Récemment, un ami s'est plaint à moi qu'après leur entreprise sur le CDN de haute défense, l'effet de protection de sécurité est en hausse, mais le taux de faux blocage est également ridiculement élevé, ne se déplaçant pas à l'utilisateur normal pour s'arrêter à l'extérieur. J'ai ri en entendant ce problème que j'ai rencontré il y a trois ans, lorsque le client a été presque grondé pour douter de sa vie.
Pour être honnête, de nombreux fournisseurs de services CDN de haute défense sur le marché actuel ne considèrent tout simplement pas le “taux de faux blocages” comme l'indicateur de base à traiter. Ils sont plus enclins à se vanter de la force de leur capacité de protection, du nombre de nœuds, de leur capacité de nettoyage, mais dans la réalité, la probabilité qu'une requête normale soit interceptée est plus élevée que la probabilité d'être attaqué. C'est comme si vous aviez installé une porte de sécurité, mais que votre propre famille était enfermée à l'extérieur tous les jours.
J'ai testé un certain nombre de services, notamment CDN5, CDN07 et 08Host, et j'ai découvert que derrière le taux de blocage élevé se cache en fait le résultat d'une série de problèmes. Par exemple, la base de règles est obsolète, le modèle d'analyse comportementale est approximatif, et même certains fournisseurs de services, afin d'éviter les problèmes, bloquent directement l'ensemble du réseau - un certain segment IP, un peu de trafic anormal, tout le segment est bloqué pour vous. Ce genre de pratique grossière est tout simplement ridicule à l'ère actuelle où les opérations sont réglées avec précision.
Une très bonne règle de reconnaissance intelligente devrait être comme un vieux chasseur, capable de viser la cible avec précision sans blesser la végétation environnante par erreur. Elle doit être capable de faire la distinction entre les “attaques malveillantes” et les “pics d'activité normaux”, d'identifier le “comportement des robots” et les “opérations soudaines des utilisateurs humains”, et même de s'adapter aux caractéristiques du trafic des différents secteurs d'activité et scénarios. "Il doit même être capable de s'adapter aux caractéristiques du trafic de différents secteurs et scénarios.
Tout d'abord, j'aimerais évoquer le malentendu le plus courant : de nombreuses équipes élaborent une pile de règles insensées, détestent toutes les règles WAF, la liste noire d'adresses IP, la stratégie de protection CC ouverte, ce qui a pour résultat que la demande normale est également touchée par une contusion. J'ai vu une station de commerce électronique, parce que la protection CC est trop stricte, un tiers de la demande de commande pendant la promotion a été considérée à tort comme une attaque, ce qui a entraîné de lourdes pertes.
En fait, la clé de la réduction du taux de faux-blocage ne réside pas dans le nombre de règles, mais dans la qualité et l'intelligence des règles. Par exemple, le CDN5 a fait un travail plus détaillé dans ce domaine. Au lieu de se fier uniquement à des seuils de fréquence pour prendre des décisions, il combine des informations multidimensionnelles telles que les empreintes digitales JA3, la taille des fenêtres TCP et les caractéristiques temporelles du trafic pour faire de la modélisation comportementale. De cette manière, même si une IP reçoit un grand nombre de demandes sur une courte période, elle ne sera pas facilement bloquée tant que les autres caractéristiques sont normales.
Une autre chose qui mérite d'être mentionnée est le “mode d'apprentissage” de 08Host. Il permet aux clients d'ouvrir une période d'observation, de sorte que le système puisse apprendre le modèle de trafic normal, puis activer progressivement les règles de protection. Cette fonction est particulièrement adaptée aux projets présentant des schémas de trafic particuliers, tels que les serveurs de jeux, les services d'interface API, etc. Plusieurs de mes propres projets ont utilisé cette approche pour réduire le taux de faux positifs à moins de 0,5%.
Bien entendu, il ne suffit pas de se fier aux règles par défaut fournies par votre prestataire de services. Vous devez procéder à des ajustements personnalisés en fonction des caractéristiques de votre entreprise. Par exemple, si vous faites du commerce international, vous devez accorder une attention particulière pour éviter de bloquer par erreur des adresses IP étrangères ; si vos utilisateurs utilisent principalement des téléphones mobiles, vous devez vous concentrer sur la fluctuation du pool d'adresses IP de l'opérateur.
