Захист вiд ботiв без шкоди для бiзнесу. Теорiя та приклади впровадження рiзноманiтних механiзмiв
2020-09-04, 15:30–16:10, Main stream

Захист від ботів без шкоди бізнесу


Привіт, я Ігор,
Останні пару років працюю на позиції Application Security Engineer в продуктовій компанії. Продукт над яким працює компанія - це розважальна платформа, що є одним з лідерів на ринку СНД, Кіпра та інших країн.

Однією з найбільших проблем з точки зору безпеки для такої платформи є різноманітні атаки з використанням мереж ботів, а найбільшим викликом - як побудувати систему захисту не вплинувши на досвід реальних клієнтів.

Проте за останній рік мені вдалося у сотні раз скоротити активність ботів без будь-якого впливу на реальних користувачів, при тому що під час деяких атак доводилось вибудовувати системи захисту від десятків тисяч атакуючих хостів одночасно, а кількість запитів на L7 в декілька мільйонів.

Під час доповіді хочу поділитися своїм досвідом та розповісти:
- Що таке боти і які цілі вони переслідують
- Як може бути використана специфіка того чи іншого бізнесу
- Як виявляти діючих ботів
- Як вибудовувати захист від кожної окремої групи ботів, на прикладі:
1. Bruteforce: форм логіну, реєстрації та відновлення паролю
2. Application DoS
3. Scrapping, наприклад публічного контенту, що має цінність для конкурентів (опис товарів, цінові показники товарів і подібне) або за для фішингових цілей;
4. Bonus-hunters, що намагаються заробити на бонусній системі
5. Атаки на web-форми, наприклад форму SMS-підтвердженням, для відправлення SMS на платні номери
Які інструменти використовувати:
- Fingerprint - унікальний токен окремого девайсу що генерується на фронті виходячи з таких параметрів як user-agent / броузер / розмір екрану в пікселях / geo / мова (локаль) / доступні шрифти / наявні в браузері застосунки (extensions) / etc
- Captcha (у т.ч. reCAPTCHA та Invisible reCAPTCHA)
- Rate limiting ( по IP / IP + geo / IP + User-agent + IP / Кількість запитів з девайсу на форму та інше)
- Комерційні рішення: WAF та анти-бот (без назв конкретних продуктів, виключно щоб показати, що автоматизується такими рішеннями, про їх AI та наявність в них інформації про різноманітні "бот" AS / IP / провайдери та інше.)
- Поведінковий аналіз клієнтів
- Аналіз трафіку ще до L7, наприклад за допомогою JA3
- Використання Device-cookie для покращення досвіду клієнта без впливу на його безпеку
- Як комбінувати різноманітні техніки

1990 - родился
В секьюрити 7 лет
AppSec-аю 2 года