Компания CHEQ выпустила отчет о фальшивом трафике, который показывает, насколько серьезной становится эта проблема. И это несмотря на наличие средств класса NTA, которые помогают детектировать 👀 различные классы атак, необнаруживаемые традиционными периметровыми или хостовыми средствами ИБ.
Согласно исследованию CHEQ, в 2023 году 17,9% всего наблюдаемого трафика было фейковым 🤖 или инициировано различными средствами автоматизации, что на 58% больше по сравнению с 11,3% в предыдущем году. Другие источники, учитывающие весь "автоматизированный" трафик (боты, кликеры, краулеры, скрипты для автоматизации и т.п.), оценивают объем нежелательного трафика еще выше — до 50% от общего объема. Такой трафик можно разделить на три категории:
1️⃣ боты, которые составляют 49,1% фальшивого трафика 🤖
2️⃣ подозрительный трафик - 42,3%
3️⃣ вредоносный трафик - 8,6%.
CHEQ предупреждает, что в 2024 году киберпреступники и мошенники 🥷 больше не ограничиваются простыми ботами и фермами кликов. Они используют высокоразвитых ботов, способных имитировать человеческое поведение, избегать обнаружения и совершать различные злонамеренные действия, такие как сбор данных без разрешения, увеличение метрик вовлеченности, мошенничество и компрометация безопасности и целостности множества веб-сайтов, мобильных приложений и API. Искусственный интеллект 🧠 только усугубляет угрозу и создает дополнительные проблемы для команд безопасности. ИИ позволяет ботам становиться более сложными и труднодетектируемыми, увеличивая объем генерируемого трафика и позволяет ботам адаптироваться к защитным мерам, тем же WAF или API Security Gateway 🛡
Советы CHEQ для снижения опасности этой проблемы просты:
1️⃣ Разработать и применить на каждом интерфейсе управляемых сетевых устройств политику для трафика (traffic policy)
2️⃣ Внедрить процедуры и инструменты для мониторинга и контроля трафика на внешних интерфейсах, направляющегося к МСЭ, в ДМЗ, к web-серверам, IoT-устройствам и беспроводным устройствам.
3️⃣ По умолчанию запретить весь трафик и разрешить только отдельные протоколы и межузловые взаимодействия в соответствие с установленными правилами и исключениями из них
4️⃣ Внедрить процедуры и инструменты, обнаруживающие любой несанкционированный обмен трафиком с внешними системами
5️⃣ Подключать сеть организации к внешним сетям только через пограничные устройства, позволяющие фильтровать трафик (явно не упоминается NGFW, так тут
может быть и Zero Trust, SASE и SSE)
6️⃣ Ограничение числа внешних соединений и мониторинг входящего и исходящего трафика
7️⃣ Реализация на всех внешних управляемых интерфейсах механизмов контроля доступа, обнаружения вторжений и т.п.
8️⃣ Реализация подсетей для публично доступных компонентов
9️⃣ Обеспечение целостности и конфиденциальности для трафика
1️⃣0️⃣ Документируйте каждое исключение в политике управления трафиком с указанием бизнес-потребности, мерами контроля и длительностью действия исключения
1️⃣1️⃣ Обновляйте все сетевые компоненты как можно раньше
1️⃣2️⃣ Обеспечьте не менее одного тренинга в год для персонала, реализующего предыдущих 11 пунктов