نحوه کنترل حساب های سبد خرید با کنترل های امنیتی سنتی Outsmart

نحوه کنترل حساب های سبد خرید با کنترل های امنیتی سنتی OutsmartReviewed by صبا شادروز on Dec 4Rating: 5.0نحوه کنترل حساب های سبد خرید با کنترل های امنیتی | مرکز طراحی سایت زنجانحملات تصاحب حساب هنگامی اتفاق می افتد که یک مهاجم در حال تلاش برای دسترسی غیرمجاز به یک حساب کاربری باشد در این مقاله راه حل مقابله با آن را توضیح میدهیم

نحوه کنترل حساب های سبد خرید

تصاحب حساب (ATO) توضیح می دهد که هنگام دسترسی به یک حساب آنلاین یا استفاده شخص دیگری غیر از مالک قانونی آن ، معمولاً برای اهداف مخرب ، استفاده می شود. حملات تصاحب حساب هنگامی اتفاق می افتد که یک مهاجم در حال تلاش برای دسترسی غیرمجاز به یک حساب کاربری باشد یا وقتی حساب قبلاً به خطر افتاده است و مهاجمان از حساب خود برای یک هدف مخرب مانند دسترسی غیرمجاز یا سرقت داده استفاده می کند.

اگرچه این ریسک جدید نیست ، اما حساب های حسابداری یکی از مهمترین ریسک های ضرر مالی برای شرکت ها و افراد امروز است. واقعیت این است که مشاغل به روشهای تشخیص محدود مانند قوانین امنیتی استاتیک ، حد مجاز و محافظت از ربات های اساسی اعتماد می کنند. این روشها در حملات فنی مانند تزریق SQL یا اسکریپتینگ سایت متقابل به خوبی کار می کنند. هنگامی که بخشی از یک راه حل یکپارچه چند لایه است ، آنها همچنین به ارائه عمق دفاعی کمک می کنند که می تواند به کاهش سرعت حرکت های گسترده کمک کند.

بیشتر بخوانید >>‌ دنیای وب محور نیاز به امنیت وب بهتر دارد

با این حال ، این روشها در برابر حملات منطق تجاری مانند ATO که به عنوان مثال ورود به سیستم کاربر را هدف قرار می دهند ، کمتر موثر هستند. این روش ها را می توان به راحتی دور زد زیرا مهاجمان ATO امروزه از ابزارهای پیشرفته و یک زیرساخت گسترده استفاده می کنند که به آنها اجازه می دهد با سرعت کم آهسته فعالیت کنند ، مشتری های مشروع را جعل کنند و در صورت لزوم حمله را مجبور کنند.

برای درک بهتر مشکل ، بیایید به این مثال از زندگی واقعی در مورد ورود به سایت بپردازیم (شکل 1). حجم روزانه تقریباً یکسان است ، به جز یک روز خاص. با نگاهی به این روز با استفاده از کنترل های امنیتی سنتی ، ما نمی توانیم به فعالیت مشکوک اشاره کنیم – هیچ خطای عجیبی ، حملات شناخته شده ، هیچ وسیله ای با سرعت بالا و هیچ ابزار هک کردن یا سایر ربات های بد درگیر نیست. این حادثه احتمالاً در دریای حوادث امنیتی احتمالی که تیم SOC روزانه با آن دست و پنجه نرم می کند خوش بینانه و فراموش شده تلقی می شود (برای بزرگنمایی بر روی گرافیک های زیر کلیک کنید).

شکل 1 – ورود به سیستم تقاضای توزیع به مرور زمان در یک سایت واحد را نشان می دهد

اکنون بیایید دوباره از این زاویه با کنترل امنیتی متفاوت – تشخیص مبتنی بر رفتار – به این مثال نگاه کنیم.

روشهای شناسایی مبتنی بر رفتار ، انحرافات از رفتار عادی کاربر را تجزیه و تحلیل می کنند ، کنترل های امنیتی پیشرفته تری را ارائه می دهند که می توانند با حملات پیچیده ای مقابله کنند.

در زمینه برداشت حساب ، ما در مورد دسترسی یک کاربر یا دستگاه هنگام دسترسی به صفحه ورود به سیستم یا API تأیید اعتبار صحبت می کنیم. متغیرهای بالقوه بسیاری وجود دارد که می توان از آنها برای تعریف رفتار عادی استفاده کرد: نسبت موفقیت در مقابل تلاشهای ورود به سیستم شکست خورده ، نسبت کلمات عبور ضعیف یا کاربران عادی ، استفاده از اعتبارهای بیرون درز ، تعداد کاربران در هر دستگاه و غیره البته شما راه حل امنیتی باید از چارچوب درخواست هایی که مورد بررسی قرار می دهد آگاهی داشته باشد ، خواه آنها واقعاً تلاش برای ورود به سیستم ، کاربر ارائه شده و نتیجه رمز ورود و ورود به سیستم باشند. علاوه بر این ، دانش قبلی کاربران متداول ، گذرواژه‌های ضعیف ، اعتبارنامه درز شده و نحوه بروزرسانی این لیستها ، همه مورد نیاز است. هنگامی که همه این موارد را در دست داشته باشید ، می توانید شروع به یادگیری آنچه که یک رفتار عادی است انجام دهید و ناهنجاری هایی را شناسایی کنید که ممکن است نشان دهنده حملات تصاحب حساب باشد. مرحله یادگیری و قطعیت رفتار آموخته شده با میزان داده هایی که شما بررسی می کنید تعیین می شود. اگر تعداد زیادی از داده ها را بازرسی کنید ، ممکن است بتوانید یک مدل رفتاری مطمئن را بسازید. با یک قدم جلوتر ، می توانید داده های حمله را جمع کرده و تجزیه و تحلیل را بر روی آن اجرا کنید. اجرای تجزیه و تحلیل در یک سایت واحد ممکن است مفید باشد. اگر تجزیه و تحلیل خود را در صدها هزار سایت انجام دهید ، می توانید نتایج بسیار جالبی بدست آورید.

