Gestione dei bot

Il traffico di bot automatizzato può avere un impatto negativo sull'applicazione web, in termini di disponibilità, aumento dei costi dell'infrastruttura, analisi distorte e attività fraudolente come l'acquisizione di account. La gestione dei bot definisce i controlli utilizzati per identificare il traffico proveniente dai bot e quindi bloccare quelli indesiderati. La sofisticazione di tali controlli dipende da quanto gli attori malintenzionati siano incentivati finanziariamente e politicamente a prendere di mira un'applicazione web. Più sono motivati a colpire un'applicazione web, più investiranno in tecniche di evasione dal rilevamento, che richiedono capacità di mitigazione più avanzate. Si consiglia di adottare un approccio a più livelli per la gestione dei bot, con strumenti differenziati, ciascuno adattato alla specifica sofisticazione dei bot. Per ulteriori informazioni su dove iniziare, consulta Prontuario AWS per l'implementazione di una strategia di rilevamento dei bot.

Il traffico generato da bot comuni e pervasivi come scanner e crawler potrebbe essere identificato e gestito dal lato server analizzando la firma delle richieste in base ad attributi HTTP come IP, intestazione User-Agent o impronta digitale TLS. AWS WAF consente di utilizzare le seguenti regole basate sulla firma:

• Regole utilizzate per bloccare gli attacchi HTTP Flood (attacchi DDoS L7), come i limiti di velocità, i gruppi di regole gestite di reputazione degli IP (elenco di reputazione IP di Amazon, elenco di indirizzi IP anonimi, ecc.) e regole create automaticamente dalla mitigazione automatica degli attacchi DDoS a livello di applicazione di Shield Avanzato.
• Gruppo di regole gestite per il rilevamento dei bot di AWS WAF configurato con un livello di protezione comune per bloccare i bot che si identificano automaticamente o con firme di bot ad alta affidabilità. Tale gruppo di regole può essere configurato in modo granulare per differenziare la gestione di diverse categorie di bot, come Http Library o Scraping Framework. Questo blog fornisce esempi concreti di una configurazione granulare relativa al rilevamento dei bot di AWS WAF, con etichette e istruzioni di riduzione dell'ambito.
• Regole gestite messe a disposizione dai fornitori di sicurezza in AWS Marketplace, come Bot Protection Rules di F5 e Active Malicious Bots di ThreatSTOP.
   

Quando i malintenzionati hanno maggiori incentivi per automatizzare il traffico verso il sito web (ad esempio motivazioni finanziarie per raccogliere contenuti per rivenderli, rubare i dati delle carte di credito e rivenderli, ecc...), investono maggiori sforzi e denaro in tecniche per eludere i rilevamenti (ad esempio utilizzando IP da reti residenziali, utilizzando framework avanzati di automazione dei browser, utilizzando farm di CAPTCHA, ecc.). Per i bot sofisticati, i rilevamenti basati sulle firme sono meno efficienti e richiedono l'implementazione di rilevamenti comportamentali più avanzati e costosi. Per i bot sofisticati, i rilevamenti basati sulle firme non sono sufficienti e richiedono l'implementazione di rilevamenti comportamentali più avanzati e costosi. Le sfide silenziose e le azioni CAPTCHA vengono utilizzate come azioni di mitigazione comuni per i bot avanzati e comportano interazioni con browser o dispositivi mobili. Leggi questo post del blog per approfondire come avvengono queste interazioni.

Le regole configurate in AWS WAF possono avere un'azione CAPTCHA, oltre al blocco, al conteggio o al limite di velocità. Quando una regola è configurata con un'azione CAPTCHA, gli utenti devono risolvere un puzzle per dimostrare che un essere umano sta inviando la richiesta. Quando un utente risolve con successo una test CAPTCHA, viene inserito un token nel browser per evitare di contestare richieste future, utilizzando un tempo di immunità configurabile. Scopri le migliori pratiche per la configurazione del CAPTCHA.

Le regole configurate in AWS WAF possono avere un'azione Sfida, oltre al blocco, al conteggio o al limite di velocità. Quando una regola è configurata con un'azione Sfida, al browser viene presentata una prova silenziosa (sfida interstiziale) che richiede alla sessione del client di verificare che si tratti di un browser e non di un bot. La verifica viene eseguita in background senza coinvolgere l'utente finale. Questa è una buona opzione per verificare i client che si sospetta non siano validi senza influire negativamente sull'esperienza dell'utente finale con un puzzle CAPTCHA. Quando un utente risolve con successo una sfida silenziosa, viene inserito un token nel browser per evitare di contestare richieste future, utilizzando un tempo di immunità configurabile. Scopri le best practice per la configurazione di Challenges.

Un'altra opzione per acquisire un token AWS WAF è utilizzare gli SDK di integrazione delle applicazioni AWS WAF. Gli SDK richiedono la programmazione nelle applicazioni client, ma possono fornire una migliore esperienza cliente, sono gratuiti e possono essere utilizzati con browser che eseguono JavaScript o in modo nativo nelle applicazioni mobili Android o iOS. L'integrazione dell'SDK è utile nei casi in cui le azioni delle regole Challenge o CAPTCHA non sono un'opzione, ad esempio le applicazioni a pagina singola. AWS WAF offre due livelli di integrazione delle applicazioni client:

• SDK per l'integrazione intelligente delle minacce: sono progettati per funzionare con regole di mitigazione intelligente delle minacce. Verificano l'applicazione client e garantiscono l'acquisizione e la gestione dei token AWS. Funzionano in modo simile all'azione della regola AWS WAF Challenge.
• API JS di integrazione CAPTCHA: queste API verificano gli utenti finali con un puzzle CAPTCHA personalizzato che i clienti gestiscono nella loro applicazione. È simile alla funzionalità fornita dall'azione della regola AWS WAF CAPTCHA, ma con un maggiore controllo sul posizionamento e sul comportamento del puzzle. Questa funzionalità è disponibile per le applicazioni JavaScript.

AWS WAF fornisce una serie di regole gestite incentrate sul rilevamento di attività fraudolente nei flussi di lavoro di accesso o registrazione. L'acquisizione di account è un'attività online illegale in cui l'autore dell'attacco ottiene l'accesso non autorizzato all'account di un utente, utilizzando credenziali rubate o indovinando la password della vittima attraverso una serie di tentativi. È possibile monitorare e controllare i tentativi di acquisizione di account implementando la regola gestita di Prevenzione dell'acquisizione degli account (ATP) del Controllo delle frodi AWS WAF. Per ogni sessione utente, l'ATP monitora la frequenza dei tentativi di login, inclusi i tentativi falliti, per rilevare tentativi di bypassare, senza autorizzazione, la password e il nome utente. Inoltre, l'ATP verifica le combinazioni di nome utente e password confrontandole con un database di credenziali rubate, che viene aggiornato regolarmente non appena vengono trovate nuove credenziali trapelate sul dark web.

La frode nella creazione di account è un'attività illegale online in cui un aggressore tenta di creare uno o più account falsi. Gli aggressori utilizzano account falsi per attività fraudolente come abusare dei bonus promozionali e di iscrizione, impersonare qualcuno e per attacchi informatici come il phishing. È possibile monitorare e controllare i tentativi fraudolenti di creazione di account implementando la regola gestita di Creazione di account e prevenzione delle frodi (ACFP) del Controllo delle frodi AWS WAF. Per ogni sessione utente, ACFP monitora l'uso di credenziali compromesse, il punteggio di rischio dell'IP, l'interattività del client con la pagina, il framework di automazione rilevato o il comportamento incoerente del browser, l'elevato utilizzo dello stesso numero di telefono/indirizzo/e-mail per creare più account, ecc.

Per utilizzare tutte le funzionalità delle diverse regole gestite di Fraud Control, devi aggiungere un SDK lato client all'applicazione per tenere traccia dei comportamenti a livello di sessione.

Il gruppo di regole del Rilevamento dei bot, configurato con il livello di protezione dai bot pervasivi, fornisce sofisticate funzionalità di rilevamento e mitigazione dei bot creando una baseline intelligente dei modelli di traffico. Il Rilevamento dei bot per bot pervasivi utilizza tecniche di impronte digitali del browser e metodi di interrogazione JavaScript lato client per proteggere l'applicazione da bot avanzati che imitano i modelli di traffico umano e cercano attivamente di eludere il rilevamento. I controlli mirati di AWS WAF per i bot forniscono anche una tecnologia ML predittiva per difendersi dagli attacchi distribuiti basati su proxy. Il gruppo di regole di Rilevamento dei bot di AWS WAF gestito utilizza l'analisi ML automatizzata delle statistiche sul traffico del sito Web per rilevare comportamenti anomali indicativi di un'attività di bot distribuita e coordinata.

Queste opzioni includono la limitazione dinamica della velocità, le azioni di sfida e la possibilità di bloccare in base a etichette e punteggi di affidabilità. Scopri di più su questa funzionalità avanzata in questo intervento e su questo blog.

A livello di applicazione, è possibile utilizzare segnali personalizzati per identificare comportamenti anomali, in base a quanto previsto dall'applicazione. Ad esempio, si può prevedere che un utente navighi nell'applicazione in un determinato ordine o che non ordini determinati prodotti da/verso determinati Paesi in base al suo indirizzo registrato. Utilizzando tali segnali, è possibile automatizzare la risposta utilizzando AWS WAF, ad esempio bloccando o contestando l'utilizzo delle richieste CAPTCHA provenienti da IP con comportamenti sospetti a livello di applicazione. Per iniziare con il concetto di automazione WAF basata su segnali applicativi, si considerino gli esempi in questa soluzione AWS.

Le automazioni avanzate includono:

• Utilizzo degli eventi ad alto rischio emessi da Cognito durante il processo di accesso/registrazione.
• Utilizzo degli eventi ad alto rischio identificati da Fraud Detector. Fraud Detector utilizza il machine learning (ML) e 20 anni di esperienza nel rilevamento delle frodi di Amazon Web Services (AWS) ed Amazon.com per identificare automaticamente attività potenzialmente fraudolente eseguite da umani e bot in tempo reale. Fraud Detector consente di rilevare le frodi analizzando il comportamento degli utenti a livello di applicazione, utilizzando i dati storici sulle frodi per addestrare, testare e implementare modelli di machine learning personalizzati per il rilevamento delle frodi adattati al caso d'uso.

Un livello di protezione aggiuntivo può essere offerto da fornitori di sicurezza sul Marketplace AWS specializzati nel rilevamento avanzato dei bot. I fornitori includono DataDome, Distill Networks, PerimeterX, Cequence, Kasada e Imperva.

Si consideri che ogni fornitore di sicurezza ha punti di forza diversi in termini di protezioni, funzionalità e costi specifici per ogni settore. In generale, l'applicazione che utilizza CloudFront può integrare le soluzioni del fornitore in uno dei due modi seguenti:

• Soluzione SaaS basata su proxy inverso, che si posiziona tra CloudFront e la tua origine.
• API di mitigazione dei bot replicata a livello globale che può essere chiamata da Lambda@Edge per ogni richiesta in arrivo (ovvero configurata sull'evento di richiesta del visualizzatore) per decidere come gestire la richiesta.

• AWS re:InForce 2024 - Demo sui gruppi di regole di rilevamento dei bot AWS WAF

• AWS re:InForce 2024 - In che modo Catch Group utilizza Rilevamento dei bot AWS WAF sulla propria piattaforma di e-commerce
• AWS re:Inforce 2022 - Protezioni avanzate contro i bot utilizzando AWS WAF
• The Routing Loop: - Proteggi le tue applicazioni dal traffico di bot
• Caso di studio OLX
• Usa AWS WAF CAPTCHA per proteggere l'applicazione dal traffico di bot comune
• Le best practice per la mitigazione intelligente delle minacce
• Trova i partner di distribuzione AWS WAF
• Prevenzione delle frodi e rilevamento dei bot con AWS WAF - AWS Online Tech Talks
  
• Utilizzo delle mitigazioni intelligenti delle minacce di AWS WAF con accesso multiorigine alle API
• Kasada batte i bot al loro stesso gioco: come identificare ed eliminare gli attacchi dei bot