Embed Size (px)
Citation preview
WHITE PAPER
As 5 etapas da classificação
de risco personalizada Por que você precisa de um mecanismo de análise de riscos da reputação do cliente que computa uma classificação de risco para cada endereço IP
As 5 etapas da classificação de risco personalizada 2
Visão geral
Client Reputation é um módulo opcional para o Kona Site Defender. Ele calcula e atribui classificações de risco específicas do usuário a clientes da Web mal-intencionados, identificados pelo endereço IP, com base em suas propensões a se envolverem em ataques. Os tipos de ataque incluem:
• Ataques à camada de aplicação
• Ataques de negação de serviço
• Verificação de vulnerabilidades
• Atividades de extração de conteúdo da Web
A alta qualidade do serviço Client Reputation é impulsionada pelos insights sobre inteligência e ameaças, fornecidos pela plataforma Cloud Security Intelligence (CSI) da Akamai. Essa plataforma processa bilhões de eventos de segurança e registros legítimos de tráfego por hora, usando os dados para prever a probabilidade de um cliente apresentar riscos a usuários específicos.
Os processos analíticos da CSI incluem:
• Criação de perfil sofisticada do comportamento do invasor
• Detecção de cargas mal-intencionadas e ataques de dia zero
• Análise de padrões comuns de tráfego mal-intencionado
• Agrupamento de atividades mal-intencionadas realizadas por botnets
Muitos serviços de reputação atualmente no mercado criam apenas uma única classificação de reputação de cliente, que é a mesma para todos os usuários. Por outro lado, o Client Reputation utiliza um mecanismo de análise de riscos proprietário e avançado que computa uma classificação de risco para cada endereço IP de origem, personalizada para cada usuário. Esse modelo personalizado de classificação baseado em risco é significativamente mais preciso do que a classificação genérica, e tem sido mostrado que ações tomadas com base na classificação de risco apresentam menos chances de causar impacto negativo a clientes e usuários legítimos.
O Client Reputation utiliza um mecanismo de análise de riscos proprietário e moderno que computa uma classificação de risco para cada endereço IP de origem, personalizada para cada cliente.
3
Nos últimos anos, a complexidade e a sofisticação do cenário de ameaças evoluíram drasticamente. Os agentes mal-intencionados agora aproveitam diferentes ferramentas de ataque e métodos de operação. Além disso, eles estão usando recursos comprometidos ou de baixo custo, como dispositivos de IoT, servidores adulterados e infraestrutura de nuvem para mascarar suas atividades ou orquestrar campanhas de ataques em grande escala. Devido à sua abundância, esses recursos de ataque baratos só podem ser usados para uma campanha de ataque específica e provavelmente não representam nenhum risco para outros clientes. Além disso, muitas campanhas de ataque duram pouco tempo. Depois disso, os recursos usados para a campanha de ataque podem não representar mais risco para os clientes.
Como resposta a essas tendências, a Akamai desenvolveu seu modelo personalizado de classificação baseado em riscos, que é capaz de avaliar o risco real que cada cliente representa para cada usuário da Akamai em qualquer momento.
A chave para o cálculo de um modelo de classificação mais poderoso é o conhecimento extraído do Big Data de alta qualidade. A Akamai lidera o mercado de CDN (Rede de Entrega de Conteúdo) como um hub central no ecossistema da Internet, provendo de 15 a 30% de todo o tráfego da Web em qualquer momento.
A Akamai lidera o mercado de CDN (Rede de Entrega de Conteúdo) como um hub central no ecossistema da Internet, provendo de 15 a 30% de todo o tráfego da Web em qualquer momento.
Aproveitando essa posição única, a Akamai vê o tráfego legítimo e o mal-intencionado atravessando a plataforma Akamai. A Akamai usa a plataforma CSI para rastrear e classificar clientes mal-intencionados como pertencentes a pelo menos uma destas categorias de classificação de risco:
• Invasores da Web – Agentes ou clientes Web que realizam ataques genéricos na Web, como SQLi (injeção de SQL), RFI (inclusão de arquivo remoto) ou XSS (cross-site scripting)
• Invasores de DoS (negação de serviço) – Clientes da Web ou botnets que usam ferramentas automatizadas para lançar crescentes ataques DoS
• Ferramentas de verificação – Ferramentas usadas para verificar as vulnerabilidades das aplicações Web durante a fase de reconhecimento de um ataque
• Scrapers da Web – Ferramentas automatizadas usadas para colher informações, como dados de preços de páginas da Web, de forma sistemática
O módulo Client Reputation calcula uma classificação de risco em uma escala de 1 a 10 para cada categoria. Uma classificação de risco 1 prevê uma baixa probabilidade de ataques futuros por um cliente específico, enquanto uma classificação de risco 10 prevê uma alta probabilidade de que o endereço IP possa ser usado por um agente mal-intencionado.
4
Depois que essas classificações de risco são atribuídas a um cliente de um consumidor específico, elas são compartilhadas e aplicadas aos servidores de borda na Akamai Intelligent Edge Platform. Em seguida, os usuários que usam o módulo Client Reputation podem escolher como os servidores de borda da Akamai lidarão com os clientes com uma classificação de risco específica.
Uma prática comum é alertar quando a classificação de risco de um cliente for 5 ou superior e bloquear quando a classificação de risco for 9 ou 10. Essas classificações refletem a compensação entre as chances de um ataque futuro e a possibilidade de que o cliente também gere tráfego legítimo futuro.
Em conjunto com a classificação de risco, os clientes da Akamai podem ajustar ainda mais as medidas de segurança por meio da utilização de condições adicionais, como:
• O ASN (número do sistema autônomo) do IP de origem
• Listas de redes IP ou geográficas
• Endereço IP/CIDR
• Nomes e/ou valores de cabeçalho HTTP específicos
• Nomes e/ou valores de cookie HTTP específicos
• Nome do host de destino
• Caminho de solicitação de HTTP de destino
Os dois exemplos a seguir demonstram como os clientes da Akamai podem se beneficiar da aplicação das condições adicionais descritas acima:
1. Embora as empresas prosperem em uma economia global, muitos clientes conduzem a maior parte de seus negócios com parceiros e consumidores em um número limitado de regiões geográficas. Portanto, os clientes podem facilmente tomar medidas mais severas contra IPs mal-intencionados, provenientes de regiões geográficas específicas ou redes de origem que não fazem parte de seus negócios.
2. Em alguns casos, as atividades entre parceiros de negócios podem parecer mal-intencionadas e serão sinalizadas. No entanto, as interações entre os sistemas de TI dos parceiros de negócios geralmente são configuradas para ocorrer a partir de redes de origem específicas e para enviar solicitações de HTTP usando cabeçalhos e/ou cookies específicos. Portanto, os clientes que desejam ignorar o tráfego desses parceiros, para que não seja negado pelos controles de reputação, podem usar as condições para excluir e não bloquear nenhum tráfego originado de redes, cabeçalhos e cookies específicos.
5
Como as classificações de risco personalizadas são calculadas
O mecanismo de análise de risco do Client Reputation executa cinco fases de análise separadas. Ao final de todas as fases, uma classificação de risco personalizada é calculada para o agente mal-intencionado e propagada para toda a Akamai Intelligent Edge Platform de hora em hora.
Fase 1: Identificação e classificação de atividade mal-intencionada
O Client Reputation identifica os agentes mal-intencionados por meio de várias técnicas, incluindo análise comportamental, modelos estatísticos e assinaturas de ataque. Durante essa fase, ele utiliza técnicas de impressão digital do cliente e de agrupamento comportamental para detectar botnets. Isso é muito poderoso porque, quando analisados sozinhos, os clientes podem parecer inofensivos; muitas vezes, os danos causados por eles coletivamente como parte de um botnet muito maior são negligenciados.
Fase 2: Cálculo de classificações de riscos personalizadas
Uma classificação de risco personalizada é calculada por categoria e por cliente considerando as seguintes medidas:
• Magnitude do ataque — A quantidade de tráfego mal-intencionado gerado
• Distribuição do ataque — O número de alvos atacados
• Persistência do ataque — A frequência do tráfego mal-intencionado ao longo do tempo
• Gravidade almejada — O dano em potencial que o ataque pode causar
• Setor alvo — o setor vertical que o agente mal-intencionado tende a atingir
• Clientes de destino da Akamai — Os clientes específicos que o ator mal-intencionado tende a visar
Além dos fatores mencionados acima, o mecanismo de análise de riscos classifica clientes mal-intencionados com base em tipos e padrões comportamentais anteriores. Isso ajuda o Client Reputation a entender melhor a natureza do invasor, se um dispositivo comprometido está sendo usado de forma consistente ou se o IP foi usado apenas para um único evento e não se espera que ele participe de futuros ataques. Esses fatores afetam o cálculo da classificação e fornecem uma deterioração inteligente sensível ao contexto.
Fase 3: Heurística de correção de erros e ajuste automático
Em algumas situações, os clientes legítimos demonstram um comportamento que pode parecer inválido ou suspeito. Por exemplo, os clientes podem enviar grandes volumes de tráfego em um curto período de tempo. Ou enviar mensagens HTTP contendo cargas úteis potencialmente perigosas (consultas SQL, código PHP e outros).
Para evitar atribuir classificações de risco a clientes legítimos, o mecanismo de análise de risco contém várias camadas de heurística de correção de erros e mecanismos de ajuste automático que não só agrupam e analisam eventos como um todo, mas também aplicam controles de atenuação.
6
Fase 4: Detecção de IP compartilhado
Alguns IPs na Internet são compartilhados por muitos usuários finais, incluindo gateways de segurança corporativa, gateways de conversão de endereço de rede, gateways móveis e proxies. Para garantir que o sistema não penalize usuários legítimos que compartilham seu endereço IP com atores potencialmente mal-intencionados, o Client Reputation aplica automaticamente várias camadas de detecção de IP compartilhado, como análise comportamental, impressão digital e classificação de endereço IP. Os clientes podem configurar perfis de reputação designados, classificações de risco e condições para agir em endereços IP detectados como compartilhados por muitos usuários.
Fase 5: Recuperação da classificação de risco da reputação (declínio)
Nos casos em que um IP não apresenta mais risco, sua classificação será reduzida com o passar do tempo. A taxa de declínio das classificações depende de recursos, como:
• Tipo de atividade mal-intencionada
• Persistência da atividade mal intencionada
• Frequência de eventos mal-intencionados anteriores
• Magnitude e distribuição de atividades anteriores relevantes
Operações contra ameaças da Akamai
O monitoramento da integridade do sistema é continuamente realizado pela equipe de Operações contra ameaças da Akamai. A equipe é composta por pesquisadores de segurança de aplicações e cientistas de dados líderes do setor, usando uma variedade de ferramentas de análise estatística e aprendizado de máquina. A equipe é responsável por garantir a integridade e a precisão do sistema e de seus dados, bem como identificar e pesquisar eventos e padrões de grande escala que exigem atenção humana especial.
Resumo
O Client Reputation acrescenta uma sofisticada camada de proteção baseada em inteligência à entrega de aplicação Web. O Client Reputation aproveita as percepções sobre ameaças da plataforma CSI exclusiva da Akamai, que analisa continuamente até 30% de todo o tráfego da Web de milhares de aplicações Web abrangendo setores em todo o mundo.
No centro do Client Reputation está um mecanismo de análise de riscos proprietário e de última geração. O mecanismo calcula uma classificação de risco personalizada para cada IP, por usuário, de acordo com o risco real que um invasor representa para esse usuário. A classificação de risco personalizada é recalculada regularmente e leva em consideração a classificação de atividade maliciosa, a heurística de correção de erros, a detecção de IP compartilhado e a degradação do risco ao longo do tempo. O uso de um modelo de classificação preciso, personalizado e baseado em risco para personalizar a entrega de aplicação a cada cliente aumenta significativamente a segurança das aplicações, reduzindo as chances de perda de negócios como resultado da negação de clientes legítimos em potencial.
7
A Akamai protege e entrega experiências digitais para as maiores empresas do mundo. A Akamai Intelligent Edge Platform engloba tudo, desde a empresa até a nuvem, para que os clientes e suas empresas possam ser rápidos, inteligentes e estar protegidos. As principais marcas mundiais contam com a Akamai para ajudá-las a obter vantagem competitiva por meio de soluções ágeis que estendem o poder de suas arquiteturas multinuvem. A Akamai mantém as decisões, as aplicações e as experiências mais próximas dos usuários, e os ataques e as ameaças cada vez mais distantes. O portfólio de soluções Security Edge, Web Performance e desempenho em dispositivos móveis, acesso corporativo e entrega de vídeos da Akamai conta com um excepcional atendimento ao cliente e monitoramento 24 horas por dia, sete dias por semana, durante todo o ano. Para saber por que as principais marcas do mundo confiam na Akamai, visite www.akamai.com, blogs.akamai.com ou @Akamai no Twitter. Você pode encontrar nossas informações de contatos globais em www.akamai.com/locations. Publicado em 5/20.
Benefícios operacionais e técnicos do Client Reputation incluem:
• Uma camada adicional de defesa baseada em inteligência contra atividades mal-intencionadas, como ataques à camada de aplicações Web, DoS, verificação de vulnerabilidades e scraping da Web
• Decisões de segurança aprimoradas com base em atividades anteriores de agentes mal-intencionados
• Capacidade de parar agentes mal-intencionados antes que um ataque ocorra
• Uma fonte adicional de inteligência para sistemas de segurança back-end
Classificação do Client Reputation
• Visibilidade de 15 a 30% de todo o tráfego da Web
• Dados internos precisos analisados dentro do contexto
• Personalizado para os negócios de cada cliente
• Calculado a partir de comportamento mal-intencionado e legítimo do cliente
