características de temporización del tráfico para realizar un modelado del comportamiento. De este modo, aunque una IP tenga un gran número de solicitudes en un corto periodo de tiempo, no se bloqueará fácilmente siempre que otras características sean normales.
Otra cosa que vale la pena mencionar es el “Modo de Aprendizaje” de 08Host. Permiten a los clientes abrir un período de observación, para que el sistema pueda aprender el patrón de tráfico normal, y luego habilitar gradualmente las reglas de protección. Esta característica es especialmente adecuada para proyectos con patrones de tráfico comerciales especiales, como servidores de juegos, servicios de interfaz API, etc. Varios de mis propios proyectos han utilizado este enfoque para suprimir la tasa de falsos positivos por debajo de 0,5%.
Por supuesto, no basta con confiar en las reglas por defecto que le proporciona su proveedor de servicios. Tienes que hacer ajustes personalizados en función de las características de tu negocio. Por ejemplo, si haces negocios internacionales, entonces tienes que prestar especial atención para evitar bloquear IPs extranjeras por error; si tus usuarios se centran principalmente en el móvil, entonces tienes que centrarte en la fluctuación del pool de IPs del operador.
Suelo recomendar al equipo que despliegue un sistema de análisis de registros de tráfico en segundo plano para registrar todas las solicitudes bloqueadas y realizar análisis de rastreo con regularidad. Muy a menudo descubrirás que ciertos bloqueos falsos son en realidad regulares: por ejemplo, los usuarios de una determinada región siempre activan las reglas, o una determinada interfaz API es fácil que se considere anómala debido a su diseño especial.
Por ejemplo, tenemos un cliente APP antes, cada actualización se centrará en la explosión de un lote de solicitudes, las reglas de protección tradicionales basadas en la frecuencia son fáciles de vencer a esta ola de tráfico en un ataque. Más tarde configuramos las siguientes reglas en CDN07:
Esta simple combinación de reglas resuelve nuestro problema de bloqueo erróneo de 90%. Tenga en cuenta que aquí no utilizamos el límite de frecuencia directamente, sino que lo combinamos con la puntuación de amenaza y las características de agente de usuario para emitir un juicio, lo que no solo garantiza la seguridad, sino que también evita los falsos asesinatos.
Profundizando, el núcleo del reconocimiento inteligente de reglas es el “ajuste dinámico”. Un buen sistema de protección debe ser capaz de aprender patrones de tráfico en tiempo real y relajar o endurecer automáticamente las reglas. Por ejemplo, los algoritmos de CDN5 pueden ajustar automáticamente los umbrales durante los periodos de mayor actividad, en lugar de ceñirse a un valor fijo.
También hay algunos escenarios que requieren un cuidado especial, como el streaming de vídeo, la carga de archivos, las conexiones largas WebSocket y negocios de este tipo, cuyos patrones de tráfico son inherentemente diferentes de las peticiones HTTP ordinarias. Si utilizas directamente las reglas por defecto para proteger, la probabilidad se verá anulada. Yo suelo configurar una política de protección separada para este tipo de negocios, o incluso un subdominio separado para evitar interferencias.
Hablando de eso, tengo que escupir una frase, en estos días, incluso CDN tienen que “evitar que los compañeros de equipo”. Algunos proveedores de servicios con el fin de mostrar su propio efecto de protección se ve bien, deliberadamente ajustado las normas particularmente sensibles, de todos modos, por error bloqueado el usuario no se encuentra necesariamente. Esta mentalidad es realmente perjudicial. Así que la hora de elegir un proveedor de servicios, debemos ver si proporcionan registros detallados de interceptación y herramientas de análisis, o cómo se muere no lo sé.
Por último, me gustaría compartir algunos datos del mundo real: uno de nuestros proyectos con un PV diario de 10 millones, antes de la optimización, la tasa de falsos sellos era tan alta como 7%, después de tres semanas de ajuste de reglas y personalización de estrategias, la tasa de falsos sellos se redujo finalmente por debajo de 0,3%. Esto no utiliza ninguna tecnología negra, es analizar honestamente los registros, ajustar las reglas, probar AB y luego iterar. El fragmento de configuración optimizado específico es el siguiente:
Por supuesto, cada situación empresarial es diferente, este conjunto de configuraciones puede no ser adecuado para usted, pero la idea es la misma: refinar la escena, combinado con el negocio, el ajuste dinámico. No creo que los que afirman que “una clave para proteger” la propaganda, la seguridad de este asunto nunca es una bala de plata.
En general, reducir la tasa de falsos positivos es una tarea de ingeniería que requiere una inversión continua. Pone a prueba tanto la fuerza técnica del proveedor de servicios, sino también el grado de atención del equipo de operación y mantenimiento. Ahora estoy más miedo de escuchar a alguien decir “nosotros en la CDN de alta defensa en la seguridad”, de hecho, en el sólo el principio, la parte posterior de la puesta a punto es el evento principal.
Si sufre un quebradero de cabeza por los bloqueos erróneos, se recomienda empezar con el análisis de registros para clasificar las características de las solicitudes bloqueadas erróneamente antes de ajustar las reglas de forma selectiva. Recuerde que una buena estrategia de protección debe ser como un bisturí, que elimine con precisión la amenaza preservando al mismo tiempo el máximo de tejido sano. Ese tipo de solución general, de talla única, debería haberse eliminado hace mucho tiempo.
Después de todo, ya es bastante difícil hacer negocios hoy en día, no dejes que la seguridad se convierta en la gota que colme el vaso y acabe con la experiencia del usuario.
