Обзор мирового и российского рынков систем защиты от вредоносных ботов (Bot)

Обзор мирового и российского рынков систем защиты от вредоносных ботов

Обзор мирового и российского рынков систем защиты от вредоносных ботов

Вредоносные боты могут генерировать спам, засорять обратную связь веб-сайтов, а также нагружать сервер и забивать каналы связи. При этом боты становятся умнее и уже способны обходить базовые механизмы безопасности. Мы рассмотрели системы защиты от атак злонамеренных ботов, представленные на мировом рынке.

 

 

 

 

 

  1. Введение
  2. Системы защиты сайтов от ботов
  3. Мировой рынок систем защиты сайтов от ботов
  4. Российский рынок систем защиты от ботов
  5. Обзор зарубежных систем защиты от ботов
    1. 5.1. Akamai Bot Manager
    2. 5.2. Alibaba Cloud Anti-Bot Service
    3. 5.3. BotGuard for Applications
    4. 5.4. Bot Protection
    5. 5.5. Cloudflare Bot Management
    6. 5.6. Imperva Bot Management
    7. 5.7. Netacea Bot Management
    8. 5.8. PerimeterX Bot Defender
    9. 5.9. Radware Bot Manager
    10. 5.10. Shape Enterprise Defense
  6. Обзор российских систем защиты от ботов
    1. 6.1. Antibot.Cloud
    2. 6.2. BotFAQtor
    3. 6.3. Bot Mitigation
    4. 6.4. Group-IB Fraud Hunting Platform
    5. 6.5. Qrator Bot Protection
    6. 6.6. «Гарда Антиботнет»
  7. Выводы

Введение

Боты всё активнее используются для решения различных задач. Есть автоматизированные программы, которые приносят реальную пользу и действуют вполне легально, такие как поисковые роботы Google или «Яндекса». Однако активность большой части ботов носит нелегитимный или вредоносный характер. Они могут собирать конфиденциальную информацию, воровать контент, выполнять мошеннические запросы к финансовым системам, перебирать пароли и комбинации промокодов, а также организовывать DDoS-атаки.

Системы защиты от вредоносных ботов (bot mitigation) или управления ботами (bot management) позволяют определять, каким автоматизированным программам разрешён доступ к веб-ресурсам. Это даёт возможность допускать к работе с сайтом полезные боты, одновременно блокируя применение вредоносных или нежелательных, например тех, которые используются для кибератак. Стратегии управления ботами предназначены для обнаружения их активности, определения источника и характера действий.

Управление ботами необходимо для предотвращения воздействия на доступность и безопасность сайта. Если вредоносным ботам разрешён доступ к ресурсам, они могут перегрузить серверы и привести к отказу в обслуживании или замедлению работы обычных пользователей. Кроме того, некоторые боты способны собирать или похищать личные активы, контент, учётные данные или системные файлы. Затем эти элементы используются для фишинга, рассылки спама или планирования кибератак.

В то же время системы управления ботами, которые ошибочно распознают «хороших» ботов как «плохих», могут нанести серьёзный ущерб бизнесу организации. Например, блокировка роботов поисковых систем может привести к потере трафика, конверсий и доходов, а блокировка самодельных программ, используемых для тестирования и автоматизации, может нарушить важную деловую деятельность.

Не так давно мы уже обсуждали, какие технологии по защите от ботов применяются в наше время, в эфире АМ Live «Защита веб-сайтов от ботов».

Системы защиты сайтов от ботов

Системы защиты от ботов эволюционировали в соответствии с возможностями автоматизированных программ и характером их использования злоумышленниками. В настоящее время задача управления ботами — двойная: идентифицировать атакующие боты, которые всё больше копируют действия пользователей-людей, и отличать вредоносные боты от легитимных, что может быть очень важно для повседневной деятельности организации.

В настоящее время для обнаружения ботов и управления ими используются три основных подхода:

  • Статический подход. Использует инструменты статического анализа для изучения заголовков и другого содержимого веб-запросов. Этот метод является пассивным и может обнаруживать только известные и активные боты.
  • Проверочный подход. Использует активные задачи или тесты, которые ботам трудно или невозможно пройти. Обычно это — проверка CAPTCHA, запуск JavaScript, принятие файлов cookie.
  • Поведенческий подход. Оценивает активность потенциальных пользователей и сопоставляет её с известными шаблонами для проверки личности. Этот метод использует несколько профилей для классификации активности и различения пользователей-людей, «хороших» ботов и «плохих» ботов.

Наиболее эффективные стратегии управления объединяют все три метода, что позволяет выявлять как можно большее число ботов. Комбинируя методы, можно повысить шансы идентифицировать боты, даже если те недавно созданы или имеют динамичное поведение.

