Azion Bot Manager
O Bot Manager da Azion usa algoritmos inteligentes avançados que permitem o aprendizado de máquina e Reputation Intelligence para analisar o comportamento dos dados recebidos. Isso permite a detecção de tráfego suspeito e bots maliciosos, facilitando a implementação de medidas preventivas contra atividades maliciosas, como preenchimento de credenciais (credential stuffing), varredura de vulnerabilidades (vulnerability scanning,) e raspagem de sites (site scraping).
Este add-on do Edge Firewall atribui uma pontuação a cada requisição com base em regras, comportamentos e Reputation Intelligence. Se a pontuação exceder um limite predeterminado (threshold), o Bot Manager executa a ação predeterminada.
Ao usar Bot Manager, você pode:
-
Melhorar a experiência do usuário
- Reduzindo o impacto dos bots em toda a infraestrutura.
- Fornecendo proteção contra bots por reputação de IP.
- Definindo gerenciamento de regras personalizadas para agir em bots individuais com base na atividade de extração de conteúdo anterior das requisições.
-
Aumentar a visibilidade
- Medindo a quantidade e as características do tráfego de bots tentando acessar seu site, APIs e aplicações.
- Usando as ferramentas de observabilidade fornecidas pela Azion para monitorar a atividade maliciosa.
- Combinando outras integrações para melhorar a eficiência de Bot Manager, através do uso de fingerprint, captchas, injeção de JavaScript ou SDKs, para criar regras robustas.
-
Reduzir o risco financeiro
- Protegendo seu site e aplicações contra abuso de credenciais, verificação de saldo de cartão e outras formas de fraude online.
Implementação
A Azion oferece o add-on Bot Manager, uma solução abrangente para o gerenciamento de bots. Entre em contato com a equipe de vendas para mais detalhes sobre a assinatura do Bot Manager.
Além disso, uma integração da versão lite também está disponível no Marketplace.
Como funciona o Bot Manager da Azion
Em alto nível, o Bot Manager funciona da seguinte forma:
- Uma requisição chega a um domínio usando Bot Manager.
- O Edge Firewall recebe a requisição.
- O Bot Manager inicia todos os processos de análise, incluindo:
- Coleta dos dados da requisição, incluindo dispositivo, navegador e dados de rede, fingerprint, entre outros.
- Identificação e classificação da requisição de acordo com algoritmos inteligentes avançados e Reputation Intelligence.
- Definição do comportamento de acordo com os critérios definidos no Rules Engine.
- O Bot Manager atribui uma pontuação à requisição.
- Se a pontuação for igual ou superior ao limite predeterminado, a ação preventiva predefinida é executada.
Bot Manager é capaz de executar 7 ações diferentes sempre que a pontuação da requisição for maior ou igual ao limite definido:
allow: permite a continuação da requisição.deny: entrega uma resposta padrão com o Status Code 403.drop: encerra a requisição sem resposta ao usuário.redirect: permite que a requisição seja redirecionada para uma nova URL/localização quando o limite de segurança é atingido.custom_html: permite a entrega de conteúdo HTML personalizado ao usuário em caso de violação do limite.random_delay: faz a função aguardar por um período aleatório entre 1 e 10 segundos antes de permitir que a requisição prossiga.hold_connection: retém a requisição, mantendo a conexão aberta por 1 minuto antes de encerrá-la (drop).
Todas essas ações podem ser configuradas para aplicações web e móveis, bem como APIs, oferecendo proteção em diferentes ambientes.
Casos de uso
Bot Manager foi desenvolvido pela Azion para atender a casos de uso envolvendo práticas comuns de tráfego e bots maliciosos.
- Reputation Intelligence
- Ataques de bots
- Account takeover
- Credential stuffing (preenchimento de credenciais)
- Vulnerability scanning (Varredura de vulnerabilidades)
- Ataques de força bruta
- Web scraping
Recursos
Bot Manager é composto por diferentes funcionalidades e recursos dos quais você pode se beneficiar.
Reputation Intelligence
Ao utilizar a Reputation Intelligence, o Bot Manager estabelece um perímetro de segurança adicional, catalogando o tráfego de entrada e saída com base em Network Lists, mantidas e constantemente atualizadas pela Azion. Através dessas listas, o Bot Manager é capaz de identificar o perfil de cada requisição que tenta acessar seu site.
As listas utilizadas pelo Bot Manager incluem critérios como:
- Tor Exit Nodes
- Reputation
- Proxies
- Malware
- Fraudes
Classificação de bots
Com base nas pontuações e na Reputation Intelligence, o Bot Manager é capaz de classificar diferentes tipos de bots e tráfego.
-
Tráfego legítimo: Esta categoria é atribuída a requisições que não correspondem aos critérios de “bot bom” ou “bot malicioso”. Geralmente se refere ao tráfego normal de usuários (não-bots) que demonstram padrões de acesso legítimos sem sinais de automação ou comportamento suspeito.
-
Bots bons: Identificados com base em User-Agents conhecidos e confiáveis. Esses bots são classificados como “bons” quando seu User-Agent corresponde a uma categoria de bot permitida, como as seguintes:
- Bot de rede social
- Bot de monitoramento
- Bot agregador
- Bot empresarial
- Bot de mecanismo de busca
-
Bots maliciosos: Classificados quando são identificados User-Agents suspeitos ou maliciosos, padrões de cabeçalho ausentes ou incomuns e comportamentos anômalos, como tentativas de automação. Bots maliciosos não atendem aos critérios de “bot bom” e mostram sinais de atividades maliciosas.
A tabela a seguir descreve os possíveis valores de classificação e categorias (tipos de ataque) do Bot Manager e como eles são identificados, conforme podem ser vistos no Real-Time Metrics:
| classified | botCategory | Método de Identificação |
|---|---|---|
| Good Bot | Good Bot | Identificado por User-Agents específicos associados a redes sociais, agregadores de conteúdo, bots de monitoramento e mecanismos de busca. |
| Bad Bot | Bad Bot Signatures | Detectado através de User-Agents conhecidos por comportamento malicioso. Inclui verificação de assinaturas de User-Agent maliciosos e análise de cabeçalhos ausentes ou anômalos. |
| Bad Bot | Scripted Bots | Identificado por User-Agents suspeitos que tipicamente indicam automação, como “headless” ou “dalvik”. Também considera comprimento incomum de User-Agent. |
| Bad Bot | Malicious Browser Behavior | Baseado em comportamentos suspeitos, como cookies essenciais ausentes ou forjados, cabeçalhos HTTP obrigatórios ausentes e falhas na validação de cookies. |
| Bad Bot | Malicious Intent Detected | Usa verificações de cabeçalhos e métodos HTTP inusitados, como o método TRACE, para detectar intenções possivelmente exploratórias. |
| Bad Bot | Reputation Intelligence | Verifica o endereço IP do usuário comparando-o com listas de reputação conhecidas para identificar IPs com histórico de atividade de rede suspeita. |
| Bad Bot | Brute Force | Detectado com base na alta frequência de tentativas de login, variações de endereço IP e padrões de erro indicando tentativas de descoberta de credenciais. |
| Bad Bot | Scraping | Identificado pela alta variabilidade de acesso a URLs e frequência de requisições, indicando tentativas de extração em massa de dados. |
| Bad Bot | Crawling | Detectado com base em padrões de variação de URL e frequência de requisições típicas de rastreadores de conteúdo navegando sistematicamente em websites. |
| Bad Bot | Credential Stuffing | Detectado pela frequência de tentativas de login, padrões de erro e múltiplas tentativas de acesso a contas típicas de ataques de credential stuffing. |
| Bad Bot | Credential Cracking | Detectado pela frequência de requisições e padrões específicos de erro indicando tentativas de quebra de senha. |
| Bad Bot | Account Takeover | Detectado por padrões anômalos de requisição e alta variação geográfica típica de tentativas de tomada de conta. |
| Legitimate | Non-Bot Like | Classificação atribuída quando nenhum comportamento suspeito ou padrão de bot é identificado. |
| Under Evaluation | Under Evaluation | Quando não há dados suficientes para classificação completa, o tráfego é colocado “em avaliação” até que mais informações estejam disponíveis. |
Identificação de dispositivos
O Bot Manager utiliza técnicas avançadas para identificar e distinguir entre dispositivos legítimos e bots potencialmente maliciosos que tentam acessar seus ativos digitais. Ele também é capaz de gerar um ID de usuário para cada dispositivo.
Para aprimorar ainda mais suas capacidades de proteção, ela permite a incorporação de camadas de segurança adicionais por meio de outras integrações e recursos, como SDKs, injeção de JavaScript e Fingerprint para coletar dados mais granulares.
Redirecionamento
Uma das ações que o Bot Manager é capaz de executar é o redirect, ou redirecionamento. Isto permite que a requisição seja redirecionada para uma nova URL/localização, especificada nos argumentos JSON, quando o limite de segurança é atingido.
HTML personalizado
O Bot Manager permite a entrega de conteúdo HTML personalizado ao usuário em caso de violação do limite, através da ação custom_html. Você pode criar uma mensagem personalizada para exibir aos usuários em caso de violação do limite.
Delayed response
Esta ação permite causar atraso nas respostas nos casos em que os bots tentam fazer requisições. Isso aumenta o custo do ataque ao prender o atacante por mais tempo em uma requisição que não dará retorno válido, aumentando a tendência de que o atacante aborte ou desista do ataque.
Modos
O Bot Manager permite que você defina o ambiente no qual a função deve ser executada, sendo API ou Web os modos possíveis. O modo padrão é web. Se for fornecido um valor diferente da string api (sensível a maiúsculas e minúsculas), o modo web será usado como configuração padrão.
Ao habilitar o modo api, nenhum “Set-Cookie” será realizado, e quaisquer regras relacionadas ao uso de cookies no Bot Manager serão ignoradas.
Logs
As requisições gerarão logs que poderão ser visualizados no Real-Time Events e no Data Stream. Ao analisar os logs gerados pelo Bot Manager, você pode obter insights para entender se são necessárias alterações nos argumentos JSON da instância da função.
Saiba mais sobre o Data StreamSaiba mais sobre o real-time events
Você também pode consultar os gráficos do Bot Manager no Real-Time Metrcis
Recursos adicionais
SDKs
Azion Bot Manager pode trabalhar em conjunto com Software Development Kits (SDKs), tanto para sistemas Android quanto iOS, permitindo que você personalize e ajuste os protocolos de segurança para atender às necessidades específicas de suas aplicações móveis. Com SDKs e Bot Manager, você pode implementar controles refinados, abordar vulnerabilidades específicas da aplicação e adaptar-se a ameaças em evolução de forma mais eficaz.
Você pode usar SDKs para rastrear dispositivos móveis e identificar comportamentos (como toque na tela) e dados do dispositivo (modelo, fabricante, sistema operacional, etc.) para usar como insights para que o Bot Manager detecte e mitigue ameaças maliciosas.
Injeção de JavaScript
Quando o arquivo JavaScript é inserido em sua aplicação, ele coleta dados sobre as ações realizadas pelo dispositivo usado em uma requisição. Está disponível para uso com navegadores da web. Com a injeção de JavaScript, mais dados serão coletados, como fabricante e hardware usado, para executar regras de requisição.
Esses dados podem ser usados para criar regras e comportamentos mais robustos nos argumentos de Bot Manager, a fim de detectar e mitigar ameaças de forma mais eficaz.
Rate Limiting
O Rate Limiting (limitação de taxa) estabelece limites para o número de requisições que um usuário ou sistema pode fazer dentro de um período de tempo especificado, mitigando efetivamente o impacto de ataques de força bruta ou atividades excessivas de bots. Ao trabalhar em conjunto com limitação de taxa, as medidas do Bot Manager ganham uma camada adicional de defesa contra ameaças automatizadas.
Fingerprint
Um conjunto de informações (IP, cabeçalho User-Agent) cria um hash para dispositivos que acessam suas edge applications. As informações são coletadas rastreando a sessão do dispositivo e fornecem um detalhamento mais preciso do dispositivo usado na requisição, aumentando a precisão dos logs do Bot Manager.
Se você utiliza Fingerprint com o Bot Manager, também pode habilitar o uso do Real-Time Metrics da Azion para consultar dados consolidados via GraphQL API relacionados ao acesso à aplicação protegida pelo Bot Manager, facilitando a identificação de padrões e utilizando essa inteligência para otimizar as regras. Com essa funcionalidade, é possível definir um threshold e tomar uma ação específica quando o threshold é violado e o dispositivo ou usuário é identificado como malicioso, com base nos dados do fingerprint.
Captcha
Ao usar a ação redirect, a URL/localização definida pode conter uma integração de Captcha para adicionar uma camada de segurança adicional. Isso ajuda a aumentar a segurança e a detecção de tráfego malicioso, apresentando um desafio para todas as requisições que violaram anteriormente qualquer limite para garantir que sejam legítimas.
Regras personalizadas
A Azion fornece configurações fáceis de usar, que devem ser suficientes para a maioria dos casos. Se você precisar de uma configuração mais detalhada, poderá editar o arquivo JSON da integração para personalizar e adicionar novas regras com base nas necessidades do seu negócio. Também é possível adicionar mais critérios e comportamentos a serem executados pelo Rules Engine, construindo respostas mais abrangentes para possíveis ataques.
Contribuidores
