Cách phát hiện và ngăn chặn hoạt động của bot

Thứ ba, 05/11/2024 08:57
Từ viết tắt Xem với cỡ chữ
Các bot xấu tiếp tục gia tăng theo từng năm và lượng truy cập chiếm gần 1/3 tổng lưu Internet vào năm 2023. Bot xấu truy cập dữ liệu nhạy cảm, thực hiện hành vi gian lận, đánh cắp thông tin độc quyền và làm giảm hiệu suất của trang web.

Với những công nghệ mới hiện nay, tốc độ tấn công còn xảy ra nhanh hơn và gây thiệt hại nhiều hơn. Các cuộc tấn công tràn lan và trên diện rộng của các bot gây ra rủi ro cho các doanh nghiệp (DN) ở mọi quy mô, trong mọi ngành.

Tuy nhiên, có những kỹ thuật mà DN có thể áp dụng để xử lý hoạt động độc hại này. Bằng cách tận dụng những chiến lược tiên tiến, đa lớp để chặn bot, các kỹ thuật sau đây sẽ giúp bạn thấy rõ được ai hoặc cái gì đang truy cập trang web của DN, từ đó giúp hạn chế những truy cập không mong muốn.

a1.jpg

Kỹ thuật phát hiện bot

Mặc dù không phải tất cả bot đều độc hại, ngay cả bot "tốt" cũng có thể làm giảm hiệu suất và làm sai lệch phân tích. Để quản lý mọi loại mối đe dọa và có được phân tích chính xác về khách truy cập thì thông tin chi tiết về khách truy cập rất quan trọng.

Để xác định hoạt động của bot, các công ty thường dựa vào những dấu hiệu cảnh báo như: Lưu lượng truy cập tăng đột biến; Tỷ lệ thoát cao; Các phiên ngắn; Các mẫu chuyển đổi lạ; Số liệu không thể phân tích (như hàng tỷ lượt xem trang). Thông thường, những dấu hiệu này được phát hiện thì đã quá muộn để ngăn chặn thiệt hại. Các bot tiên tiến thậm chí có thể không kích hoạt những cảnh báo này vì nhiều công cụ phát hiện không theo kịp sự thay đổi của công nghệ bot.

Do vậy, cần những kỹ thuật mạnh mẽ hơn để đánh giá các đặc điểm kỹ thuật và dữ liệu hành vi để ngăn chặn các bot độc hại.

Các thuộc tính thiết bị

Một số khía cạnh về thuộc tính của trình duyệt và thiết bị có thể là dấu hiệu của bot, bao gồm:

Địa chỉ IP: Các địa chỉ IP và proxy lưu trữ bot. Một hệ thống phát hiện bot mạnh mẽ nên tận dụng cơ sở dữ liệu được cập nhật thường xuyên về các IP liên quan đến bot đã xác định, trung tâm dữ liệu, proxy độc hại và các nguồn khác được liên kết với những hoạt động tự động. Mặc dù IP bot liên tục thay đổi, nghĩa là giải pháp này không hoàn hảo, nhưng danh sách chặn tự động sẽ bổ sung tín hiệu xác minh mạnh mẽ.

Cấu hình phần cứng và phần mềm: Phân tích những đặc điểm và cài đặt của thiết bị hoặc trình duyệt sẽ phát hiện ra những khách truy cập đáng ngờ. Với các trang web, khi kiểm tra những thuộc tính của thiết bị như kích thước màn hình, hệ điều hành, bộ nhớ, bộ xử lý và những tính năng kết xuất đồ họa mà thấy có những dấu hiệu cấu hình bị lệch so với “đường cơ sở” (baseline) hoặc có những yếu tố liên quan đến trình duyệt như cách máy khách thực thi JavaScript, hiển thị các trang và xử lý những tác vụ tương tác khác thường thì có thể đây là hoạt động của bot.

Ngoài ra, khi lưu lượng truy cập có nhiều sự khác biệt so với dự kiến thì có thể là do bot tạo ra. Sự không nhất quán giữa các thuộc tính được báo cáo, như múi giờ và địa chỉ IP không khớp cũng cho thấy nguy cơ bị thao túng.

Dữ liệu bị rò rỉ: Bot làm rò rỉ dữ liệu và gây ra các lỗi mà người dùng không thể làm được như ghi đè mạng và thay đổi API. Việc tìm kiếm dữ liệu này cho phép các trang web chặn những khách truy cập không mong muốn.

Dấu vân tay thiết bị (device fingerprinting) là thiết bị hỗ trợ phát hiện bot bằng cách sử dụng các thuộc tính của thiết bị và trình duyệt để tạo ra một mã định danh duy nhất. Phương pháp này giúp phát hiện sự không nhất quán và cấu hình bất thường để cảnh báo hoạt động của bot. Tuy nhiên, để tránh bị phát hiện, bot sẽ tạo một vân tay trình duyệt khác nhau cho mỗi lần truy cập vào trang web.

Kỹ thuật xác thực và xác minh

Các kỹ thuật xác thực và xác minh mạnh mẽ giúp ngăn chặn bot tự động truy cập vào tài khoản, điền biểu mẫu hoặc đóng góp nội dung như đánh giá sản phẩm.