Системы управления ботами используют ряд технологий безопасности, машинного обучения и веб-разработки. Это наделяет их способностью точно оценивать боты и блокировать вредоносные действия, в то же время позволяя законным ботам работать бесперебойно.

Ниже перечислены некоторые типы бот-атак, которые могут привести к серьёзным последствиям для любой организации.

DDoS-атаки используют сети ботов или скомпрометированные устройства для массовой отправки запросов к серверам, исчерпывая пропускную способность канала или перегружая вычислительные ресурсы. В результате сайты, приложения или службы могут стать недоступными.

Вброс учётных данных — это атака, при которой преступники используют боты для автоматической проверки утёкших или украденных логинов и паролей. Бот перебирает комбинации до тех пор, пока одна из них не сработает. Такие атаки часто бывают успешными, поскольку пользователи склонны применять одни и те же учётные данные для нескольких аккаунтов в разных сервисах.

Также злоумышленники могут использовать боты для подбора промокодов или генерации поддельных подарочных карт. Впоследствии такие коды или карты можно обменять на реальные деньги.

Ещё один вариант применения ботов — для обхода или сканирования веб-сайтов, социальных сетей или форумов с целью поиска личной информации о людях. Затем злоумышленники могут использовать эту информацию для повышения убедительности фишинговых и мошеннических атак.

Наконец, киберпреступники используют боты для извлечения проприетарных активов из корпоративных хранилищ информации. Это могут быть данные о ценах, логотипы или материалы для брендинга, сведения о продукте или скрытые файлы. Особенно уязвимы для таких атак порталы электронной коммерции.

Мировой рынок систем защиты сайтов от ботов

Основными инструментами для предотвращения атак ботов на сегодняшний день являются как простые механизмы — вроде CAPTCHA, скрытых полей на веб-страницах или оценки времени заполнения форм, — так и более сложные. К числу последних относятся сервисы очистки трафика, брандмауэры веб-приложений (Web Application Firewalls), создание цифровых отпечатков устройств, средства защиты от вредоносного кода, комплексы сетевой защиты, системы использующие поведенческий анализ и т. д. Многие вендоры стараются использовать комбинированный подход и применяют сразу несколько из указанных выше механизмов.

Исследовательская компания Gartner в статье «Hype Cycle for Application Security, 2021» выделила следующие основные драйверы развития рынка систем по защите от ботов:

  • Необходимость предотвращения крупномасштабных автоматических атак со стороны простых бот-программ.
  • Осознание руководителями отделов ИБ и ИТ того факта, что выгоды от использования систем управления ботами не ограничиваются безопасностью и распространяются в том числе и на бизнес, что делает эти системы более востребованными.
  • Беспокойство из-за прямого финансового и потенциального репутационного ущерба вследствие того, что не всегда удаётся эффективно отличить боты от обычных пользователей и клиентов.
  • Способность систем управления ботами не только выявлять «плохие» программы, но и сохранять удобство работы для законных пользователей приложений и авторизованных ботов.

Также, по мнению Gartner, этот класс продуктов имеет вполне высокий уровень проникновения на рынок информационной безопасности: от 20 до 50 % целевой аудитории. Согласно диаграмме «Hype Cycle for Application Security, 2021», подготовленной экспертами Gartner, сегмент рынка Bot Management преодолевает этап разочарования после избыточных ожиданий и через несколько лет выйдет на плато продуктивности.

 

Рисунок 1. Кривая «Hype Cycle for Application Security, 2021»

Кривая «Hype Cycle for Application Security, 2021»

 

Другая исследовательская компания — Forrester также провела анализ рынка управления ботами и в своей статье «The Forrester New Wave: Bot Management, Q1 2020» представила диаграмму, на которой разместила вендоров согласно их стратегической силе, текущему предложению и востребованности на рынке.

В числе лидеров оказались Netacea, Akamai Technologies, Imperva, PerimeterX. Сильными игроками были названы DataDome и White Ops (в настоящий момент — Human). В число их основных конкурентов вошли Shape Security и Radware. Все остальные (Cloudflare, Alibaba Cloud, Instart, AppsFlyer, Reblaze) попали в категорию претендентов.

 

Рисунок 2. Диаграмма оценки вендоров в сегменте управления ботами (Forrester)

Диаграмма оценки вендоров в сегменте управления ботами (Forrester)

 

Ещё одна консалтинговая и исследовательская компания Quadrant Knowledge Solutions представила своё исследование рынка систем защиты от ботов, результаты которого можно увидеть на диаграмме «SPARK Matrix: Bot Management, 2020» (рис. 3).

 

Рисунок 3. Диаграмма оценки вендоров в сегменте управления ботами (Quadrant Knowledge Solutions)

Диаграмма оценки вендоров в сегменте управления ботами (Quadrant Knowledge Solutions)

 

В данной статье будут рассмотрены следующие продукты мирового рынка систем управления ботами (защиты от ботов):

  • Akamai Bot Manager.
  • Alibaba Cloud Anti-Bot Service.
  • BotGuard for Applications (Human).
  • Bot Protection (DataDome).
  • Cloudflare Bot Management.
  • Imperva Bot Management.
  • Netacea Bot Manager.
  • PerimeterX Bot Defender.
  • Radware Bot Manager.
  • Shape Enterprise Defense (F5 Networks).

Российский рынок систем защиты от ботов

Российский рынок систем защиты сайтов от ботов также развивается весьма активно. Вперёд его двигают компании, которые уже предлагают облачные услуги, и разработчики средств сетевой защиты, у которых антибот-механизм является одним из основных модулей. Также здесь можно выделить различные продукты для защиты от вредоносного кода. Тем не менее мы будем рассматривать только специализированные системы или сервисы для защиты от бот-атак, чтобы избежать пересечений с предыдущими нашими обзорами рынков.

Рынок систем защиты от ботов имеет вполне высокий потенциал роста, поскольку количество ботов в интернете постоянно увеличивается. Пока подобные платформы не используются массово, однако снижение стоимости и упрощение процесса внедрения антиботов могут привести ко значительному росту активности их использования, как было отмечено в эфире AM Live, посвящённом защите от ботов.

Мы рассмотрим следующие отечественные системы для защиты от бот-атак, представленные на российском рынке:

  • Group-IB Fraud Hunting Platform.
  • BotFAQtor.
  • Antibot.Cloud.
  • Qrator Bot Protection.
  • «Гарда Антиботнет» («Гарда Технологии»).
  • Bot Mitigation (DDoS Guard).

Обзор зарубежных систем защиты от ботов

 

 

Akamai Bot Manager

Akamai Bot Manager построен на базе платформы Akamai Intelligent Edge, которая имеет более 240 000 серверов по всему миру, что обеспечивает устойчивость и масштабируемость. Клиенты, боты и пользователи подключаются к веб-приложению заказчика с помощью сервера Akamai; система управления ботами идентифицирует и контролирует их ещё до того, как они «дотянутся» до центров обработки данных или приложений заказчиков.

 

Рисунок 4. Интерфейс центра управления Akamai Bot Manager

Интерфейс центра управления Akamai Bot Manager

 

Менеджер от Akamai основан на надёжной и сертифицированной базе данных категорий ботов, которую компания постоянно обновляет. Система обнаруживает неизвестные боты с помощью моделей искусственного интеллекта для анализа поведения пользователей, идентификации браузеров и многого другого.

Алгоритмы глубокого обучения также адаптируются к тенденциям легального трафика, поэтому Akamai Bot Manager постоянно совершенствуется и развивается.

Достоинства:

  • наличие собственной базы данных категорий ботов;
  • наличие собственной отказоустойчивой платформы;
  • обширная география размещения серверов для сервиса.

Недостатки:

  • не поддерживает интеграцию с системами других вендоров.

Более подробную информацию о продукте можно узнать перейдя по следующей ссылке.

 

 

Alibaba Cloud Anti-Bot Service

Компания Alibaba предлагает широкий спектр облачных сервисов под общим названием Alibaba Cloud, в состав которого входит и сервис защиты от нежелательных ботов. Это современный продукт, снижающий влияние автоматических атак на веб-сайт. Сервис обеспечивает комплексную защиту для веб-приложений, веб-сайтов HTML5, мобильных приложений и API, что может эффективно снизить риски вызванные конкретными уязвимостями.

 

Рисунок 5. Схема работы Alibaba Cloud Anti-Bot Service

Схема работы Alibaba Cloud Anti-Bot Service

 

Alibaba Cloud Anti-Bot Service предлагается по подписке (SaaS) и основан на технологии обратного проксирования, которая позволяет настраивать политики защиты для выявления и контроля вредоносного трафика. Также есть возможность в любой момент просмотреть состояние защиты и данные об атаках в консоли администрирования.

Достоинства:

  • удобная консоль с большими возможностями для управления правилами и мониторингом;
  • возможность настройки сервиса в соответствии с потребностями заказчика.

Недостатки:

  • высокая стоимость услуги.

Более полную информацию о данном сервисе можно получить здесь.

