Роман Иванченко, RED Security: Для выявления «умных» ботов используем поведенческий анализ

Роман Иванченко, RED Security: Для выявления «умных» ботов используем поведенческий анализ

Роман Иванченко, RED Security: Для выявления «умных» ботов используем поведенческий анализ

Роман Иванченко

Руководитель направления «Antibot» компании RED Security

В 2006 году окончил экономический факультет Воронежского государственного университета. В 2023 году пришёл в компанию RED Security, где занимается развитием сервиса кибербезопасности RED Security Antibot и направления NGFWaaS. Ранее работал в компании Cloud.ru — провайдере облачных и ИИ-технологий, где отвечал за развитие сервисов защиты от DDoS-атак, защиты веб-приложений, мониторинга инфраструктуры и реагирования на киберугрозы, анализа защищённости и др.

...

Компания RED Security выпустила на рынок свой новый сервис по защите веб-сайтов и API мобильных приложений от воздействия вредоносных ботов — RED Security Antibot. Зачем и для кого создавался этот сервис, из каких компонентов он состоит и в чём его преимущества — узнаем у руководителя направления «Antibot» компании RED Security Романа Иванченко.

Насколько актуальна для современного бизнеса угроза со стороны вредоносных ботов? К каким последствиям для компаний может привести их активность? Есть ли какие-то примеры реальных атак с подробностями и последствиями?

Р. И.: Для любой компании, которая ведёт бизнес в интернете, в последнее время ярко проявляется угроза со стороны вредоносных ботов. Они могут покупать товары в интернет-магазинах, атаковать личные кабинеты, взламывать пароли, красть персональные данные и реквизиты банковских карт. 

Для сферы ретейла актуальна угроза срыва акций, которые сопровождаются необходимостью получения СМС-кода через запросы с мобильного телефона. Боты устраивают атаку, отправляя большое количество СМС-запросов, при этом заказчики теряют много денег, так как каждое сообщение — платное. Есть некоторые средства защиты со стороны оператора, которые ограничивают количество запросов в течение часа, но боты обходят это ограничение, исчерпывают весь лимит, при этом ни один пользователь не может получить сообщение, с помощью которого мог бы подтвердить скидку в своём личном кабинете.

Эта угроза актуальна и для владельцев приложений. Любая регистрация пользователя в мобильном приложении начинается с подтверждения авторизации сообщением, которое отправляют операторы на его смартфон. Также актуальна угроза копирования информации с сайтов заказчиков. Допустим, компания хочет устроить акцию в интернет-магазине. Как только она снижает цену на товар, информация об этом появляется у конкурентов, после чего её можно использовать в различных целях.

Боты также могут искажать SEO-аналитику для веб-ресурса, нагружая его запросами. Владелец сайта видит, что у него якобы большое количество посетителей, а по факту их нет.

Злоумышленники не стоят на месте, используемые ими инструменты атак постоянно развиваются. Например, в последнее время всё большее распространение получают так называемые «умные» боты — алгоритмы на основе ИИ, способные обойти защиту от фишинга и получить учётные данные сотрудников для дальнейшего проникновения в инфраструктуру. Что этому может противопоставить сторона защиты?

Р. И.: Для решения этой проблемы в нашем сервисе применяются многофакторные методы анализа трафика, в том числе поведенческий анализ, машинное обучение. Злоумышленники стали использовать нейросети и обучать своих ботов, пытаются скрыться от средств защиты. Мы применяем ИИ для анализа поступающего на веб-ресурсы трафика. Эта передовая технология постоянно анализирует запросы, актуализирует сигнатуры, релевантные для защищаемого ресурса в данный момент. Так мы стоим на страже и защищаем сайты наших заказчиков. 

Что собой представляет сервис защиты от ботов? Из каких компонентов он состоит?

Р. И.: Сервис включает в себя большой программно-аппаратный комплекс, который представляет собой систему фильтрации. Важно понимать, что бот — это программное обеспечение, написанное хакерами. Это не какой-то код, который мы видим в телеграм-канале, когда нам отвечает чат-бот на основе заложенной логики запросов. Это программное обеспечение, которое создано для автоматизации рутинных действий или достижения мгновенной реакции, которую человек не может обеспечить. Также их используют для удешевления атаки: воздействие программным обеспечением обходится дешевле, чем использование ручного и интеллектуального труда хакера.

Сервис проводит статистический анализ и поиск аномалий во входящем трафике, поступающем на защищаемый ресурс. Затем выполняется технический анализ: выявляется характер подключения к сайту со стороны пользователя, весь небраузерный трафик является для системы признаком бота. В рамках технического анализа мы видим, какой браузер используется, какая операционная система установлена на компьютере. Хакеры скрывают такие характеристики в своих вредоносных программах, поэтому не могут пройти подобную элементарную проверку.

Для выявления более умных ботов мы используем поведенческий анализ и актуализируем базы сигнатур. Наш искусственный интеллект постоянно обучается на основе созданных правил и модифицирует сигнатуры. На основе этих правил принимается решение о легитимности запроса. Наша цель — сохранить доступ к сайту для пользователей и не создавать сложности при взаимодействии с ним.  Поэтому система фильтрации RED Security Antibot работает постепенно: анализирует первый запрос, а на втором-третьем принимает решение.

 

 

Компаниям из каких сфер такой сервис необходим прежде всего?

Р. И.: Любая сфера бизнеса, где важную роль играет сайт или мобильное приложение. Для всех подберём оптимальное решение, которое им подойдёт, будь то начинающий, средний или крупный бизнес.

