Запобігання атакам типу ATO. Частина 4: обмеження швидкості
Запобігання атакам типу ATO. Частина 4: обмеження швидкості
Megatrade пропонує четверту та останню статтю на тему протидії атакам типу АТО. У цьому матеріалі розглядається ще один ефективний інструмент — обмеження швидкості. Про етапи, типи, методи виявлення АТО-атак читайте в частині 1. Про багатофакторну автентифікацію — в частині 2. Про протидію фішингу — в частині 3.
04.09.2023
За матеріалами Спирос Псарріс (Spiros Psarris), reblaze.com/blog
Захист від атак із захопленням облікових записів (account takeover — ATO) не є простим завданням, оскільки зловмисники можуть застосовувати різні шляхи для їх здійснення. Для нейтралізації цього типу атак потрібна ціла низка заходів.
В попередніх статтях серії «Запобігання атакам ATO» (частина 1, частина 2, частина 3) ми розглянули типи атак АТО та спроби їх виявлення, дослідили багатофакторну автентифікацію та обговорили, як подолати фішингові атаки, що наразі є дуже популярним вектором для АТО. У цьому матеріалі, що є останнім із серії, ми розглянемо життєво важливий, але часто недооцінений інструмент запобігання АТО — обмеження швидкості. Ми обговоримо:
Повинно бути заблоковане саме джерело трафіку, а не лише його IP-адреса. У багатьох вебрішеннях безпека гарантується тільки обмеженням швидкості на основі IP. Проте цього недостатньо для повного захисту від атак ATO, оскільки зміна хакерами IP-адреси сьогодні є звичайною практикою. Зловмисники часто намагаються організовувати свої кампанії АТО різними способами, щоб уникнути виявлення. Докладніше розглянемо це нижче.
До цієї категорії можна віднести кілька напрямів атак АТО. Наприклад, будь-який популярний вебзастосунок часто стикається з невдалими спробами входу від легітимних клієнтів. Це означає, що коли не встановлено обмеження швидкості, атака типу brute-force може залишитися непоміченою. (Навіть у випадку застосування багатофакторної автентифікації, адже введення одразу великого обсягу облікових даних діє як одна з форм DDoS атаки). І навпаки, вхід API може бути захищений завдяки обмеженню швидкості до 10 запитів на хвилину з можливістю автоблокування на одну годину. Без обмеження швидкості зловмисники могли б надсилати тисячі запитів на годину, а з таким обмеженням — лише десять.
Тому обмеження швидкості є важливою складовою захисту від АТО. Завдяки цьому заходу можна блокувати деякі загрози, які могли б залишитися непоміченими. І навіть є можливість пом’якшити вплив невдалих атак.
Гнучкі варіанти реагування. Коли політика обмеження швидкості порушується, водночас із блокуванням порушника рішення безпеки має запропонувати низку можливих реакцій:
Крім того, в адміністратора має бути можливість визначати ситуації, коли зловмисники обійдуть політику безпеки. Як приклад, коли джерело трафіку внесено в білий список або запити мають деякі визначені характеристики (конкретні заголовки, файли cookie, аргументи тощо).
Легке керування. В адміністратора має бути можливість легко налаштовувати політику обмеження швидкості, активувати/дезактивувати їх і, якщо потрібно, установити в режим «лише звітування» (коли порушення реєструються в журналах, але дії у відповідь не запускаються).
Послідовна ідентифікація джерела трафіку. Здебільшого рішення безпеки обмежують швидкість відповідно до IP-адреси, але це можна обійти, просто змінюючи IP-адресу (що зазвичай роблять хакери). Надійне рішення може відстежувати та обмежувати швидкість унікальних клієнтів, навіть коли вони змінюють IP-адреси.