 

 

BotGuard for Applications

BotGuard for Applications от вендора Human (бывшая White Ops) обнаруживает и подавляет сложные действия ботов на сайтах и в приложениях, включая автозаполнение учётных данных, взлом и захват аккаунтов, разные виды мошенничества (с учётными записями, платежами, контентом). Это снижает потери от киберпреступных операций и сохраняет доверие клиентов.

 

Рисунок 6. Схема работы BotGuard for Applications

Схема работы BotGuard for Applications

 

BotGuard использует действенную систему верификации человека, основанную на передовой технологии обнаружения (более 2500 сигналов и 350 алгоритмов), глобальной видимости (еженедельно проверяется 10 триллионов взаимодействий) и киберразведке. Система легко и быстро устанавливается на веб-сайтах или интегрируется через мобильный SDK. Также доступно автоматическое принятие решений с помощью безопасной межсерверной интеграции с API-интерфейсом BotGuard Mitigation Engine или с CDN, включая Fastly, Amazon Cloudfront, Cloudflare.

Панель инструментов BotGuard позволяет легко визуализировать и понимать информацию по угрозам. Реализована возможность интегрировать собственные бизнес-сигналы, настраивать действия по снижению рисков и создавать настраиваемые отчёты.

Достоинства:

  • компетентность специалистов поддержки и способность быстро решать возникающие проблемы;
  • передовой высокотехнологичный механизм проверки подлинности человека;
  • большие возможности по интеграции со сторонними системами.

Недостатки:

  • высокая стоимость;
  • не совсем удобная консоль управления.

Более подробная информация о продукте находится на сайте вендора.

 

 

Bot Protection

Bot Protection от вендора DataDome — это услуга (SaaS) для предприятий электронной коммерции, которая развёртывается в считаные минуты. Она обеспечивает защиту в режиме реального времени ото всех автоматизированных угроз в цифровом пространстве, включая такие вредоносные действия, как SQL-инъекции, DDoS-атаки и подбор учётных данных.

 

Рисунок 7. Панель управления Bot Protection

Панель управления Bot Protection

 

DataDome не изменяет архитектуру сети заказчика, поэтому всё может работать бесперебойно. Кроме того, весь нежелательный трафик обрабатывается в серверной части на стороне вендора, что снижает нагрузку на ИТ-команду заказчика. Bot Protection также поставляется с полнофункциональной и информативной панелью для администрирования и сбора данных.

Достоинства:

  • большое количество заказчиков (более 10 000 доменов по всем миру);
  • полноценная защита от большого спектра автоматизированных угроз, в том числе от SQL-инъекций и DDoS-атак;
  • простота внедрения.

Недостатки:

  • недостаточно функциональная панель администрирования.

Более подробная информация размещена здесь.

 

 

Cloudflare Bot Management

Cloudflare Bot Management — это глобальная облачная платформа, предлагающая как управление ботами, так и защиту от них. С помощью Bot Management можно получать доступ к информации об угрозах из надёжной облачной сети и использовать её для избавления от потенциально опасных ботов. Cloudflare оценивает каждый запрос на вероятность того, что он поступил от бота.

Поскольку не все боты «плохие», Cloudflare также автоматически обновляет список «хороших» ботов в сети заказчика, что позволяет эффективно фильтровать угрозы и пропускать легитимные программы.

 

Рисунок 8. Просмотр аналитики по ботам на панели управления Cloudflare

Просмотр аналитики по ботам на панели управления Cloudflare

 

Cloudflare Bot Management предлагает быстрое и оптимальное управление ботами без сложной настройки или обслуживания. Система автоматически порекомендует правила для управления ботами «из коробки». Никаких сторонних инструментов для этого не потребуется.

Cloudflare Bot Management предоставляет механизмы для анализа и изучения автоматизированного трафика на панели мониторинга. Есть возможность создавать свои собственные дашборды, которые будут сопоставлять журналы трафика с другими источниками данных при помощи внешних систем, таких как SIEM или приложения бизнес-аналитики.

Достоинства:

  • наличие постоянно обновляемого списка легитимных ботов;
  • наличие подробных отчётов об атаках;
  • возможность использования режима Super Bot Fight Mode.

Недостатки:

  • наличие у CloudFlare доступа ко всем передаваемым данным заказчиков.

Больше информации о продукте можно почерпнуть из описания на сайте производителя.

 

 

Imperva Bot Management

Imperva Bot Management предлагает систему управления ботами для защиты мобильных приложений, веб-сайтов и API ото множества автоматических угроз. Платформа легко работает в фоновом режиме, не влияя на естественный поток критически важного бизнес-трафика. Используются различные механизмы для управления ботами: статический, проверочный, поведенческий.

Imperva предлагает использование передовых технологий классификации посетителей, краудсорсинг и поведенческий анализ для установления того, кто пытается получить доступ к веб-сайту — человек или бот. Также стоит отметить возможность создания чёрных и белых списков посетителей сайта.

 

Рисунок 9. Панель управления Imperva

Панель управления Imperva

 

В дополнение к защите от ботов Imperva обеспечивает многоуровневую безопасность веб-сайтов и приложений. Решение Imperva включает в себя предотвращение DDoS-атак любого масштаба, защиту приложений на границе сети с помощью облачного WAF корпоративного класса, противодействие известным и неизвестным (0-day) атакам. Есть широкие возможности по управлению статическими данными, в том числе удобные и подробные отчёты по событиям в безопасности.

Достоинства:

  • наличие многоуровневой системы защиты веб-сайтов и приложений;
  • передовая система использования цифровых отпечатков (более 200 параметров устройств);
  • усовершенствованная классификация ботов;
  • правила безопасности для CMS;
  • возможность использования биометрической проверки.

Недостатки:

  • высокая стоимость.

Наиболее полная информация о системе размещена на сайте вендора.

 

 

Netacea Bot Management

Netacea Bot Management предлагает эффективную систему управления ботами, помогая компаниям предотвращать опасные автоматические действия с помощью алгоритмов машинного обучения и искусственного интеллекта. Среда анализа намерений в программном обеспечении Netacea позволяет контролировать и изучать атаки ботов в режиме реального времени, в то же время разрешая поисковым системам и другим важным ботам свободно получать доступ к сайту и сетям.

 

Рисунок 10. Панель управления Netacea Bot Management

Панель управления Netacea Bot Management

 

Подход Netacea к машинному обучению подразумевает, что система может легко анализировать миллионы запросов одновременно для получения последовательного и надёжного потока рекомендаций в режиме реального времени для приложений и веб-ресурсов заказчика. Есть также внутренняя панель мониторинга, которую предприятия могут использовать для принятия обоснованных решений о своём трафике.

Дополнительные данные, полученные при идентификации устройства и изучении репутации пользователя, обеспечивают точное обнаружение ботов и варианты смягчения последствий, однозначно анализируя взаимодействие пользователя с приложением, чтобы выявить цель его действий.

Достоинства:

  • наличие передовой системы аналитики Intent Analytics, основанной на машинном обучении;
  • наличие собственной базы данных угроз;
  • наличие удобных дашбордов с большими возможностями по визуализации данных.

Недостатки:

  • высокая стоимость.

Более подробная информация о Netacea Bot Management размещена здесь.

 

 

PerimeterX Bot Defender

PerimeterX Bot Defender — это система для управления ботами на основе анализа их поведения. Она защищает веб-сайты, мобильные приложения и API от автоматических атак, предотвращает финансовые потери, снижает риск утечки данных и повышает эффективность работы инфраструктуры предприятия.

 

Рисунок 11. Мониторинг трафика в PerimeterX Bot Defender

Мониторинг трафика в PerimeterX Bot Defender

 

В системе есть встроенный модуль PerimeterX Human Challenge, который защищает от ботов прошедших защиту CAPTCHA, а также повышает удобство работы пользователей.

Bot Defender основан на поведенческой аналитике, передовых методах машинного обучения, прогнозных моделях и исследованиях безопасности. Это позволяет ему блокировать широкий спектр автоматизированных атак, сохранять производительность при загрузке страниц, а также оптимизировать ресурсы безопасности и затраты на инфраструктуру.

Достоинства:

  • возможность эшелонированной защиты (веб-сайты, API, мобильные приложения);
  • наличие модуля PerimeterX Human Challenge для защиты от усовершенствованных ботов;
  • простота внедрения.

Недостатки:

  • небольшой срок хранения данных в системе.

Более подробная информация о системе размещена на сайте вендора.

 

 

Radware Bot Manager

Radware Bot Manager — комплексное решение для мобильных и веб-приложений, а также API. Оно защищает от нового поколения автоматизированных угроз и ботов, нацеленных на приложения и критические системы, обеспечивает точное и всестороннее управление по всем каналам, сочетая детальный анализ намерений с моделированием поведения на основе данных киберразведки.

Решение для защиты от ботов Radware Bot Manager в режиме реального времени обнаруживает и блокирует сложные человекоподобные боты без нарушения качества сервиса и работы реальных пользователей.

В механизме обнаружения ботов использована фирменная технология глубокого анализа поведения на основе намерений (IDBA), позволяющая отфильтровывать трафик вредоносных ботов c использованием более чем 250 параметров.

 

Рисунок 12. Схема работы системы Radware Bot Manager

Схема работы системы Radware Bot Manager

 

Панель управления Radware Bot Manager — это удобный для пользователя центр администрирования, который предоставляет полный обзор статистики трафика ботов по URL и разделам, сведения о типах атак на веб-ресурсы с полным представлением о трафике по странам. Radware Bot Manager также позволяет пользователю выбирать варианты нейтрализации атак, указанные на рисунке выше.

Менеджер ботов даёт защиту от различных форм захвата учётных записей, мошенничества с картами, DDoS-атак и многого другого. Запатентованная технология анализa намерений с моделированием поведения обеспечивает высокий уровень точности при управлении ботами.

Достоинства:

  • охватывает все автоматизированные угрозы OWASP, включая поведение ботов 3-го и 4-го (крайнего) поколений;
  • не требует перенаправления трафика в облако вендора;
  • есть возможность моделировать поведение угроз на основе данных киберразведки;
  • комплексная отчётность и аналитика в сочетании с удобной панелью администрирования;
  • наличие собственной базы данных «плохих» ботов (включает несколько миллионов записей).

Недостатки:

  • некоторые специалисты технической поддержки находятся в Индии, из-за чего качество телефонной связи не всегда высоко.

Больше информации о продукте Radware можно получить здесь.

 

 

Shape Enterprise Defense

Shape Enterprise Defense от компании Shape Security, которая была приобретена крупным вендором F5 Networks, предлагает комплексную защиту от бот-атак. Платформа определяет в режиме реального времени, поступает ли запрос из нежелательного источника, а затем выполняет определённые правилами действия, такие как блокировка, перенаправление или пометка запроса.

Shape постоянно учится на новых атаках, обеспечивая устойчивую защиту веб-ресурсов от новейших и сложных атак. Возможны четыре варианта внедрения Shape Enterprise Defense в инфраструктуру предприятия: локальная установка, размещение в публичном облаке, размещение в облаке вендора и в виде конечной точки API.

 

Рисунок 13. Мониторинг статистики запросов в Shape Enterprise Defense

Мониторинг статистики запросов в Shape Enterprise Defense

 

Shape Enterprise Defense выходит за рамки традиционной защиты от ботов. Защищая крупнейшие компании в течение нескольких лет, Shape накопила опыт в определении не только того, был ли запрос сделан ботом или человеком, но и того, каким было намерение — враждебным или доброжелательным. Это позволяет предприятиям видеть полный контекст каждой пользовательской транзакции и предотвращать мошенничество в режиме реального времени.

Достоинства:

  • высокотехнологичный продукт (более 50 патентов);
  • использование экспертизы и решений вендора F5.

Недостатки:

  • доступна интеграция с ограниченным количеством систем.

Более подробная информация находится на сайте производителя.

Обзор российских систем защиты от ботов

 

 

Antibot.Cloud

Antibot.Cloud — облачный сервис для защиты сайтов на PHP от «плохих» ботов и парсеров. Он снижает нагрузку на сервер, защищает от спама, взлома и поиска уязвимостей, накрутки показателей, брутфорса, воровства контента и других видов вредоносной активности. С помощью Antibot.Cloud можно построить эффективную защиту, которая доставляет минимальные неудобства пользователям и при этом эффективно справляется с ботовым трафиком.

Также эта система предлагает простую интеграцию (добавление одной строчки кода) в любой веб-ресурс на PHP.

 

Рисунок 14. Окно с общей статистикой в Antibot.Cloud

Окно с общей статистикой в Antibot.Cloud

 

Этот антибот не является средством защиты от DDoS и не служит альтернативой таким сервисам, но тем не менее может использоваться как дополнение к ним и работать совместно с ними.

Antibot.Cloud несовместим со скриптами кеширования, у которых проверка кеша происходит на уровне Nginx или .htaccess.

Достоинства:

  • невысокая стоимость;
  • простота внедрения.

Недостатки:

  • поддержка веб-ресурсов только на PHP.

Больше информации о продукте можно получить на сайте вендора.

 

 

BotFAQtor

Сервис BotFAQtor позволяет анализировать весь трафик на сайте и даёт возможность блокировать боты ещё до загрузки страницы. Также доступны настройки блокировки по различным параметрам: посадочным страницам, геолокации, источникам и пр.

С помощью этого сервиса можно анализировать посещения на сайте и блокировать некачественный трафик по различным критериям, источникам и типам визитов благодаря универсальному конструктору. Блокировка ботов или нецелевых посетителей помогает экономить рекламный бюджет и не снижать эффективность бизнеса.

 

Рисунок 15. Окно со статистикой в BotFAQtor

Окно со статистикой в BotFAQtor

 

Для того чтобы можно было регистрировать и анализировать трафик, необходимо добавить на сайт код защиты. Он представляет собой сценарий на JavaScript и устанавливается аналогично коду «Яндекс.Метрики» или Google Analytics, абсолютно безопасен и не нагружает страницы веб-ресурса.

Достоинства:

  • возможность анализа трафика по более чем 100 техническим и поведенческим параметрам;
  • возможность использования функции сокращения ссылок для защиты от ботов;
  • возможность разделения информации в отчётах на различные категории трафика.

Недостатки:

  • нет информации об интеграции с другими системами.

Детальнее ознакомиться с этим сервисом можно на сайте производителя.

 

 

Bot Mitigation

Сервис Bot Mitigation, предлагаемый компанией DDoS-Guard, предоставляется с базовой услугой по защите от DDoS-атак и позволяет обезопасить интернет-ресурсы от таких атак ботов, как «скликивание», воровство контента, скупка билетов, поиск уязвимостей, а также накопление (фарминг) игровых валют.

Bot Mitigation применяет комбинацию из различных механизмов для эффективного обнаружения бот-атак: интеллектуальный и поведенческий сканеры, машинное обучение, применение различных правил и обеспечение валидации пользователя.

 

Рисунок 16. Схема работы сервиса Bot Mitigation от DDoS-Guard

Схема работы сервиса Bot Mitigation от DDoS-Guard

 

Для управления настройками сервиса предоставляется доступ к личному кабинету. Также в нём доступны возможности для анализа и отчётности по различным действиям ботов.

Достоинства:

  • возможность использования других сервисов вендора, таких как WAF, защита от DDoS-атак и т. д.;
  • наличие собственной инфраструктуры с фильтрующими узлами в разных точках мира;
  • возможность разделения информации в отчётах на различные категории трафика.

Недостатки:

  • возможна недоступность веб-ресурса, вызванная циклическим редиректом, происходящим при обращении к сайту.

Более подробная информация о сервисе размещена на сайте производителя.

 

 

Group-IB Fraud Hunting Platform

Система Fraud Hunting Platform от компании Group-IB предназначена для предотвращения онлайн-мошенничества в режиме реального времени, а также для защиты от вредоносных ботов и включает в себя несколько модулей: Web Snippet и Mobile SDK (сбор информации о поведении и окружении пользователя в веб-канале, в т. ч. в мобильном приложении), Preventive Proxy (выявление и блокирование бот-активности на основе анализа собранных модулями Web Snippet или Mobile SDK параметров), Processing Hub (центр управления с инструментами для корреляции и анализа данных о поведении и окружении, разбора угроз и кросс-канального изучения событий).

 

Рисунок 17. Центр управления Fraud Hunting Platform

Центр управления Fraud Hunting Platform

 

После включения защиты все сетевые запросы проходят через модуль Preventive Proxy. Он реагирует на каждый сетевой запрос из мобильного или веб-приложения. На основе анализа параметров окружения и поведения человека или бота, собранных модулями Web Snippet или Mobile SDK, определяется, каким приложением сгенерирован запрос.

При этом запросы не из браузера или из нелегитимных мобильных приложений блокируются моментально, даже если сессионные токены используются повторно (cookie stuffing). Боты, которые запускают официальные мобильные и веб-приложения и эмулируют работу пользователей, определяются по анализу поведения и тоже сразу блокируются. Запросы от легитимных ботов или пользователей проходят без задержек.

Достоинства:

  • патентованная технология непрерывной защиты от бот-активности, реализующей подход Zero Trust;
  • эшелонированная защита (веб-сайты, API, мобильные приложения) как от простых shell-ботов, так и от усовершенствованных, имитирующих поведение легитимного пользователя;
  • комплексная высокотехнологичная система защиты от мошеннических действий;
  • наличие у вендора большого экспертного опыта по исследованию киберпреступности, в том числе мошенничества, реагированию и расследованию инцидентов.

Недостатки:

  • решение в первую очередь предназначено для Enterprise-сегмента;
  • отсутствие опции самостоятельного подключения системы защиты.

Более подробная информация о системе размещена здесь.

 

 

Qrator Bot Protection

Система защиты от бот-атак Qrator Bot Protection основана на платформе фильтрации трафика и работает в тесной связке с защитой от DDoS-атак на прикладном уровне. Поиск вредоносной активности и распознавание ботов происходят как на основе анализа запросов пользователей, так и при помощи цифрового отпечатка, который формируется с помощью активных проверок. Qrator Bot Protection позволяет обнаруживать не только скриптовые реализации ботов, но и попытки представиться полноценным веб-браузером, использующим современные инструменты автоматизации. Такой подход даёт возможность блокировать вредоносные источники с первого же отправленного ими запроса.