В чём заключаются основные преимущества вашего сервиса для заказчиков?

Р. И.: Накоплен большой опыт, сервис предоставляется в сотрудничестве с нашим партнёром, который уже более пяти лет совершенствует эту систему в защите от бот-атак. Сервис давно отлажен, опробован у действующих клиентов партнёра, а также на этапах тестирования. Инфраструктура этого сервиса — отказоустойчивая и геораспределённая, она обеспечивает высокий уровень SLA. 

Можете ли вы привести примеры успешного использования антибот-сервисов для защиты веб-ресурсов компаний от вредоносных ботов?

Р. И.: Самый распространённый кейс — защита ретейла. Многие компании подвергаются СМС-атакам, большинство представителей этой сферы уже воспользовались защитой от вредоносных ботов. 

Часто вспоминается двухлетней давности опыт одной каршеринговой компании, чьё приложение страдало от атак ботов. Многие пользователи, арендовавшие машины, не могли их закрыть или открыть. Машина отображалась на карте, но сделать с ней ничего было нельзя, а компания теряла деньги. Атака отбивалась долго, поэтому потери были серьёзными. Кардинально решить проблему компании удалось лишь после подключения системы защиты от ботов.

Как быстро подключиться к сервису, что для этого нужно и кто нужен?

Р. И.: Сервис подключается быстро, интеграция со стороны ресурса заказчика не требуется. Мы настраиваем сетевые маршруты, взаимодействуя с веб-ресурсом. Подключать можем в том числе ресурсы находящиеся под атакой. Систему фильтрации не нужно обучать, она начинает анализировать трафик с первого запроса после подключения. Для защиты мобильного приложения необходимо два-три дня обучения. 

Что требуется со стороны заказчика?

Р. И.: Требуется минимальный уровень технической готовности. Также со стороны заказчика нужен работник, который проверит стабильность работы сайта и обновит записи в DNS.

Не замедляет ли сервис работу веб-ресурсов?

Р. И.: Задержки минимальны и незначительны для пользователей. Другие схожие сервисы защиты дают большие задержки, чем RED Security Antibot. Решение о блокировке вредоносного запроса принимается в считаные миллисекунды, поэтому работа сервиса абсолютно незаметна для пользователя.

Какие перспективы развития подобных сервисов вы видите в ближайшем будущем?

Р. И.: Мы будем развивать машинное обучение, которое поможет проще и быстрее отбиваться от хакерских атак. Искусственный интеллект даст нам больше преимуществ.

Совпадают ли пути развития сервисов в России и за рубежом?

Р. И.: У нас похожие подходы. Каждая компания — поставщик таких решений ищет новые пути выявления ботов. Современные передовые боты зачастую не пытаются взломать код, получить доступ к базе данных и операционной системе, загрузить и запустить вредоносный файл в рамках обрабатываемого контента.

 Хакеры стремятся применять те легитимные методы, которые не отличают их ПО от действий реального пользователя. Поэтому мы будем придумывать новые методы анализа, помогающие выявлять такие программные средства, которые замедляют работу сайта, искажают SEO-аналитику и всячески пытаются навредить компании

Многие заказчики сейчас используют сервисный подход и подключение на уровне SaaS-модели предоставления услуги. И в России, и за рубежом некоторые компании применяют гибридную модель, когда часть компонентной структуры сервиса размещается у заказчика (on-premise) с целью оптимизации трафика и ускорения процессов. При этом она так же, как сервисная модель, зависима от инсталляции в облаке, потому что весь анализ, модификация сигнатур и использование ИИ возможны только в SaaS-модели.

Можно ли предположить, что в будущем вредоносные боты станут использоваться в APT-атаках?

Р. И.: Уже сейчас боты часто применяются в начале атаки или играют роль отвлекающего фактора. Они проводят сканирование сайта на предмет уязвимостей, выявляют слабые места, собирают отчёты и передают их хакерам. Если говорить о глобальной атаке, то хакер может её проводить как без участия ботов, так и параллельно отвлекая ботами — с помощью СМС-атак и перегрузки ресурса запросами.

Каковы ваши дальнейшие планы по развитию сервиса?

Р. И.: Далеко планировать пока рано, сервис ещё молод. При этом те компании, которые плотно занимаются этим направлением, уже достигли высоких результатов. Сначала с ботами пытались бороться при помощи механизма JSON Challenge: отправляли JSON-запрос на языке JavaScript и если получали ответ, то считали, что это легитимный пользователь, а программное обеспечение ботов такую проверку не проходило. Методы анализа использовались весьма простые. Сейчас они — более сложные: выявляются поведенческие характеристики взаимодействия бота с сайтом и его нелегитимная активность. Будем развивать эти направления и улучшать своё ПО.

Что вы хотите пожелать заказчикам, будущим партнёрам и чего нам ждать в 2025 году?

Р. И.: Хотелось бы, чтобы каждый заказчик провёл праздники спокойно, средства защиты отрабатывали стабильно, его не беспокоили. Для этого есть сервис-провайдеры, которые всегда стоят на страже.

Что пожелаете себе, своей компании и всей сфере ИБ?

Р. И.: Спокойствия. Когда система фильтрации работает самостоятельно в автоматическом режиме, атаки на ресурсы не прорываются, не останавливают работу бизнес-инфраструктуры — это главный залог стабильности бизнеса.

Роман, спасибо за интересное интервью! Желаем вам дальнейших успехов в борьбе с вредоносными ботами, совершенствовании своего сервиса и защите ваших заказчиков!