Гнучкі параметри визначення «клієнтів». У типовому використанні обмеження швидкості буде застосовано до окремих клієнтів, тобто окремих запитувачів. Однак у деяких ситуаціях варто звернути увагу на інші критерії. І тому повнофункціональне рішення безпеки повинно підтримувати обмеження швидкості відповідно до геолокації, ідентифікаторів сеансів (склад яких адміністратор визначає самостійно), ідентифікаторів користувачів, заголовків, файлів cookie, аргументів тощо.
Обмеження швидкості на основі подій. Для безпеки недостатньо обмежити надмірну кількість запитів від клієнтів. Крім цього треба обмежити частоту допустимих подій. Наприклад, клієнт, який входить у вебзастосунок, а потім змінює номер ASN кілька разів протягом години, є підозрілим і має викликати відповідну реакцію, навіть якщо кількість запитів не є аномальною. Адміністратори мають визначати події з обмеженням швидкості відповідно до різноманітних критеріїв: будь-яка комбінація заголовків, файлів cookie, аргументів тощо.
Автозаборона. Чимало рішень безпеки пропонують прості методи обмеження швидкості, які можна підсумувати так: «коли клієнт надсилає забагато запитів, треба заблокувати його на певний період часу». Це корисно в деяких ситуаціях, але загалом недостатньо.
Як приклад, швидкість доступу до форми входу обмежена чотирма запитами на хвилину. Зловмисник намагається підібрати логін і надсилає один запит на секунду. Перші чотири запити будуть дозволені, тоді як наступні 56 — заблоковані. Однак через хвилину всі обмеження знімаються, і зловмиснику буде дозволено ще чотири спроби перед тим, як його знову тимчасово заблокують. Цей цикл може тривати стільки часу, скільки забажає зловмисник. Тобто обмеження швидкості не запобігає атаці. Воно сповільнює його із 60 спроб на хвилину до чотирьох.
Хорошим рішенням безпеки буде автозаборона — другий рівень захисту, що ґрунтується на активації політики обмеження швидкості. В адміністраторів має бути можливість налаштувати рішення так, що коли клієнт кілька разів порушує обмеження швидкості, він буде автоматично заблокований, а всі його запити відхилятимуться упродовж визначеного періоду часу.
Обмеження швидкості особливо важливе для подолання спроб ATO, оскільки ці атаки часто складаються із серії окремих запитів, які можуть здаватися доброякісними. Проте, хоча багато рішень безпеки пропонують обмеження швидкості, чимало з них не є повнофункціональними та не можуть забезпечити гнучкість і повний захист, які необхідні сьогодні.
Reblaze — це хмарна, повністю керована платформа WAAP, яка включає розширене обмеження швидкості з усіма описаними вище функціями та іншими можливостями. Це комплексне рішення для веббезпеки, яке гарантує не лише обмеження швидкості, але й WAF наступного покоління, захист від DDoS, керування ботами, безпеку API тощо.
Фахівці Мегатрейд, що є офіційним дистриб’ютором Reblaze в Україні, проконсультують та допоможуть ознайомитися із демонстраційною версією Reblaze — рішенням із вебзахисту нового покоління. Надішліть запит (soft@megatrade.ua) та отримайте консультацію!
Захист від атак із захопленням облікових записів (account takeover — ATO) не є простим завданням, оскільки зловмисники можуть застосовувати різні шляхи для їх здійснення. Для нейтралізації цього типу атак потрібна ціла низка заходів.
В попередніх статтях серії «Запобігання атакам ATO» (частина 1, частина 2, частина 3) ми розглянули типи атак АТО та спроби їх виявлення, дослідили багатофакторну автентифікацію та обговорили, як подолати фішингові атаки, що наразі є дуже популярним вектором для АТО. У цьому матеріалі, що є останнім із серії, ми розглянемо життєво важливий, але часто недооцінений інструмент запобігання АТО — обмеження швидкості. Ми обговоримо:
- що таке обмеження швидкості;
- чому це важливо для захисту від АТО;
- які саме функції обмеження швидкості треба шукати в рішенні веббезпеки. (Адже в багатьох рішеннях пропонується обмеження швидкості, та лише в деяких це робиться правильно).
Що таке обмеження швидкості?
У якісному рішенні WAAP (Web Application and API Protection, тобто захист вебзастосунків і API) відстежується швидкість, з якою клієнти надсилають запити до захищеного серверного середовища. Якщо джерело трафіку надсилає занадто багато запитів протягом визначеного часу, воно має бути заблоковано на певний період.Повинно бути заблоковане саме джерело трафіку, а не лише його IP-адреса. У багатьох вебрішеннях безпека гарантується тільки обмеженням швидкості на основі IP. Проте цього недостатньо для повного захисту від атак ATO, оскільки зміна хакерами IP-адреси сьогодні є звичайною практикою. Зловмисники часто намагаються організовувати свої кампанії АТО різними способами, щоб уникнути виявлення. Докладніше розглянемо це нижче.
Чому це важливо для захисту від АТО?
Обмеження швидкості є важливою складовою сучасної веббезпеки. Є різноманітні вебзагрози, які важко нейтралізувати без такого методу. Це відбувається через те, що деякі запити здаються доброякісними.Тому вони не активують інші способи виявлення загроз. Наприклад, DDoS-атака може складатися з очевидно законних запитів, надісланих у величезній кількості. Тоді як атака на відмову в інвентаризації може бути замаскована під натовп потенційних клієнтів, які взаємодіють із сайтом електронної комерції або туристичним сайтом.До цієї категорії можна віднести кілька напрямів атак АТО. Наприклад, будь-який популярний вебзастосунок часто стикається з невдалими спробами входу від легітимних клієнтів. Це означає, що коли не встановлено обмеження швидкості, атака типу brute-force може залишитися непоміченою. (Навіть у випадку застосування багатофакторної автентифікації, адже введення одразу великого обсягу облікових даних діє як одна з форм DDoS атаки). І навпаки, вхід API може бути захищений завдяки обмеженню швидкості до 10 запитів на хвилину з можливістю автоблокування на одну годину. Без обмеження швидкості зловмисники могли б надсилати тисячі запитів на годину, а з таким обмеженням — лише десять.
Тому обмеження швидкості є важливою складовою захисту від АТО. Завдяки цьому заходу можна блокувати деякі загрози, які могли б залишитися непоміченими. І навіть є можливість пом’якшити вплив невдалих атак.
Функції обмеження швидкості, які варто шукати в рішенні веббезпеки
Багато рішень веббезпеки обладнані інструментами обмеження швидкості. Проте здебільшого продукти, які пропонуються сьогодні, не містять усіх функцій, необхідних для надійного захисту від ATO. Ось найважливіші характеристики, які треба враховувати, порівнюючи рішення.Гнучкі варіанти реагування. Коли політика обмеження швидкості порушується, водночас із блокуванням порушника рішення безпеки має запропонувати низку можливих реакцій:
- перевірка того, що користувач є людиною,
- перевірка запиту з додаванням тегів відповіді в журнали,
- передача запита для моніторингу в реальному часі під час позначення,
- передача запита для обробки вищим сервером під час додавання заголовка,
- повернення користувацьких кодів клієнту тощо.
Крім того, в адміністратора має бути можливість визначати ситуації, коли зловмисники обійдуть політику безпеки. Як приклад, коли джерело трафіку внесено в білий список або запити мають деякі визначені характеристики (конкретні заголовки, файли cookie, аргументи тощо).
Легке керування. В адміністратора має бути можливість легко налаштовувати політику обмеження швидкості, активувати/дезактивувати їх і, якщо потрібно, установити в режим «лише звітування» (коли порушення реєструються в журналах, але дії у відповідь не запускаються).
Послідовна ідентифікація джерела трафіку. Здебільшого рішення безпеки обмежують швидкість відповідно до IP-адреси, але це можна обійти, просто змінюючи IP-адресу (що зазвичай роблять хакери). Надійне рішення може відстежувати та обмежувати швидкість унікальних клієнтів, навіть коли вони змінюють IP-адреси.
Гнучкі параметри визначення «клієнтів». У типовому використанні обмеження швидкості буде застосовано до окремих клієнтів, тобто окремих запитувачів. Однак у деяких ситуаціях варто звернути увагу на інші критерії. І тому повнофункціональне рішення безпеки повинно підтримувати обмеження швидкості відповідно до геолокації, ідентифікаторів сеансів (склад яких адміністратор визначає самостійно), ідентифікаторів користувачів, заголовків, файлів cookie, аргументів тощо.
Обмеження швидкості на основі подій. Для безпеки недостатньо обмежити надмірну кількість запитів від клієнтів. Крім цього треба обмежити частоту допустимих подій. Наприклад, клієнт, який входить у вебзастосунок, а потім змінює номер ASN кілька разів протягом години, є підозрілим і має викликати відповідну реакцію, навіть якщо кількість запитів не є аномальною. Адміністратори мають визначати події з обмеженням швидкості відповідно до різноманітних критеріїв: будь-яка комбінація заголовків, файлів cookie, аргументів тощо.
Автозаборона. Чимало рішень безпеки пропонують прості методи обмеження швидкості, які можна підсумувати так: «коли клієнт надсилає забагато запитів, треба заблокувати його на певний період часу». Це корисно в деяких ситуаціях, але загалом недостатньо.
Як приклад, швидкість доступу до форми входу обмежена чотирма запитами на хвилину. Зловмисник намагається підібрати логін і надсилає один запит на секунду. Перші чотири запити будуть дозволені, тоді як наступні 56 — заблоковані. Однак через хвилину всі обмеження знімаються, і зловмиснику буде дозволено ще чотири спроби перед тим, як його знову тимчасово заблокують. Цей цикл може тривати стільки часу, скільки забажає зловмисник. Тобто обмеження швидкості не запобігає атаці. Воно сповільнює його із 60 спроб на хвилину до чотирьох.
Хорошим рішенням безпеки буде автозаборона — другий рівень захисту, що ґрунтується на активації політики обмеження швидкості. В адміністраторів має бути можливість налаштувати рішення так, що коли клієнт кілька разів порушує обмеження швидкості, він буде автоматично заблокований, а всі його запити відхилятимуться упродовж визначеного періоду часу.
Висновок
У поточному середовищі загроз обмеження швидкості є важливим інструментом для ефективного захисту. Цей спосіб нейтралізує багато загроз, що можуть пропустити інші технології безпеки.Обмеження швидкості особливо важливе для подолання спроб ATO, оскільки ці атаки часто складаються із серії окремих запитів, які можуть здаватися доброякісними. Проте, хоча багато рішень безпеки пропонують обмеження швидкості, чимало з них не є повнофункціональними та не можуть забезпечити гнучкість і повний захист, які необхідні сьогодні.
Reblaze — це хмарна, повністю керована платформа WAAP, яка включає розширене обмеження швидкості з усіма описаними вище функціями та іншими можливостями. Це комплексне рішення для веббезпеки, яке гарантує не лише обмеження швидкості, але й WAF наступного покоління, захист від DDoS, керування ботами, безпеку API тощо.
Фахівці Мегатрейд, що є офіційним дистриб’ютором Reblaze в Україні, проконсультують та допоможуть ознайомитися із демонстраційною версією Reblaze — рішенням із вебзахисту нового покоління. Надішліть запит (soft@megatrade.ua) та отримайте консультацію!
Запобігання атакам типу ATO. Частина 1: етапи, типи, методи виявлення
Запобігання атакам типу ATO. Частина 2: багатофакторна автентифікація
Запобігання атакам типу ATO. Частина 3: протидія фішингу
Reblaze — кіберзахист нового покоління для сайтів, вебзастосунків, сервісів та API
Cloudflare VS Reblaze: порівняння платформ