Publicado en: Feb 14, 2022
AWS WAF anuncia el lanzamiento de AWS WAF Fraud Control - Account Takeover Prevention para proteger la página de inicio de sesión de su aplicación contra ataques de relleno de credenciales, intentos de fuerza bruta y otras actividades de inicio de sesión anómalas. Account Takeover Prevention le permite detener de modo proactivo los intentos de apropiación de cuentas en el perímetro de la red. Con Account Takeover Prevention, puede evitar el acceso no autorizado que puede conducir a actividades fraudulentas, o puede informar a los usuarios afectados para que puedan tomar medidas preventivas.
Account Takeover Prevention se ofrece a través de las reglas administradas de AWS. Una vez que se agrega a su ACL web de AWS WAF, compara los nombres de usuario y las contraseñas enviados a su aplicación con las credenciales que se han visto comprometidas en otras partes de la Web. También supervisa los intentos de inicio de sesión anómalos provenientes de actores maliciosos al correlacionar las solicitudes vistas a lo largo del tiempo para detectar y mitigar ataques como patrones de inicio de sesión irregulares, intentos de fuerza bruta y relleno de credenciales. Account Takeover Prevention tiene un alcance reducido de manera predeterminada para actuar solo en su página de inicio de sesión. Con integraciones opcionales de JavaScript y SDK de iOS/Android, puede recibir telemetría adicional en dispositivos que intentan iniciar sesión en su aplicación para proteger mejor su aplicación contra intentos de inicio de sesión automatizados por parte de bots. Account Takeover Prevention también se puede usar junto con AWS WAF Bot Control y las reglas administradas de AWS para crear una capa de defensa integral contra los bots que actúan en su aplicación.
Para comenzar, simplemente vaya a la consola de AWS WAF y cree una nueva ACL web, o seleccione una ACL web existente. Siga el asistente para elegir un recurso de AWS que desea proteger. Elija Account Takeover Prevention de la lista de grupos de reglas administrados. Ingrese la URL de la página de inicio de sesión de su aplicación e indique dónde se encuentran los campos de nombre de usuario y contraseña del formulario dentro del cuerpo de las solicitudes HTTP para iniciar sesión.
AWS WAF Fraud Control - Account Takeover Prevention ya está disponible en las siguientes regiones de AWS: Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregon), Europa (Irlanda), Europa (Londres), Asia Pacífico (Singapur). Visite la página de precios de AWS WAF para obtener información sobre las tarifas de Account Takeover Prevention. Para obtener más información, consulte la guía AWS WAF para desarrolladores. Para obtener más información sobre AWS WAF, consulte el sitio web de AWS WAF.