Ataques a APIs estão se tornando cada vez mais sofisticados e os WAFs tradicionais, embora mais inteligentes do que há 20 anos, ainda vêem transações e “usuários” isoladamente e não conseguem ver padrões em agregado e ao longo do tempo.
Para se proteger contra esses tipos de ataques, é preciso tecnologia que possa costurar os padrões de tráfego de “usuários” aparentemente desconectados para detectar esse tipo de ataque. A plataforma Salt fornece essa perspectiva, ou contexto, ao longo de um período de tempo mais longo e através de centenas de “usuários” e interações de API.
Enquanto os WAFs podem rastrear o número de solicitações de um cliente em períodos de segundos e minutos, a plataforma Salt Security API Protection rastreia solicitações de clientes em períodos de tempo mais longos e diversos. Com sua plataforma de grande escala de dados na nuvem e algoritmos de inteligência artificial (IA) e aprendizado de máquina (ML), a Salt pode facilmente identificar solicitações que diferem de solicitações legítimas. Essa detecção dinâmica de anomalias permite que os usuários identifiquem rapidamente solicitações maliciosas com uma taxa muito baixa de falsos positivos.
Recentemente, um cliente Salt Security notificou que um dos serviços da web da empresa estava sendo esgotado por uma ameaça desconhecida. Ao mesmo tempo, a plataforma Salt detectou um alto tráfego de entrada. Usando a plataforma Salt, analistas detectaram um ataque HTTP DDoS contra um ponto final de autenticação (ou login) lançado por uma botnet que incluía milhares de bots. Como cada bot individual enviava apenas uma solicitação por minuto, o WAF na nuvem considerou o tráfego legítimo e permitiu que passasse. Como consequência da carga cumulativa, no entanto, os usuários legítimos não conseguiam se autenticar no serviço web. Os algoritmos de descoberta de API do Salt também detectaram imediatamente a seguinte anomalia – que as solicitações maliciosas não incluíam campos de carga obrigatórios. O serviço web respondeu a essas solicitações inválidas com o código de resposta 400 Bad Request, e a plataforma Salt detectou isso como um código de resposta anormal desse ponto final de API, o que ajudou a diferenciar ainda mais o tráfego de bot das tentativas legítimas de autenticação.
Essas descobertas foram relatadas para os engenheiros de segurança do cliente e eles ativaram uma integração já definida entre o Salt e o WAF na nuvem para bloquear os IPs de origem da botnet inteira. Com esse bloqueio automatizado em vigor, a carga no serviço web caiu significativamente e os usuários legítimos conseguiram se autenticar novamente.
Os clientes Salt têm a opção de habilitar o bloqueio automatizado ou manual quando a plataforma Salt detecta um ataque. Os clientes tendem a começar com o bloqueio manual, dando-lhes a chance de investigar o ataque identificado antes de tomar a ação. Essa opção sob demanda é mais lenta, mas evita bloquear um usuário legítimo no caso de um falso positivo.
Ao ver o mesmo ataque repetido, muitos clientes muitas vezes optam por definir a integração do Salt com seu dispositivo inline em modo de bloqueio automático. Essa abordagem transforma eficazmente a implantação fora da banda da Salt (que evita qualquer impacto na aplicação) em um dispositivo protetor inline, parando imediatamente o tráfego de ataque. Ter essa flexibilidade significa que a plataforma Salt suporta uma variedade de abordagens de clientes e se adapta a elas conforme eles avançam em seu modelo de maturidade de segurança de API.
Em conclusão, os WAFs fornecem proteção útil contra muitos dos ataques tradicionais que ainda são comuns. No entanto, devido à sua arquitetura de proxy, eles não conseguem correlacionar a atividade entre usuários e ao longo do tempo para detectar os ataques de API sofisticados de hoje. Depender apenas dos WAFs para proteção de API é insuficiente e deixa as empresas vulneráveis.
Quer saber mais detalhes sobre como a Salt pode ajudar a proteger os seus clientes de forma definitiva? Entre em contato com o time M3Corp: https://www.m3corp.com.br/contato/
Posts recentes