و این دقیقاً همان کاری است که ما انجام داده ایم

با انجام تجزیه و تحلیل بر روی داده های حمله ، ما موفق به کشف چندین بات نت شدیم که تنها هدف آنها حساب گرفتن است. ما همچنین فهمیدیم که چرا از یک دیدگاه سایت واحد ، این حملات دفاع از آن بسیار دشوار است.

داده

داده ها با استفاده از راه حل محافظت از حساب کاربری ما بر اساس ناهنجاری های رفتاری که هنگام دسترسی کاربر یا دستگاهی به صفحه ورود یا API تأیید اعتبار تشخیص داده شده است ، جمع آوری شد. از آنجا که Imperva از بیش از 100،000 وب سایت که روزانه میلیون ها تلاش برای ورود به سیستم دریافت می کنند ، محافظت می کند ، ما در مورد داده های زیادی صحبت می کنیم. این داده های ذخیره شده در دریاچه داده های ما معمولاً از داده های شخصی مخروط شده اند و به ما امکان می دهد انواع تحلیلی را اجرا کنیم. در این حالت ، ما از یک الگوریتم یادگیری ماشینی (dbscan) برای خوشه بندی رویدادهای حمله ATO بر اساس بزرگی حمله ، زمان وقوع و اعتبارات مشابه استفاده کردیم تا بین دستگاه های مختلفی که یک بات نت را تشکیل می دهند ، ارتباط برقرار کنیم.

در بخش زیر به یک بات نت خاص خواهیم پرداخت ، گروهی از دستگاه ها که براساس ویژگی های ذکر شده در بالا ارتباط دارند ، که بین 7 تا 22 آوریل امسال کار می کنند.

بات نت

Botnet به طور کلی حاوی 2،500 IP است و در حالی که فعال بود به بیش از 300 سایت حمله کرد. هر روز 800 * IP (شکل 2 ، سمت راست) به 30 * سایت با 150،000 * تلاش ورود به سایت (* مقدار متوسط) حمله می کردند.

شکل 2 – فعالیت کلی بات نت (سمت چپ) و آمار آن (سمت راست)

با نگاهی به این botnet از دیدگاه سایت قربانی ، متوجه شدیم که به هر سایت 7 * ساعت (شکل 3) توسط 500 * IP (شکل 4) با ارسال 7000 * تلاش ورود به سیستم (شکل 5) با 7000 * اعتبار مختلف (* میانه) حمله شد. مقدار).

شکل 3 – توزیع فعالیت botnet در طول زمان (سمت چپ) و آمار آن (سمت راست)

شکل 4 – توزیع IP های بات نت در هر سایت (سمت چپ) و آمار آن (سمت راست)

شکل 5 – توزیع تلاش های ورود به سایت botnet در هر سایت (سایت سمت چپ) و آمار آن (سمت راست)

از یک منظر سایت ، هر IP تحت کنترل بات نت مسئولیت 14 پوند ورود به سیستم را در طول زمان حمله یا 2 بار ورود به سیستم در هر ساعت انجام می داد. این حمله ‘کم و آهسته’ نامیده می شود – بات نت از دستگاههای زیادی استفاده می کند ، هرکدام فقط تعداد معدودی درخواست ارسال می کنند تا حمله خود را با ترافیک مشروع انجام دهند.

اکنون مشخص است که چرا کنترل های امنیتی سنتی نمی توانند این حمله را شناسایی کنند. از آنجا که Imperva Accountover Protection Protection به تشخیص مبتنی بر رفتار متکی است ، ما توانستیم این فعالیت را تشخیص داده و از سایت های مربوطه محافظت کنیم. علاوه بر این ، فعالیت بات نت از 7 آوریل آغاز شد و این سایت خاص تا 11 آوریل مورد اصابت قرار نگرفت. این بدان معنی است که ما می توانیم قبل از اینکه سرپرست وب سایت از حمله احتمالی آگاهی داشته باشد ، می توانیم از این دانش برای ارائه حساب حفاظت از حساب استفاده کنیم.

نتیجه گیری

حملات منطق تجاری مانند تصاحب حساب نیاز به ابزارهای پیشرفته تر تشخیص دارد. دفاع در برابر حملات ATO با استفاده از مکانیسم های دفاعی سنتی دشوار است ، زیرا همانطور که در بالا نشان داده شد ، مهاجمان از ابزارهای پیشرفته و زیرساخت های گسترده ای استفاده می کنند که به آنها امکان می دهد حمله را گسترش دهند و برای مدت طولانی کشف نشوند.

همانطور که مهاجمین از نظر فنی پیشرفت می کنند ، باید مدافعان نیز باشند. تشخیص رفتاری مبتنی بر مدافعان ، یک قدم جلوتر در این مسیر طولانی را می گیرد ، زیرا می تواند روشی مؤثر برای یافتن ناهنجاری های برجسته در حملات ATO فراهم کند.

منبع

نوشتن نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *