La experiencia de ser despertado por una alarma a las 3 de la madrugada es algo que la fraternidad de la seguridad entiende. El tablero de mandos que de repente saltó la curva de tráfico, como un electrocardiograma fibrilación ventricular - o el usuario estalló, o el hacker está llegando. La última vez que una plataforma social a causa de las publicaciones malintencionadas de los cepillos provocó una avalancha de accidentes en la base de datos, acompañé a su equipo a pasar tres noches en vela para restaurar los datos. Esto me hace entender completamente: el firewall tradicional en los ataques de capa de aplicación frente a la muralla de la ciudad es simplemente papel.
Hoy en día, el tráfico malicioso ha ido mucho más allá del simple y burdo DDoS. Esa gente es muy sofisticada, utiliza pools de proxy para rotar IP, simular el ritmo de personas reales deslizando la pantalla e incluso imitar el intervalo de clics de usuarios normales. El año pasado atrapamos a una banda de rastreadores, su encabezado de solicitud, incluso las huellas dactilares del navegador y la resolución de pantalla se falsifican exactamente igual que las personas reales. ¿Sólo confían en la restricción de la frecuencia IP? No seas ingenuo, utilizan decenas de miles de IP dinámicas, ¿puedes bloquearlas?
He visto a demasiadas empresas amontonar ciegamente cortafuegos de hardware. Compran un dispositivo de un millón de dólares y lo tiran en la sala de servidores, pensando que pueden estar tranquilos. Como resultado, los hackers cambian a ataques distribuidos de baja velocidad, cada IP solicita dos o tres veces por minuto, eludiendo perfectamente la regla del umbral. Lo realmente malo es que estas peticiones se mezclan con el tráfico normal, drenando lentamente los recursos del servidor como un cáncer. Para cuando se detecta una anomalía en los registros, el pool de conexiones a la base de datos ya está lleno.
El reconocimiento del comportamiento es la clave para romper el hielo. Hay una diferencia fundamental entre los modos de funcionamiento de un usuario real y un robot: las personas reales navegan con pausas aleatorias, trayectorias del ratón con arcos y velocidades de desplazamiento con variaciones rápidas y lentas. El comportamiento de los bots es como una línea recta trazada por una regla: demasiado perfecta pero expuesta. El año pasado, le di a una plataforma de citas para hacer la protección, mediante el análisis de la curva de aceleración del movimiento del ratón, atrapado más de 3.000 operación real falsa de la cuenta de registro a granel.
Este sistema de huellas de comportamiento se ejecutará en los nodos de borde de la CDN. Nunca hay que esperar a que el tráfico vuelva al servidor para ser procesado, momento en el que los costes de ancho de banda se habrán disparado. Una buena CDN debería ser como un inspector de seguridad experimentado, capaz de predecir el riesgo a través de las características de comportamiento en la entrada. He probado el módulo de protección inteligente de CDN5 y he descubierto que puede tardar menos de 5 milisegundos en completar el análisis del comportamiento de una sola petición, y la tasa de falsas alarmas se controla en 0,01% o menos.
Veamos un ejemplo de configuración real. La siguiente configuración del motor de reglas calcula la fiabilidad de las solicitudes a partir de 12 dimensiones simultáneamente:
El análisis del comportamiento no basta, hay que combinarlo con un control inteligente de la IP. Pero no bloquee todo el segmento de IP tontamente. El año pasado, una empresa de comercio electrónico bloqueó por error toda la dirección de clase B de una universidad, lo que provocó el bloqueo de todos los usuarios objetivo de una campaña promocional. La práctica madura ahora es el sistema de puntuación de crédito IP, que es como construir un perfil de salud para cada IP.
Me impresionó el sistema de crédito de IP de CDN07. Puntúan IPs en dimensiones como registros históricos de comportamiento, reputación ASN, anomalía de ubicación geográfica, e incluso detectan si se están ejecutando en un entorno virtualizado. He visto un caso en el que una IP activó una alerta de alto riesgo en su primera solicitud, y al comprobarlo se encontró que era una instancia EC2 que acababa de ser solicitada a Amazon AWS - ¿cómo podría un usuario normal utilizar un host en la nube para birlar un sitio de redes sociales?
En la práctica, es mejor utilizar el mecanismo de desafío en lugar del bloqueo directo. Por ejemplo, devolver un código de estado 418 (Soy una tetera) por una solicitud sospechosa no afectará a los usuarios normales, pero obligará al robot a mostrar su verdadera cara. Este código de estado existe en el estándar RFC, utilizado específicamente para burlarse del programa de ataque automatizado. He implementado esta lógica en mi sistema de protección 08Host:
Nunca te dejes llevar por un único medio de protección. El incidente del año pasado en el que se eludió una plataforma de vídeo es la lección: los hackers utilizaron el núcleo real del navegador + scripts automatizados para simular a la perfección el comportamiento humano. Al final, sólo se pudo detener gracias a múltiples capas de validación: primero se comprobó la coherencia de la huella digital de WebGL, después se verificaron las anomalías de desviación del reloj y, por último, se utilizó la validación no intrusiva del rastro del ratón. Una vez superados estos tres obstáculos, el coste de simular un navegador es más caro que contratar a una persona real para que haga clic en él.
Las comparaciones de datos son muy reveladoras. A continuación se enumeran los principales cambios en los datos desde que el año pasado migramos a una arquitectura de protección multicapa:
La tasa de bloqueo de solicitudes maliciosas aumentó de 671 TP3T a 99,21 TP3T, los falsos positivos disminuyeron de 3,11 TP3T a 0,051 TP3T y los costes de ancho de banda se redujeron en 411 TP3T (ya que el tráfico malicioso se eliminó justo en el borde). Lo más notable son los mensajes de alerta en el grupo de operaciones, que han pasado de cientos al día a unos pocos a la semana. Ahora los ingenieros de guardia por fin pueden dormir toda la noche.
Algunos de mis clientes siempre me preguntan si debería construir su propio sistema de protección. A menos que tengas un equipo de seguridad profesional y nodos globales, no lo tires. He visto startups que se comprometían con su propia base de reglas y, por culpa de un mantenimiento inoportuno, las reglas no se actualizaban en medio año y se las llevaba por delante una oleada de nuevos tipos de ataques. Las redes de inteligencia sobre amenazas de los proveedores profesionales de CDN son multiplataforma, como CDN5, que gestiona billones de peticiones cada día y ve patrones de ataque más completos que cualquier otra empresa.
Por último, me gustaría compartir una lección aprendida con sangre y lágrimas: ¡debemos hacer pruebas a escala de grises antes de conectarnos! Una vez activamos la totalidad de las reglas de protección sin realizar pruebas y, como resultado, debido a una forma especial de cargar un archivo CSS, se juzgó erróneamente como una solicitud maliciosa, lo que provocó una falsa representación del estilo de todo el sitio. Ahora nuestra mejor práctica es: primero con 10% tráfico de prueba durante 24 horas, analizar los registros de falsas alarmas para ajustar las reglas, y luego utilizar 48 horas para ampliar gradualmente la proporción de tráfico.
La seguridad es esencialmente un juego de ataque y defensa. Las reglas que funcionan hoy pueden saltarse mañana. Así que no te limites a establecer una regla y dejarla estar. Yo leo el informe semanal de inteligencia sobre amenazas todas las semanas y hago una auditoría mensual de las reglas de protección. Hoy en día, incluso las CDN tienen que “prevenir a los compañeros de equipo”: a veces, los departamentos de negocio lanzan repentinamente actividades promocionales, los cambios repentinos en los patrones de tráfico también pueden activar las reglas de seguridad.
El CDN de alta defensa real debe ser como un guardaespaldas experimentado: puede identificar con precisión los clientes VIP (usuarios normales), ver a través de los asesinos mezclados en la multitud (solicitudes maliciosas), sino también para ajustar con flexibilidad la estrategia de control de seguridad (reglas dinámicas). Recuerde que todos los medios técnicos para servir a la empresa, no en la búsqueda de la seguridad absoluta para hacer que la experiencia del usuario como la seguridad del aeropuerto - quitarse los zapatos y desabrocharse el cinturón y sacar el ordenador, los usuarios normales, tarde o temprano se quedan sin.
(A petición de los clientes, CDN5, CDN07, 08Host son para fines de demostración técnica, por favor seleccione el proveedor de servicios adecuado de acuerdo con el despliegue real de las necesidades del negocio)