 

Рисунок 18. Интерфейс Qrator Bot Protection

Интерфейс Qrator Bot Protection

 

Анализ и реагирование на обнаруженные угрозы происходят в полностью автоматическом режиме и не требуют привлечения профильных специалистов заказчика. Возможности конфигурации позволяют учитывать структуру защищаемого приложения и выполнять нужные типы проверок для разных его компонентов, а общая с распределённой системой фильтрации Qrator AntiDDoS технологическая платформа обеспечивает прозрачность схемы для легитимных пользователей и минимальное добавочное время обработки трафика. Qrator Bot Protection обеспечивает защиту не только веб-сайтов, но и мобильных приложений.

Достоинства:

  • наличие дополнительной защиты от DDoS-атак на прикладном уровне;
  • автоматический режим действий по анализу и реагированию на обнаруженные угрозы;
  • прозрачность для легитимных пользователей — отсутствие компонентов, которые влияют на взаимодействие с сайтом: экранов ожидания, CAPTCHA и т. п.;
  • защита от парсинга, перебора логинов и паролей (брутфорса), эксплуатирования нагруженных компонентов сайта.

Недостатки:

  • в настоящий момент нет API для управления конфигурацией.

Более подробная информация о системе размещена на сайте вендора.

 

 

«Гарда Антиботнет»

Аппаратно-программный комплекс (АПК) «Гарда Антиботнет» от разработчика «Гарда Технологии» позволяет выявлять вредоносную активность в трафике мобильных абонентов в реальном времени, записывает фрагменты вредоносного потока данных для последующего анализа и предоставляет инструменты для поддержки расследования инцидентов. Система помогает специалистам обнаруживать фрагменты трафика и кода для анализа и декомпиляции вредоносных программ, внедрённых в телефоны.

«Антиботнет» выявляет вредоносную активность в трафике методом сигнатурного анализа. Комплекс использует формат правил Suricata, с помощью которого можно описать угрозу на уровнях модели OSI с третьего по седьмой. Этот формат поддерживается различными поставщиками Threat Intelligence.

 

Рисунок 19. Журнал вредоносной активности в комплексе «Антиботнет»

Журнал вредоносной активности в комплексе «Антиботнет»

 

Система включает в себя отдельные сенсоры для гарантированного сбора данных с сетевого оборудования филиала, проведения базовой агрегации и фильтрации с целью уменьшения нагрузки на сети передачи данных. Управление всеми компонентами «Гарда Антиботнета» осуществляется через единый веб-интерфейс управления на сервере централизованного доступа.

Комплекс также предлагает возможности по интеграции со внешними системами посредством управления наборами правил через API или синхронизации файлов с помощью протокола SFTP.

Система поставляется с заданным списком бот-сетей. С помощью политик в системе фиксируются все обращения к этим сетям. Со внедрением пользовательских скриптов блокировка происходит автоматически.

Достоинства:

  • возможность обнаружения фактов вредоносной активности в абонентском трафике на основе сигнатур в режиме реального времени;
  • возможность управления сигнатурами вредоносного трафика, контроль версий сигнатур;
  • возможность экспорта информации во внешние системы;
  • возможность записи фрагментов вредоносного трафика для последующего анализа.

Недостатки:

  • отсутствует вариант использования продукта без установки аппаратных модулей в инфраструктуре.

Больше информации о продукте находится на сайте вендора.

Выводы

Трудно не согласиться с мнением экспертов, что проблема вредоносных ботов никуда не денется в обозримом будущем. Сами боты становятся всё более совершенными и сложными. Если раньше с ними справлялись с помощью простейших механизмов вроде CAPTCHA, скрытых полей и оценки времени заполнения форм, то сейчас этих инструментов уже недостаточно и требуются более сложные и совершенные системы, основанные на анализе трафика, создании цифровых отпечатков устройств и применении поведенческих механизмов.

Необходимо отметить, что большинство продуктов, представленных на рынке, — зарубежные. Количество российских представителей этого сегмента не так велико, но постепенно увеличивается. Большая часть отечественных систем предоставляется заказчикам по сервисной модели.

Как уже было сказано, количество ботов растёт с каждым годом, причём это касается как легитимных и полезных ботов, так и опасных. Поэтому применение специализированных решений для управления ботами и защиты от них является неизбежной необходимостью, а их востребованность будет только возрастать, как верно подметили участники эфира AM Live, посвящённого теме защиты от вредоносных ботов. Также будет по-прежнему актуальной проблема отделения «хороших» ботов и обычных пользователей от вредоносных программ: ведь нужно соблюсти баланс между безопасностью, доступностью веб-ресурсов и качеством предоставляемых услуг.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru