Gerenciamento de bots

O tráfego automatizado de bots pode ter um impacto negativo em sua aplicação Web, em termos relacionados com afetar a disponibilidade, aumentar os custos de infraestrutura, distorcer analytics e facilitar atividades fraudulentas, como a apropriação de contas. O gerenciamento de bots designa os controles usados para identificar o tráfego proveniente do bot e, em seguida, bloquear os indesejados. A sofisticação desses controles depende de o quanto os usuários mal-intencionados são incentivados financeira e politicamente a atacar uma aplicação Web. Quanto maior a motivação para atacar uma aplicação Web, mais investirão em técnicas de evasão de detecção, o que exigirá funcionalidades de mitigação mais avançadas. É recomendável adotar uma abordagem em camadas para o gerenciamento de bots, com ferramentas diferenciadas, cada uma adaptada à sofisticação específica dos bots. Para obter mais informações sobre como começar, consulte a Recomendações da AWS para implementar uma estratégia de controle de bots.

O tráfego gerado por bots frequentes e generalizados, como scanners e crawlers, pode ser identificado e gerenciado no lado do servidor ao analisar a assinatura das solicitações com base em atributos HTTP, como IP, cabeçalho do agente do usuário ou impressão digital de TLS. O AWS WAF permite usar as seguintes regras baseadas em assinatura:

• As regras usadas para bloquear ataques de inundação HTTP (ataques DDoS na camada 7), como limites de taxa, grupos de regras de reputação de IP gerenciados (por exemplo, a lista de reputação de IPs da Amazon, a lista de IPs anônimos etc.), e as regras criadas automaticamente pela mitigação automática de DDoS na camada de aplicação do Shield Avançado.
• O grupo de regras gerenciadas para Controle de Bots do AWS WAF configurado com nível de proteção comum para bloquear bots que se identificam ou com assinaturas de bots de alta confiança. Esse grupo de regras pode ser configurado com granularidade para diferenciar o gerenciamento de diferentes categorias de bots, como bibliotecas HTTP ou estruturas de coleta de dados. Esta publicação do blog fornece exemplos concretos de uma configuração granular do Controle de Bots do AWS WAF com etiquetas e instruções de escopo restrito.
• Regras gerenciadas disponibilizadas por fornecedores de segurança no AWS Marketplace, como as regras de proteção contra bots da F5 e as regras de proteção contra bots mal-intencionados ativos da ThreatSTOP.
   

Quando agentes mal-intencionados têm maiores incentivos para automatizar o tráfego em seu site (por exemplo, motivação financeira para coletar conteúdo para revendê-lo, roubar dados de cartão de crédito e revendê-los, etc...), eles investem mais esforços e dinheiro em técnicas para evitar detecções (por exemplo, usando IPs de redes residenciais, usando estruturas avançadas de automação de navegadores, usando fazendas de CAPTCHA etc...). Para bots sofisticados, as detecções baseadas em assinaturas são menos eficazes, exigindo que você realize implementação de detecções comportamentais mais avançadas e dispendiosas. Para bots sofisticados, as detecções baseadas em assinaturas não são suficientes, exigindo que você realize implementação de detecções comportamentais mais avançadas e dispendiosas. Desafios silenciosos e ações de CAPTCHA são comumente usados como medidas de mitigação para bots avançados, e envolvem interações com navegadores ou com dispositivos móveis. Leia esta publicação do blog para aprofundar seu conhecimento sobre como essas interações ocorrem.

As regras configuradas no AWS WAF podem ter uma ação de CAPTCHA, além de bloqueio, contagem ou limite de taxas. Quando uma regra é configurada com uma ação CAPTCHA, os usuários precisam resolver um quebra-cabeça para provar que um ser humano está enviando a solicitação. Quando um usuário resolve com êxito um desafio de CAPTCHA, um token é colocado no navegador dele para evitar solicitações futuras desafiadoras, usando um tempo de imunidade configurável. Conheça as melhores práticas para configurar o CAPTCHA.

As regras configuradas no AWS WAF podem ter uma ação de Desafio, além de bloqueio, contagem ou limite de taxas. Quando uma regra é configurada com uma ação de desafio, um desafio silencioso (desafio intersticial) é apresentado ao navegador, exigindo que a sessão do cliente verifique se é mesmo um navegador e não um bot. A verificação é executada em segundo plano sem envolver o usuário final. Essa é uma boa opção para verificar clientes que você suspeita serem inválidos sem afetar negativamente a experiência do usuário final com um quebra-cabeça CAPTCHA. Quando um usuário resolve com sucesso um desafio silencioso, um token é colocado em seu navegador para evitar solicitações futuras desafiadoras, usando um tempo de imunidade configurável. Conheça as melhores práticas para configurar Desafios.

Outra opção para adquirir um token do AWS WAF é usar os SDKs de integração de aplicações do AWS WAF. Os SDKs exigem programação em suas aplicações clientes, mas podem proporcionar uma melhor experiência ao cliente, são de uso gratuito e podem ser usados com navegadores que executam JavaScript ou de forma nativa em aplicações móveis Android ou iOS. A integração do SDK é útil em casos em que as ações das regras Challenge ou CAPTCHA não são uma opção, por exemplo, aplicações de página única. O AWS WAF oferece dois níveis de integração de aplicações clientes:

• SDKs de integração com mitigação inteligente de ameaças: esses SDKs são projetados para trabalhar com regras de mitigação inteligente de ameaças. Eles verificam a aplicação cliente e fornecem aquisição e gerenciamento de tokens da AWS. Além disso, eles funcionam de maneira similar à ação da regra “Challenge” do AWS WAF.
• API JS de integração com CAPTCHA: essas APIs verificam os usuários finais com um quebra-cabeça CAPTCHA personalizado que os clientes gerenciam em suas aplicações. Isso é semelhante à funcionalidade fornecida pela ação de regra AWS WAF CAPTCHA, mas com controle adicional sobre o posicionamento e o comportamento do quebra-cabeça. Esse recurso está disponível para aplicações JavaScript.

O AWS WAF fornece um conjunto de regras gerenciadas voltadas para a detecção de atividades fraudulentas nos fluxos de trabalho de login ou de registro. A apropriação de contas é uma atividade on-line ilegal na qual o invasor consegue acesso não autorizado à conta de um usuário, seja ao usar as credenciais roubadas ou ao adivinhar a senha da vítima através de várias tentativas. É possível monitorar e gerenciar as tentativas de apropriação de contas ao implementar a regra gerenciada de prevenção contra apropriação de contas (ATP) do Controle de Fraudes do AWS WAF. Para cada sessão de usuário, a ATP monitora a taxa de tentativas de login, incluindo tentativas malsucedidas, para detectar tentativas de passagem de senha ou nome de usuário. Além disso, a ATP verifica combinações de nome de usuário e senha em um banco de dados de credenciais roubadas, que é atualizado regularmente à medida que novas credenciais vazadas são encontradas na dark web.

A fraude na criação de contas é uma atividade ilegal online na qual um invasor tenta criar uma ou mais contas falsas. Os invasores usam contas falsas para atividades fraudulentas, como abusar de bônus promocionais e inscrições, se passar por alguém e fazer ataques cibernéticos, como phishing. É possível monitorar e gerenciar as tentativas de fraude na criação de contas ao implementar a regra gerenciada de prevenção contra fraude na criação de contas (ACFP) do Controle de Fraudes do AWS WAF. A ACFP monitora, para cada sessão de usuário, o uso de credenciais comprometidas, a pontuação de risco do IP, a interatividade do cliente com a página, a presença de estruturas de automação ou comportamentos de navegador inconsistentes, o uso frequente do mesmo telefone, endereço ou e-mail para criar diversas contas etc.

Para usar todos os recursos das diferentes regras gerenciadas do Controle de fraudes, você precisa adicionar um SDK no lado do cliente à sua aplicação para rastrear comportamentos no nível da sessão.

O grupo de regras de Controle de Bots, configurado com o nível de proteção de bots direcionados, fornece detecção e mitigação sofisticadas de bots ao criar uma linha de base inteligente de padrões de tráfego. O Controle de Bots para Bots direcionados usa técnicas de impressão digital do navegador e métodos de interrogatório de JavaScript no lado do cliente para ajudar a proteger sua aplicação contra bots avançados que imitam padrões de tráfego humano e tentam ativamente evitar a detecção. Os controles direcionados do AWS WAF para bots também fornecem tecnologia preditiva de ML para defesa contra ataques distribuídos baseados em proxy. O grupo gerenciado de regras de Controle de Bots do AWS WAF usa análise automatizada de ML das estatísticas de tráfego do site para detectar um comportamento anômalo que é indicativo de atividade distribuída e coordenada de bots.

Essas opções incluem limitação dinâmica de taxas, ações de desafios e a capacidade de bloquear com base em rótulos e pontuações de confiança. Saiba mais sobre esse recurso avançado nesta palestra e neste blog.

No nível da aplicação, é possível usar sinais personalizados para identificar comportamentos anormais com base nas expectativas da sua aplicação. Por exemplo, pode-se esperar que os usuários naveguem pela sua aplicação de uma determinada maneira, ou que um usuário não solicite determinados produtos de ou para determinados países, de acordo com o endereço registrado. Usando esses sinais, você pode automatizar sua resposta usando o AWS WAF, por exemplo, bloqueando ou desafiando o uso de solicitações CAPTCHA provenientes de IPs com comportamento suspeito no nível da aplicação. Para começar a usar o conceito de automação do WAF com base em sinais de aplicações, considere os exemplos desta solução da AWS.

As automações avançadas incluem:

• Consumir eventos de alto risco emitidos pelo Cognito durante o processo de inscrição/registro.
• Consumir eventos de alto risco identificados pelo Fraud Detector. O Fraud Detector usa machine learning (ML) e 20 anos de experiência em detecção de fraudes da Amazon Web Services (AWS) e da Amazon.com para identificar automaticamente possíveis padrões fraudulentos executados por humanos e bots em tempo real. O Fraud Detector permite a detecção de fraudes analisando o comportamento do usuário no nível da aplicação, usando seus próprios dados históricos de fraude para treinar, testar e implantar modelos personalizados de machine learning de detecção de fraudes adaptados ao seu caso de uso.

Uma camada de proteção adicional pode ser disponibilizada por fornecedores de segurança no AWS Marketplace que são especialistas em detecção avançada de bots. Os fornecedores incluem DataDome, Distill Networks, PerimeterX, Cequence, Kasada e Imperva.

Observe que cada fornecedor de segurança tem pontos fortes diferentes em termos de proteções, recursos e custos específicos do setor. De maneira geral, sua aplicação que usa o CloudFront pode integrar soluções de fornecedores de duas formas:

• Solução de SaaS baseada em proxy reverso, estabelecida entre o CloudFront e o seu servidor de origem.
• API de mitigação de bots replicada globalmente, que pode ser chamada pelo Lambda@Edge para cada solicitação de entrada (isto é, configurada no evento de solicitação do visualizador) para determinar como a solicitação será gerenciada.

• AWS re:Inforce 2024: demonstrações de grupos de regras de detecção de bots do AWS WAF

• AWS re:Inforce 2024: como o Catch Group usa o Controle de Bots do AWS WAF em sua plataforma de comércio eletrônico
• AWS re:Inforce 2022: proteções avançadas contra bots usando o AWS WAF
• The Routing Loop: Protect your applications against Bot traffic
• Estudo de caso da OLX
• Use o AWS WAF CAPTCHA para proteger sua aplicação contra o tráfego comum de bots
• Melhores práticas para mitigação inteligente de ameaças
• Encontre parceiros de entrega do AWS WAF
• Prevenção de fraudes e Controle de bots com o AWS WAF - AWS Online Tech Talks
  
• Usar mitigações inteligentes de ameaças do AWS WAF com acesso à API de origem cruzada
• Kasada vence bots em seu próprio jogo: como identificar e eliminar ataques de bots