Captcha và những kiểm thử phản ứng: Những bài kiểm tra này là một chiến lược đã từ rất lâu chống lại bot, nhưng đến nay có thể không còn hữu ích. Tất cả chúng ta đều đã chọn hình ảnh ô tô hoặc nhập các ký tự từ một hình ảnh.

Các bài kiểm tra captcha (một biện pháp an ninh trực tuyến được sử dụng để xác định xem người dùng truy cập một trang web hoặc ứng dụng có phải là con người hay là một chương trình máy tính tự động (bot) - NV) không chỉ gây khó chịu cho người dùng mà còn không hiệu quả. Các nghiên cứu cho thấy robot thực sự giỏi hơn con người trong việc giải các câu đố này. Nếu bạn chọn sử dụng các bài kiểm tra này thì cũng nên sử dụng các biện pháp bảo mật bổ sung như xác thực dựa trên rủi ro.

Xác thực đa yếu tố (MFA): Bot có thể dễ dàng vượt qua mật khẩu thông qua việc “nhồi” thông tin xác thực. MFA tăng cường bảo mật bằng cách yêu cầu các bước xác minh bổ sung như cung cấp mã hoặc sinh trắc học. Bot có thể đoán được mật khẩu nhưng không có quyền truy cập vào yếu tố thứ hai khiến đây trở thành lớp bảo mật bổ sung vững chắc.

Dấu vân tay trình duyệt tăng cường các chiến lược xác thực này. Khi nỗ lực đăng nhập đến từ một thiết bị hoặc vị trí mới, bạn có thể bật các bước bảo mật bổ sung, như MFA. Với phương pháp này, bạn có thể phát hiện các lần đăng nhập cho nhiều tài khoản đến từ một thiết bị duy nhất và đây có thể là một dấu hiệu khác của các bot.

Phân tích hành vi

Hành vi của khách truy cập trang web cung cấp thông tin chi tiết về tính hợp pháp của trang web đó. Các chương trình tự động hoạt động có nhiều sai khác so với người thật. Một số cách sau có thể đánh giá hành vi:

Các tương tác trên trangChuyển động của chuột và mức độ tương tác của các thành phần trên trang là những chỉ số chính. Con người thực hiện những hành động này một cách ngắt quãng và ngẫu nhiên, trong khi bot có hệ thống và nhất quán.

Điều hướng: Kiểm tra chuyển động của người dùng giữa các trang và thời gian dành cho mỗi trang. Bot di chuyển nhanh qua nhiều trang, theo các mẫu URL có thể dự đoán được. Con người dành nhiều thời gian hơn trên mỗi trang và điều hướng ngẫu nhiên hơn khi họ cố tình tìm kiếm thông tin.

Hoàn thành biểu mẫu: Bot có thể điền cùng lúc nhiều trường, thường là thông tin lặp lại, có thể đoán trước hoặc vô nghĩa. Việc phát hiện bot theo thời gian thực cần các công cụ học máy (ML) để thu thập và phân tích dữ liệu.

Ngoài ra, bạn có thể khai thác tính năng tự động hóa của bot bằng cách đặt bẫy với "honeypot" (một cơ chế bảo mật mồi nhử được thiết lập để phát hiện, làm chệch hướng hoặc theo một cách nào đó, chống lại các nỗ lực sử dụng trái phép các hệ thống thông tin - NV).

Các trang web mồi nhử này bắt chước các trang web thực nhưng bị cô lập và theo dõi. Nếu khách truy cập tương tác với trang web thì bạn sẽ biết đó là chương trình tự động hay hành vi của con người và có những phả ứng thích hợp, như chặn địa chỉ IP khỏi trang web của bạn.

Phương pháp tiếp cận đa lớp

Chỉ dựa vào một trong những phương pháp đã đưa ra là chưa đủ để phát hiện bot và có khả năng cao sẽ ảnh hưởng đến nhiều người dùng hợp pháp trong khi vẫn bỏ lỡ một tỷ lệ đáng kể các tập lệnh tự động nâng cao. Cách tốt nhất là kết hợp các phương pháp từ phân tích hành vi, đặc điểm thiết bị và kỹ thuật xác thực. Các công cụ phát hiện bot cung cấp khả năng phát hiện bằng cách kết hợp dấu vân tay với phân tích mục đích.

Khi bạn có thể đồng thời đánh giá các thuộc tính của thiết bị và hành vi của người thì việc phát hiện người dùng đáng ngờ sẽ trở nên chính xác hơn. Giải pháp với máy học (ML) sẽ nâng cao hơn nữa khả năng phân tích và theo kịp sự tinh vi ngày càng tăng của bot. Với mức độ chính xác này, bạn có thể tự tin gắn cờ hoặc chặn bot.

Các bot đang trở nên tiên tiến hơn, nhưng các công cụ ngăn chặn chúng cũng đang ngày càng phát triển. Thay vì áp dụng phương pháp lỗi thời với các công cụ và tư duy cũ, các DN cần áp dụng phương pháp tiếp cận mới, cập nhật hơn để phát hiện bot xấu, chủ động ngăn chặn hoạt động độc hại thay vì chỉ giảm thiểu thiệt hại./.

Theo helpnetsecurity.com

Tạp chí Thông tin & Truyền thông

Đánh giá

(Di chuột vào ngôi sao để chọn điểm)