Gestion des bots

Le trafic de bots automatisé peut avoir un impact négatif sur votre application Web, en termes de disponibilité, d'augmentation des coûts d'infrastructure, de distorsion d'analytique et d'activités frauduleuses telles que la prise de contrôle de compte. La gestion des bots désigne les contrôles utilisés pour identifier le trafic provenant du bot, puis bloquer les flux indésirables. La complexité de ces contrôles dépend de la mesure dans laquelle les acteurs malveillants sont incités financièrement et politiquement à cibler une application Web. Plus ils seront motivés à cibler une application Web, plus ils investiront dans des techniques de détection et d'évasion, nécessitant des capacités d'atténuation plus avancées. Il est recommandé d'adopter une approche à plusieurs niveaux pour gérer les bots, avec des outils différenciés, chacun étant adapté à la sophistication spécifique des bots. Pour plus d'informations sur la manière de commencer, consultez les recommandations AWS pour la mise en œuvre d'une stratégie de contrôle des bots.

Le trafic généré par des bots courants et omniprésents tels que les scanners et les robots pourrait être identifié et géré côté serveur en analysant la signature des demandes sur la base d'attributs HTTP tels que l'adresse IP, l'en-tête User-Agent ou l'empreinte TLS. AWS WAF vous permet d'utiliser les règles suivantes basées sur les signatures :

• Règles utilisées pour bloquer les inondations HTTP (attaques DDoS L7), telles que les limites de débit, les groupes de règles de réputation IP gérée (liste de réputation d'adresses IP Amazon, liste d'adresses IP anonymes, etc.) et les règles créées automatiquement par l'atténuation DDoS automatique des attaques de la couche applicative de Shield Advanced.
• Groupe de règles géré par le contrôle des bots d'AWS WAF configuré avec un niveau de protection commun pour bloquer les bots qui s'identifient eux-mêmes, ou avec des signatures de bots hautement fiables. Ce groupe de règles peut être configuré avec précision pour différencier la gestion des différentes catégories de bots telles que Http Library ou Scraping Framework. Ce blog vous donne des exemples concrets de configuration précise du contrôle des bots d'AWS WAF avec des libellés et des instructions de réduction de la portée.
• Règles gérées fournies par les fournisseurs de sécurité sur AWS Marketplace, telles que les règles de protection contre les bots par F5 et les bots malveillants actifs par ThreatSTOP.
   

Lorsque les acteurs malveillants sont davantage incités à automatiser le trafic vers votre site Web (par exemple, pour des raisons financières, ils récupèrent du contenu pour le revendre, volent des données de cartes de crédit et les revendent, etc.), ils investissent davantage d'efforts et d'argent dans des techniques permettant d'échapper aux détections (par exemple, en utilisant des adresses IP de réseaux résidentiels, des cadres d'automatisation de navigateur avancés, des fermes de CAPTCHA, etc.). Pour les bots sophistiqués, les détections basées sur les signatures sont moins efficaces, ce qui vous oblige à déployer des détections comportementales plus avancées et plus coûteuses. Pour les bots sophistiqués, les détections basées sur les signatures ne sont pas suffisantes, ce qui vous oblige à déployer des détections comportementales plus avancées et plus coûteuses. Les défis silencieux et les actions CAPTCHA sont utilisés comme mesures d'atténuation courantes pour les bots avancés et impliquent des interactions avec des navigateurs ou des appareils mobiles. Lisez cet articles de blog pour en savoir plus sur la façon dont ces interactions se produisent.

Les règles configurées dans AWS WAF peuvent avoir une action CAPTCHA, en plus du blocage, du comptage ou de la limite de débit. Lorsqu'une règle est configurée avec une action CAPTCHA, les utilisateurs doivent résoudre un casse-tête pour prouver qu'un être humain envoie la demande. Lorsqu'un utilisateur résout avec succès un défi CAPTCHA, un jeton est placé sur son navigateur pour éviter de remettre en question de futures demandes, en utilisant une durée d'immunité configurable. Découvrez les bonnes pratiques pour configurer le CAPTCHA.

Les règles configurées dans AWS WAF peuvent comporter une action défi, en plus du blocage, du comptage ou de la limite de débit. Lorsqu'une règle est configurée avec une action défi, le navigateur est confronté à un défi silencieux (défi interstitiel) qui oblige la session client à vérifier qu'il s'agit bien d'un navigateur et non d'un bot. La vérification s'effectue en arrière-plan sans impliquer l'utilisateur final. Il s'agit d'une bonne option pour vérifier les clients que vous pensez ne pas être valides sans affecter négativement l'expérience de l'utilisateur final à l'aide d'un casse-tête CAPTCHA. Lorsqu’un utilisateur résout avec succès un défi silencieux, un jeton est placé sur son navigateur pour éviter de remettre en question de futures demandes, en utilisant une durée d’immunité configurable. Découvrez les bonnes pratiques pour configurer les défis.

Une autre option pour acquérir un jeton AWS WAF consiste à utiliser les SDK d’intégration d’applications AWS WAF. Les SDK nécessitent une programmation dans vos applications clientes, mais ils peuvent offrir une meilleure expérience client, leur utilisation est gratuite et ils peuvent être utilisés avec des navigateurs exécutant JavaScript, ou de manière native dans des applications mobiles Android ou iOS. L’intégration du SDK est utile dans les cas où les actions relatives aux règles Challenge ou CAPTCHA ne sont pas une option, par exemple dans le cas des applications à page unique. AWS WAF propose deux niveaux d'intégration des applications clientes :

• Kits SDK d'intégration intelligente des menaces : ils sont conçus pour fonctionner avec des règles d'atténuation intelligente des menaces. Ils vérifient l'application cliente et fournissent l'acquisition et la gestion des jetons AWS. Elles fonctionnent de la même manière que l'action de la règle AWS WAF Challenge.
• API JS d’intégration de CAPTCHA : Ces API vérifient les utilisateurs finaux à l’aide d’un puzzle CAPTCHA personnalisé que les clients gèrent dans leur application. Cette fonctionnalité est similaire à celle fournie par l’action de règle AWS WAF CAPTCHA, mais elle permet de contrôler davantage le placement et le comportement des énigmes. Cette fonctionnalité est disponible pour les applications JavaScript.

AWS WAF fournit un ensemble de règles gérées visant à détecter les activités frauduleuses dans les flux de travail de connexion ou d'enregistrement. Le piratage de compte est une activité illégale en ligne au cours de laquelle l'attaquant obtient un accès non autorisé au compte d'un utilisateur, soit en utilisant des informations d'identification volées, soit en devinant le mot de passe de la victime au cours d'une série de tentatives. Vous pouvez surveiller et contrôler les tentatives de piratage de comptes en mettant en œuvre la règle gérée par AWS WAF Fraud Control – prévention contre le piratage de compte (ATP). Pour chaque session utilisateur, ATP surveille le taux de tentatives de connexion, y compris les tentatives infructueuses, afin de détecter les tentatives de traversée du mot de passe ou du nom d'utilisateur. En outre, ATP vérifie les combinaisons de nom d'utilisateur et de mot de passe par rapport à une base de données d'informations d'identification volées, qui est régulièrement mise à jour au fur et à mesure que de nouvelles informations d'identification divulguées sont découvertes sur le Dark Web.

La fraude à la création de compte est une activité illégale en ligne par laquelle un attaquant tente de créer un ou plusieurs faux comptes. Les attaquants utilisent de faux comptes pour des activités frauduleuses telles que l'abus de bonus promotionnels et d'inscription, l'usurpation de l'identité d'une personne et des cyberattaques telles que le phishing. Vous pouvez surveiller et contrôler les tentatives de création de comptes frauduleux en mettant en œuvre la règle gérée par AWS WAF Fraud Control – prévention contre la fraude liée à la création de compte (ACFP). Pour chaque session utilisateur, l'ACFP surveille l'utilisation d'informations d'identification compromises, le score de risque IP, l'interactivité du client avec la page, le cadre d'automatisation détecté ou le comportement incohérent du navigateur, l'utilisation élevée du même téléphone/adresse/e-mail pour créer plusieurs comptes, etc.

Pour utiliser toutes les fonctionnalités des différentes règles gérées par Fraud Control, vous devez ajouter un kit SDK côté client à votre application afin de suivre les comportements au niveau de la session.

Le groupe de règles du Contrôle des bots, configuré avec le niveau de protection Détection de bots, assure une détection et une atténuation sophistiquées des bots en créant une base de référence intelligente des modèles de trafic. Le Contrôle des bots pour Détection de bots utilise des techniques d’empreinte digitale du navigateur et des méthodes d’interrogation JavaScript côté client pour protéger votre application contre les bots avancés qui imitent les modèles de trafic humain et tentent activement d’échapper à la détection. Les contrôles de détection d’AWS WAF pour les bots fournissent également une technologie de machine learning prédictive pour se défendre contre les attaques distribuées basées sur des proxys. Le groupe de règles géré le contrôle des bots d’AWS WAF utilise une analyse automatique par machine learning des statistiques de trafic du site Web afin de détecter les comportements anormaux indiquant une activité de bot distribuée et coordonnée.

Ces options incluent la limitation dynamique du débit, des actions de défi et la possibilité de bloquer en fonction d’étiquettes et de scores de confiance. Pour en savoir plus sur cette fonctionnalité avancée, consultez cette conférence et ce blog.

Au niveau de votre application, vous pouvez utiliser des signaux personnalisés pour identifier les comportements anormaux, en fonction des attentes de votre application. Par exemple, vous pouvez vous attendre à ce que les utilisateurs naviguent dans votre application dans un certain ordre, ou vous ne vous attendez probablement pas à ce qu'un utilisateur commande certains produits depuis/vers certains pays en fonction de son adresse enregistrée. En utilisant de tels signaux, vous pouvez automatiser votre réponse à l'aide d'AWS WAF, par exemple en bloquant ou en contestant les demandes CAPTCHA provenant d'adresses IP présentant un comportement suspect au niveau de l'application. Pour commencer à utiliser le concept d'automatisation du WAF basé sur les signaux des applications, consultez les exemples de cette solution AWS.

Les automatisations avancées incluent :

• La consommation d'événements à haut risque émis par Cognito lors du processus de connexion/d'inscription.
• La consommation d'événements à haut risque identifiés par Fraud Detector. Amazon Fraud Detector utilise le machine learning (ML) et met à contribution 20 ans d'expertise en détection de fraude d'Amazon Web Services (AWS) et d'Amazon.com pour identifier automatiquement les pratiques cybernétiques douteuses réalisés par des humains ou des bots en temps réel. Fraud Detector permet de détecter les fraudes en analysant le comportement des utilisateurs au niveau de l'application, en utilisant vos propres données historiques de fraude pour entraîner, tester et déployer des modèles de machine learning personnalisés pour la détection des fraudes adaptés à votre cas d'utilisation.

Une couche de protection supplémentaire peut être fournie par les fournisseurs de sécurité spécialisés dans la détection avancée des bots sur AWS Marketplace. Les fournisseurs incluent DataDome, Distill Networks, PerimeterX, Cequence, Kasada et Imperva.

Notez que chaque fournisseur de sécurité possède des atouts différents en termes de protections, de capacités et de coûts spécifiques à l'industrie. En général, votre application utilisant CloudFront peut intégrer les solutions des fournisseurs de deux manières :

• Solution SaaS basée sur un proxy inverse, située entre CloudFront et votre site origine.
• API d'atténuation des bots répliquée à l'échelle mondiale qui peut être appelée par Lambda@Edge pour chaque demande entrante (c'est-à-dire configurée en fonction de l'événement de demande de l'utilisateur) afin de décider de la manière de gérer la demande.

• AWS re:Inforce 2024 : démonstrations sur les groupes de règles de détection des bots AWS WAF

• AWS re:Inforce 2024 : Comment Catch Group utilise le contrôle des bots AWS WAF sur sa plateforme de commerce électronique
• AWS re:Inforce 2022 – Protections avancées contre les bots à l’aide d’AWS WAF
• La boucle de routage : Protéger vos applications contre le trafic des bots
• Étude de cas OLX
• Utiliser AWS WAF CAPTCHA pour protéger votre application contre le trafic de bots courant
• Bonnes pratiques pour une atténuation intelligente des menaces
• Trouver des partenaires de livraison AWS WAF
• Prévention de la fraude et contrôle des bots avec AWS WAF – Conférences techniques AWS en ligne
  
• Utilisation d'AWS WAF pour atténuer les menaces de manière intelligente avec un accès aux API inter-origines
• Kasada bat les bots à leur propre jeu : comment identifier et éliminer les attaques de bots