Como detectar bots nocivos em grandes operações de TI

Misturados ao tráfego convencional da rede, bots podem se tornar uma dor de cabeça para gestores e técnicos de grandes operações. Veja como detectá-los.

É fato: bots são parte do mundo conectado. Segundo uma pesquisa recente, os “robôs” foram responsáveis por nada menos que 37,9% do tráfego da internet no mundo inteiro em 2018.

Eles são capazes de realizar as mais diversas atividades, como pesquisar preços em sites de e-commerce e encontrar comentários sobre sua empresa nas redes sociais. E quando usados com fins abusivos e/ou maliciosos, eles se tornam uma verdadeira dor de cabeça para gestores e técnicos de operações de TI.

Empresas pagam caro para manter serviços online, recursos que muitas vezes são consumidos por bots em vez de usuários reais. Na maioria dos casos, essas empresas não têm as ferramentas certas para distinguir uns dos outros em meio ao tráfego digital de uma grande operação, muito menos para corrigir a situação. E fazer isso manualmente não é apenas inviável, é impossível.

Como, então, detectar e bloquear esses bots nocivos em larga escala?

Felizmente, existem novas tecnologias capazes de ajudar nessa tarefa, como Wire Data Analytics, que possibilita a análise do tráfego de redes complexas em tempo real, auxiliando na detecção de robôs entre uma série de outras funcionalidades. Vamos entender melhor.

O que são bots e que prejuízos eles podem causar?

Bots (do inglês robots ou “robôs” em português) são aplicações programadas para realizar tarefas de forma autônoma na Internet. O termo também se aplica em outros contextos (como assistentes virtuais ou chatbots), mas neste artigo focaremos naqueles utilizados para acessar sites, bases de dados e outras aplicações web.

Quando seguem a “etiqueta da web”, bots são considerados benignos. O Google utiliza robôs (web crawlers) para indexar páginas de sites todos os dias. Cientistas de dados usam aplicações (como web scrapers) para automatizar a coleta de dados públicos, sem exagerar nas requisições.

Mas, quando utilizados de forma mal-intencionada, bots abrem páginas, “clicam” em botões e baixam informações dezenas, centenas, milhares de vezes por minuto, sobrecarregando a infraestrutura. Esse bombardeio de requisições tem consequências negativas como:

  • Consumo de recursos como processamento e degradação de performance;

  • Consumo excessivo de links de Internet e lentidão na conexão;

  • Aumento de custos com webservices e consultas pagas;

  • Poluição de métricas de negócio (quem é usuário real e quem é bot?);

  • Disseminação de spam;

Um de nossos clientes teve prejuízos porque bots estavam fazendo milhares de consultas que dependiam de um webservice pago, levando a conta do mês à casa das dezenas de milhares de reais. Em outro cliente, descobrimos que apenas 5% dos acessos a uma aplicação de um eram feitos por usuários legítimos. O resto era realizado por bots, chegando a 700 acessos ilegítimos por minuto, mesmo com CAPTCHA.

Bots também são usados em ataques cibernéticos, varrendo websites em busca de vulnerabilidades ou erros humanos, espalhando malware, formando botnets e realizando ataques de negação de serviço (DDoS). Isso gera problemas graves de segurança cibernética – e prejuízos potencialmente maiores.

Por isso é tão importante monitorar a atividade da rede para conter a ação potencialmente nociva dos robôs. Você tem ganhos na performance e na segurança, economiza recursos, otimiza a produtividade interna e oferece experiências melhores aos clientes.

Detectando bots nocivos com Wire Data Analytics

Grandes operações de TI têm infraestruturas complexas pelas quais trafegam milhares de transações por segundo. É impossível filtrar toda essa atividade manualmente.

Para superar esse desafio, ferramentas de Wire Data Analytics como o Zerum Valk permitem a coleta e análise do tráfego de rede em tempo real, ou seja, o gestor de infraestrutura encontra todas as respostas que precisa sobre o que está acontecendo no seu ambiente, na hora que precisa. Isso inclui detectar a atividade de bots. Entre os recursos que o Valk oferece para facilitar essa tarefa estão:

  • Drilldown de cada transação em nível de aplicação;

  • Analytics integrado;

  • Alarmes sobre tráfego suspeito (possíveis bots);

  • Baselines dinâmicas;

  • Parse em real-time de headers e payload de protocolos;

  • Descriptografia de tráfego

  • Análise retrospectiva, com dados e metadados armazenados por mais de um mês;

Essas funcionalidades, combinadas, permitem não apenas a identificação do tráfego gerado por robôs, mas também o bloqueio e a monitoração contínua.

1 – O Valk monitora o tráfego do protocolo HTTP (dentre vários outros) em tempo real, permitindo sua análise em larga escala (incluindo o payload das transações). Outras ferramentas permitem análises apenas análises superficiais, sem o detalhamento das transações;

2 – Com o uso de alarmes inteligentes e baselines dinâmicas, o Zerum Valk identifica rapidamente volumes de requisições anômalos, ou o comportamento de beaconing, indicando a presença de bots;

3 – Com a atividade nociva detectada fazemos o drill-down e a exploração de dados para verificar exatamente o que o bot está executando. Isso permite a definição de regras de acesso, ACLs, melhorias nos mecanismos de CAPTCHA e mesmo alterações na arquitetura da aplicação web;

4 – Usando o Valk monitoramos continuamente a efetividade das regras implementadas. Afinal, os bots evoluem com o tempo.

Sobre a Zerum

A Zerum é uma empresa de Data Science líder em inovação que fornece visibilidade e entendimento em tempo real sobre fluxos de dados complexos. Nossos produtos, serviços e tecnologias ajudam grandes organizações a reduzir gargalos operacionais, combater ameaças cibernéticas avançadas, detectar fraudes e manter comunidades seguras.