Una botnet è una raccolta di migliaia o milioni di computer o dispositivi infettati da malware che funzionano come singoli bot diretti a eseguire una serie di attacchi informatici. Le botnet sono controllate da un server C2 (Command and Control) e sono spesso coinvolte in attacchi DDoS su larga scala, cryptomining illecito e attacchi di credential stuffing.
Il traffico di bot o botnet è il traffico generato da programmi informatici automatizzati, comunemente noti come bot. I bot vengono utilizzati per inviare traffico automatizzato ai siti web, spesso per manipolare le classificazioni dei motori di ricerca o eseguire altre attività dannose. Le botnet sono reti di computer utilizzate per eseguire attacchi su larga scala, come gli attacchi DDoS (Distributed Denial-of-Service).
Le sfide che comporta il traffico di botnet, anche proveniente da bot legittimi
Il traffico dei bot continua a confondere le organizzazioni di grandi e piccole dimensioni. I bot, o le botnet (gruppi di bot collegati in rete per agire per uno scopo), stanno diventando una parte sempre maggiore di traffico per molte proprietà web. Ad esempio, le botnet dannose possono inviare centinaia di migliaia di richieste a siti web e app mobili in periodi di tempo molto brevi. A volte questo traffico proviene da bot che agiscono in modo dannoso, dal prendere di mira le vulnerabilità del software alla conduzione di attacchi DDoS e di forza bruta e altri comportamenti di abuso.
Gran parte del traffico di botnet dannoso oggi è dedicato agli attacchi di stuffing, in cui i criminali tentano di ottenere l'accesso non autorizzato agli account utente o cliente utilizzando credenziali rubate. Una botnet con un esercito di computer compromessi o infetti può eseguire centinaia di migliaia di tentativi di accesso all'ora, utilizzando combinazioni di nome utente e password note per essere valide su altri siti. Poiché molte persone riutilizzano le password su siti web, gli autori di attacchi riescono spesso a utilizzare il traffico di botnet per ottenere l'accesso agli ambienti IT, impossessandosi di account per rubare denaro e dati e commettendo altri tipi di frode.
Mitigare il traffico di botnet è difficile, poiché l'avvio di più richieste di accesso non comporta schemi facilmente identificabili e bloccabili. Fortunatamente, Akamai offre diverse soluzioni per la sicurezza dei bot in grado di rilevare e mitigare efficacemente i bot e il traffico di botnet, senza compromettere le performance per gli utenti legittimi.
Il ruolo del traffico di botnet negli attacchi di credential stuffing
Gli attacchi di credential stuffing sono molto redditizi per i criminali informatici. Le credenziali di accesso che sono state esposte in una violazione dei dati sono facilmente disponibili per l'acquisto sul dark web. Le botnet facilitano per un criminale l'utilizzo di migliaia di credenziali su migliaia di siti web migliaia di volte al giorno, ottenendo infine una lauta ricompensa riuscendo ad accedere al sito.
Una volta che un nome utente e una password sono risultati validi su un sito o un'app web specifici, gli autori di attacchi possono accedere per impossessarsi dell'account o vendere le credenziali ad altri criminali informatici per effettuare acquisti, trasferire denaro, rubare dati o lanciare attacchi informatici più grandi dall'interno dell'ambiente informatico.
La difesa dal credential stuffing richiede tecniche di rilevamento della mitigazione dei bot in grado di riconoscere con precisione il traffico dannoso e bloccare l'attività delle botnet, senza falsi positivi che bloccano inavvertitamente anche gli utenti legittimi. La sfida è che le richieste di accesso in un attacco di credential stuffing possono essere difficili da riconoscere, poiché le credenziali verificate rappresentano richieste valide.
Con la sempre maggiore efficacia della tecnologia anti-bot, anche gli operatori di bot sono diventati abbastanza abili nell'evolvere i loro attacchi botnet per eludere il rilevamento. Per proteggere un'organizzazione, i team addetti alla sicurezza necessitano di sistemi di rilevamento delle botnet in grado di adattarsi tanto rapidamente quanto gli autori di attacchi. Akamai sa come fare.
Blocco delle botnet con Akamai Account Protector
Akamai Account Protector fornisce protezione dal traffico di botnet e dai tentativi di accesso fraudolenti. Questa tecnologia Akamai è progettata per rilevare gli impostori e bloccare i bot sull'edge, consentendo al tempo stesso ai clienti di farcela senza incontrare ulteriori problemi.
Account Protector utilizza una varietà di tecniche per apprendere il comportamento dei legittimi proprietari di account, come i tipi di dispositivi che tendono a utilizzare, nonché gli indirizzi IP tipici, le reti, le posizioni e la frequenza e l'ora degli accessi. Dopo aver sviluppato i profili dei singoli utenti o di gruppi di utenti, Account Protector esamina ogni nuova richiesta di autenticazione per rilevare qualsiasi variazione dal comportamento normale, alla ricerca di anomalie che potrebbero essere segnali di frode o credential stuffing. Quando una richiesta è ritenuta sospetta o illegittima, Account Protector applica automaticamente la risposta appropriata in tempo reale, senza influire sull'experience dei clienti reali o dei proprietari degli account.
Le principali funzionalità includono:
- Punteggio di rischio delle sessioni utente in tempo reale. Account Protector esamina i segnali di rischio e fiducia durante l'autenticazione in tempo reale per valutare il rischio che la richiesta non provenga da un utente legittimo dell'account.
- Profili. Account Protector crea un profilo comportamentale per i singoli utenti e i gruppi di utenti e li aggrega in un profilo di popolazione in cui le variazioni di comportamento possono essere confrontate con l'intera popolazione di utenti per un migliore rilevamento delle anomalie.
- Reputazione delle fonti. Questa funzione valuta la reputazione delle fonti sulla base delle attività dannose osservate in precedenza fra tutti i clienti Akamai, inclusi molti dei più grandi e trafficati siti web a livello mondiale.
- Directory dei bot noti. La directory dei bot noti di Akamai consente di rispondere in modo rapido e appropriato al traffico di bot e botnet.
- Rilevamenti di bot sofisticati. Utilizzando una varietà di modelli e tecniche di intelligenza artificiale e apprendimento automatico, Akamai rileva i bot sconosciuti sin dalla prima interazione.
- Analisi e creazione di rapporti. Akamai Account Protector può analizzare l'attività sui singoli endpoint, indagare su uno specifico utente o riesaminare gli utenti in base al livello di rischio. Statistiche di alto livello e analisi dettagliate possono essere importate negli strumenti SIEM (Security Information and Event Management) per un migliore rilevamento delle frodi.
Controllate il traffico di bot con Akamai Bot Manager
Akamai fornisce una protezione aggiuntiva contro il traffico di botnet in Bot Manager, una soluzione di gestione dei bot con funzionalità di rilevamento e mitigazione senza pari.. Utilizzando molteplici tecnologie brevettate, Bot Manager rileva e mitiga i bot nel momento del contatto iniziale, senza permettere che raggiungano i siti web. Le informazioni dei ricercatori di intelligence sulle minacce di Akamai vengono integrate automaticamente nei rilevamenti e nelle analisi di Bot Manager.
Bot Manager apprende come rilevare il traffico di botnet raccogliendo dati sul "traffico pulito" da un'ampia distribuzione di tipi di dati. Osservando dati puliti su modelli di traffico di rete, tipi di traffico e volume di traffico, Bot Manager combina in modo olistico i trigger di rilevamento per assegnare a ogni richiesta un Bot Score. I punteggi elevati indicano che una richiesta è generata da un bot e dovrebbe essere mitigata. I punteggi bassi suggeriscono che la richiesta proviene da un essere umano e può essere osservata o monitorata. Le richieste nella "zona grigia" intermedia possono essere affrontate con sfide innovative che rallentano gli attacchi bot incrementando i costi per i criminali.
Domande frequenti (FAQ)
Il traffico di bot o botnet è il traffico generato da programmi informatici automatizzati, comunemente noti come bot. I bot vengono utilizzati per inviare traffico automatizzato ai siti web, spesso per manipolare le classificazioni dei motori di ricerca o eseguire altre attività dannose. Le botnet sono reti di computer utilizzate per eseguire attacchi su larga scala, come gli attacchi DDoS (Distributed Denial-of-Service).
Un bot è un programma per computer progettato per funzionare in modo indipendente, eseguendo una serie di attività specifiche. Spesso queste attività sono altamente ripetitive e possono essere eseguite dai bot molto più velocemente e con maggiore precisione rispetto agli esseri umani. I bot possono essere estremamente utili: gli spider bot, ad esempio, eseguono la scansione dei siti web per indicizzare i contenuti, rendendoli più facili da trovare per i motori di ricerca. Altri bot possono essere dannosi, come i bot che raccolgono indirizzi e-mail per gli spammer o i bot che aumentano artificialmente le metriche del traffico sui siti web o i follower sui social media. Le organizzazioni si affidano a soluzioni di gestione dei bot per distinguere tra bot legittimi e dannosi, migliorando la sicurezza del web e della rete senza rallentare la produttività e le operazioni aziendali.
Un attacco di forza bruta è un tipo di crimine informatico in cui gli autori di attacchi utilizzano tentativi ed errori per decifrare password, credenziali e chiavi di crittografia. Molti attacchi di forza bruta utilizzano botnet o software dannoso per provare migliaia di combinazioni di nome utente/password nel tentativo di ottenere l'accesso non autorizzato a un account o a un sistema IT.
Perché i clienti scelgono Akamai
A sostegno e protezione della vita online c'è sempre Akamai. Le principali aziende al mondo scelgono Akamai per creare, offrire e proteggere le loro experience digitali, aiutando miliardi di persone a vivere, lavorare e giocare ogni giorno. Akamai Connected Cloud, una piattaforma edge e cloud ampiamente distribuita, avvicina le app e le experience agli utenti e allontana le minacce.