Οι επιχειρήσεις γνωρίζουν ότι τα bots αποτελούν μεγάλη απειλή για την ασφάλειά τους και τα ευαίσθητα – εμπιστευτικά τους δεδομένα. Ωστόσο, φαίνεται ότι δεν κάνουν αρκετά για να μετριάσουν την απειλή, καθώς και τα προβλήματα που αυτή συνεπάγεται. Αυτή η αντίληψη αντικατοπτρίζει τα ευρήματα μιας νέας έρευνας της Netacea, η οποία εξέτασε δεδομένα στους κλάδους των ταξιδιών, της ψυχαγωγίας, του e-commerce και των χρηματοοικονομικών υπηρεσιών.
Η έρευνα διαπίστωσε μεγάλη ευαισθητοποίηση για το πώς οι επιθέσεις bot μπορούν να έχουν αρνητικό και επιζήμιο αντίκτυπο σε μια επιχείρηση. Συγκεκριμένα, πάνω από το 70% των επιχειρήσεων θεωρούν πως γνωρίζουν τις πιο κοινές επιθέσεις bot, συμπεριλαμβανομένου του credential stuffing και του card cracking. Παρόλα αυτά, το 76% ανέφεραν ότι έχουν υποστεί επίθεση bot.
Η έρευνα, με τίτλο “Η αναθεώρηση διαχείρισης bot: η πρόκληση της υψηλής ευαισθητοποίησης και της περιορισμένης κατανόησης”, διαπίστωσε επίσης ότι οι ίδιες επιχειρήσεις δήλωσαν ότι μόνο το 15% των web application πόρων τους καταλαμβάνεται από bots. Σύμφωνα με την έρευνα, αυτό δείχνει ότι οι επιχειρήσεις δεν είναι προετοιμασμένες να αντιμετωπίσουν και να μετριάσουν μία ενδεχόμενη επίθεση bot. Δεδομένου ότι πάνω από το ήμισυ του web traffic δημιουργείται σήμερα από bots, οι επιχειρήσεις δεν γνωρίζουν μεγάλο μέρος της κίνησης bots στους ιστότοπούς τους. Η έρευνα ανέφερε επίσης ότι οι επιχειρήσεις δεν γνωρίζουν τους σκοτεινούς ιστότοπους, όπου μπορούν να αγοραστούν και να πωληθούν τα usernames και οι κωδικοί πρόσβασης των πελατών τους, με μόνο το 1% των ερωτηθέντων να δηλώνουν ότι γνωρίζουν για αυτούς τους ιστότοπους.
Ποιος είναι υπεύθυνος για την αντιμετώπιση των επιθέσεων bot;
Η έρευνα έδειξε ότι μόνο 1 στις 10 επιχειρήσεις λένε ότι ο περιορισμός των bot είναι ευθύνη ενός μεμονωμένου τμήματος ή ατόμου. Επιπλέον, περίπου τα δύο τρίτα είπαν ότι είναι ευθύνη τεσσάρων ή περισσοτέρων τμημάτων να επιλύσουν το πρόβλημα. Ακόμη, πολλές φορές οι επιχειρήσεις μπορεί να αγνοήσουν εντελώς το πρόβλημα. Ο Harish Siripurapu, ιδρυτής της Cyber Align, δήλωσε ότι ορισμένοι οργανισμοί ίσως μπερδεύονται λόγω του τύπου των επιθέσεων που συνήθως εμφανίζονται με bot.
Το βασικό πρόβλημα είναι ότι οι credential stuffing επιθέσεις αποτελούν μια γκρίζα περιοχή μεταξύ της κυβερνοασφάλειας και της απάτης. Η παραβίαση του λογαριασμού ενός πελάτη με την χρήση credentials που διατίθενται στο dark web, είναι απάτη και scam, όχι όμως απαραίτητα κυβερνοεπίθεση, εξήγησε ο Siripurapu. Πρόσθεσε, επίσης, πως ακόμη και σε εταιρείες όπου οι CISOs είναι υπεύθυνοι για την ασφάλεια του e-commerce, τις απάτες και τα scams, συνήθως δεν τα διαχειρίζονται εκείνοι. Ο Siripurapu σημείωσε ακόμη πως οι τεχνολογίες ανίχνευσης bot δεν εμφανίζονται σε οδικό χάρτη ασφαλείας, επομένως δεν υπάρχει ορατότητα και επίγνωση. Οι DDoS επιθέσεις είναι οι επιθέσεις που προσελκύουν την προσοχή των CISOs στους περισσότερους οργανισμούς.
Αυτές τις μέρες, το credential stuffing είναι μια από τις πιο γνωστές μεθόδους επίθεσης που χρησιμοποιούνται από εγκληματίες που χρησιμοποιούν bots. Η πιο πρόσφατη έκθεση της Verizon Data Breach Investigations Report (DBIR) από το 2019 αναφέρει ότι το credential stuffing χρησιμοποιήθηκε στο 29% των παραβιάσεων δεδομένων.
Το credential stuffing έχει αξιολογηθεί ως η νούμερο 1 απειλή για την ασφάλεια στον κόσμο εδώ και μερικά χρόνια και αυξάνεται σταθερά από το 2011 που επινοήθηκε ο όρος, δήλωσε ο Shuman Ghosemajumder, επικεφαλής της παγκόσμιας τεχνητής νοημοσύνης (AI) στην F5. Συμπλήρωσε, ακόμη, πως η μέτρηση της δραστηριότητας των bots είναι δύσκολη, ενώ προτείνει στις ομάδες ασφαλείας που θέλουν να εντοπίσουν τα bots όσο το δυνατόν ακριβέστερα, να χρησιμοποιήσουν την καλύτερη τεχνολογία που μπορούν να υποστηρίξουν οικονομικά. Ακριβώς όπως διαφορετικά προϊόντα ανάλυσης μετρούν τους χρήστες με διαφορετικό τρόπο, έχει διαπιστωθεί ότι οι περισσότερες τεχνολογίες εντοπισμού bots έχουν τόσο ψευδώς θετικά όσο και ψευδώς αρνητικά αποτελέσματα, όταν πρόκειται για τον εντοπισμό πολύ εξελιγμένων bots.
Τέλος, η έρευνα της Netacea έδειξε ότι σχεδόν όλες οι επιχειρήσεις είτε επενδύουν είτε σχεδιάζουν να επενδύσουν στη διαχείριση bots, ενώ σχεδόν καμία δεν περικόβει τέτοιες τεχνολογίες.
