Почему стеки безопасности должны думать как злоумышленник и оценивать каждого пользователя в режиме реального времени

Злоумышленники используют ИИ в качестве оружия для создания ботов, которые уклоняются, имитируют и масштабируются

Злоумышленники не теряют времени, извлекая выгоду из использования ИИ для использования ботов в качестве оружия новыми способами. В прошлом году вредоносные боты составили 24% всего интернет-трафика, причем 49% были классифицированы как «продвинутые боты», предназначенные для имитации человеческого поведения и выполнения сложных взаимодействий, включая захват учетных записей (ATO).

Более 60% попыток захвата учетных записей (ATO) в 2024 году были инициированы ботами, способными взламывать учетные данные жертвы в реальном времени с помощью фреймворков эмуляции, имитирующих человеческое поведение. Мастерство злоумышленников теперь отражает способность объединять вооруженный ИИ и методы поведенческих атак в единую стратегию бота.

Это оказывается смертельной комбинацией для многих предприятий, которые уже борются с вредоносными ботами, чьи попытки вторжения часто не фиксируются существующими приложениями и инструментами в центрах безопасности (SOC).

Атаки вредоносных ботов заставляют команды SOC переходить в режим тушения пожаров практически без предупреждения, в зависимости от наследия их стека технологий безопасности.

«После того, как их собрал злоумышленник, их можно превратить в оружие», — недавно сказал Кен Данхэм, директор подразделения по исследованию угроз в Qualys. «У ботов есть невероятные ресурсы и возможности для выполнения анонимных, распределенных, асинхронных атак на выбранные цели, таких как атаки методом подбора учетных данных, распределенные атаки типа «отказ в обслуживании», сканирование уязвимостей, попытки эксплуатации и многое другое».

От фанатского безумия до мошенничества: боты монополизируют рынок билетов на Тейлор Свифт

Боты — это виртуальная версия злоумышленников, которые могут масштабироваться до миллионов попыток в секунду, чтобы атаковать целевое предприятие и все более громкие мероприятия, включая концерты известных артистов, таких как Тейлор Свифт.

DataDome отмечает, что всемирная популярность концертов Тейлор Свифт создает рентабельность инвестиций, которую злоумышленники ищут для создания билетных ботов, автоматизирующих то, что делают спекулянты в масштабе. Билетные боты, как их называет DataDome, скупают огромное количество билетов на самые популярные мероприятия в мире, а затем перепродают их со значительными наценками.

Боты заполонили Ticketmaster и стали большой частью волны из 3,5 миллиардов запросов, которые обрушились на сайт по продаже билетов, из-за чего он неоднократно выходил из строя. Тысячи фанатов не смогли получить доступ к группе предварительной продажи, и в конечном итоге общую продажу билетов пришлось отменить.

Рой боевых ботов заморозил десятки тысяч Swifties, не дав им посетить ее последний концертный тур Eras. VentureBeat узнал о сопоставимых атаках на ведущие мировые бренды на их интернет-магазины и присутствие по всему миру. Борьба с атаками ботов такого масштаба, основанными на вооруженном ИИ, выходит за рамки возможностей стека технологий электронной коммерции — они не созданы для борьбы с таким уровнем угроз безопасности. «Речь идет не только о блокировке ботов, но и о восстановлении справедливости», — сказал в недавнем интервью VentureBeat Бенджамин Фабр, генеральный директор DataDome. Компания помогла отразить подобные атаки скальпинга за миллисекунды, отделив фанатов от мошенников с помощью мультимодального ИИ и анализа сеансов в реальном времени.

Атаки ботов, вооруженные ИИ, часто начинаются с нацеливания на потоки входа и сеансов, обходя конечные точки в попытке не быть обнаруженными стандартными брандмауэрами веб-приложений (WAF) и инструментами обнаружения и реагирования конечных точек (EDR). Такие сложные атаки должны отслеживаться и сдерживаться в базовой инфраструктуре безопасности компании, управляемой из ее SOC.

Почему команды SOC теперь на передовой

Вооруженные боты теперь являются ключевой частью арсенала любого злоумышленника, способного масштабироваться за пределы того, что команды по борьбе с мошенничеством могут сдержать в одиночку во время атаки. Боты оказались смертоносными, нарушив операции электронной коммерции предприятий или, в случае Ticketmaster, бестселлер концертного тура с доходом в миллиарды долларов.

В результате все больше предприятий укрепляют технологические стеки, поддерживающие их SOC, с помощью платформ обнаружения онлайн-мошенничества (OFD). Дэн Аюб из Gartner недавно написал в исследовательской заметке фирмы Emerging Tech Impact Radar: Online Fraud Detection, что «организации все больше осознают, что «мошенничество — это проблема безопасности», что становится очевидным при принятии некоторых из новых технологий, используемых сегодня».

Исследования Gartner и интервью VentureBeat с директорами по информационной безопасности подтверждают, что сегодняшние атаки вредоносных ботов слишком быстры, скрытны и способны перенастраиваться на лету, чтобы изолированные инструменты мошенничества могли с ними справиться. Вооруженные боты уже давно умеют использовать пробелы между WAF, инструментами EDR и механизмами оценки мошенничества, а также обходить статические правила, которые так распространены в устаревших системах обнаружения мошенничества.

Все эти факторы и многое другое являются причиной того, почему руководители служб информационной безопасности внедряют телеметрию мошенничества в SOC.