Je recommande généralement à l'équipe de déployer un système d'analyse des journaux de trafic en arrière-plan afin d'enregistrer toutes les demandes bloquées et de procéder régulièrement à une analyse rétrospective. Très souvent, vous découvrirez que certains faux blocages sont en fait réguliers - par exemple, les utilisateurs d'une certaine région déclenchent toujours les règles, ou une certaine interface API est facilement considérée comme anormale en raison de sa conception spéciale.
Par exemple, nous avons un client APP avant, chaque mise à niveau se concentrera sur l'éclatement d'un lot de demandes, les règles de protection traditionnelles basées sur la fréquence sont faciles à battre cette vague de trafic dans une attaque. Par la suite, nous avons configuré les règles suivantes sur CDN07 :
Cette simple combinaison de règles résout notre problème de blocage de 90%. Notez qu'ici nous n'avons pas utilisé la limite de fréquence directement, mais nous l'avons combinée avec le score de menace et les caractéristiques de l'agent utilisateur pour faire un jugement, ce qui non seulement assure la sécurité, mais évite aussi les faux meurtres.
Pour aller plus loin, le cœur de la reconnaissance intelligente des règles est l“”ajustement dynamique". Un bon système de protection doit être capable d'apprendre les modèles de trafic en temps réel et d'assouplir ou de renforcer automatiquement les règles. Par exemple, les algorithmes de CDN5 peuvent ajuster automatiquement les seuils pendant les périodes de pointe, plutôt que de s'en tenir à une valeur fixe.
Certains scénarios nécessitent également une attention particulière, tels que la diffusion vidéo en continu, le téléchargement de fichiers, les connexions longues WebSocket et d'autres activités similaires, dont les modèles de trafic sont intrinsèquement différents des requêtes HTTP ordinaires. Si vous utilisez directement les règles de protection par défaut, la probabilité sera réduite à néant. Je configure généralement une politique de protection distincte pour ce type d'activité, voire un sous-domaine distinct pour éviter les interférences.
A ce propos, je dois cracher une phrase, de nos jours, même les CDN doivent “empêcher les coéquipiers”. Certains fournisseurs de services, afin de montrer leur propre effet de protection semble bon, délibérément ajusté les règles particulièrement sensibles, de toute façon, bloqué par erreur l'utilisateur n'est pas nécessairement trouvé. Cette mentalité est vraiment néfaste. Lors du choix d'un fournisseur de services, il faut donc vérifier s'il fournit des journaux d'interception détaillés et des outils d'analyse, sinon on ne sait pas comment mourir.
Enfin, j'aimerais partager quelques données du monde réel : un de nos projets avec un PV quotidien de 10 millions, avant optimisation, le taux de faux scellés atteignait 7%, après trois semaines d'ajustement des règles et de personnalisation de la stratégie, le taux de faux scellés a finalement été ramené à moins de 0,3%. Il ne s'agit pas d'une technologie noire, mais d'une analyse honnête des journaux, d'un ajustement des règles, d'un test AB et d'une itération. La configuration spécifique optimisée est la suivante :
Bien sûr, chaque situation d'entreprise est différente, cet ensemble de configurations peut ne pas vous convenir, mais l'idée est la même : affiner la scène, la combiner avec l'entreprise, l'ajuster de manière dynamique. Ne croyez pas ceux qui prétendent que la propagande “une clé pour protéger”, la sécurité dans ce domaine n'est jamais une solution miracle.
Globalement, la réduction du taux de faux positifs est une tâche d'ingénierie qui nécessite un investissement continu. Elle met à l'épreuve à la fois la force technique du fournisseur de services, mais aussi le degré d'attention de l'équipe chargée de l'exploitation et de la maintenance. Aujourd'hui, j'ai très peur d'entendre quelqu'un dire “nous avons mis en place un CDN haute définition pour la sécurité”, en fait, ce n'est que le début, l'arrière de la mise au point est l'événement principal.
Si vous souffrez d'un mal de tête dû à un mauvais blocage, il est recommandé de commencer par une analyse des journaux afin de trier les caractéristiques des demandes mal bloquées avant d'ajuster les règles de manière ciblée. N'oubliez pas qu'une bonne stratégie de protection doit être comparable à un couteau chirurgical, éliminant avec précision la menace tout en préservant un maximum de tissus sains. Ce type de solution générale et universelle aurait dû être éliminé il y a longtemps.
Après tout, il est déjà difficile de faire des affaires de nos jours, ne laissez pas la sécurité devenir la goutte d'eau qui fait déborder le vase de l'expérience utilisateur.
