Добавить в корзинуПозвонить
Найти в Дзене
Дом.ру Бизнес
1209 подписчиков

5 обязательных вопросов антибот-сервису: как обезопасить веб-ресурсы от атак

33
2 мин
Ежедневно боты атакуют веб-ресурсы бизнесменов: сайты, мобильные приложения или API. Они мониторят цены, крадут уникальный контент, многократно переходят по рекламным объявлениям с целью растраты бюджета, эксплуатируют уязвимости сайта и API, подбирают пароли к личным кабинетам пользователей, спамят и создают фейковые заказы. А в случае DDoS-атак — становятся причиной недоступности веб-ресурсов. Чтобы не сталкиваться с подобными проблемами, обычно пользуются услугой антибот-защиты. Собрали 5 обязательных вопросов, которые важно задать антибот-сервису перед подключением услуги. 1. Какие методы обнаружения ботов используете? Ограничения по частоте HTTP-запросов или блокировки по IP-адресам часто приводят к ложным срабатываниям и потере пользователей, а человек просто одновременно открыл несколько карточек товара, а его уже записали в боты. Уточните: 2. Как происходит защита от продвинутых ботов? Продвинутый бот — программа-агент, способная динамически менять IP-адрес и распределять атаку

Ежедневно боты атакуют веб-ресурсы бизнесменов: сайты, мобильные приложения или API.

Они мониторят цены, крадут уникальный контент, многократно переходят по рекламным объявлениям с целью растраты бюджета, эксплуатируют уязвимости сайта и API, подбирают пароли к личным кабинетам пользователей, спамят и создают фейковые заказы.

А в случае DDoS-атак — становятся причиной недоступности веб-ресурсов.

Чтобы не сталкиваться с подобными проблемами, обычно пользуются услугой антибот-защиты.

Собрали 5 обязательных вопросов, которые важно задать антибот-сервису перед подключением услуги.

1. Какие методы обнаружения ботов используете?

Ограничения по частоте HTTP-запросов или блокировки по IP-адресам часто приводят к ложным срабатываниям и потере пользователей, а человек просто одновременно открыл несколько карточек товара, а его уже записали в боты.

Уточните:

  • Какие методы обнаружения вредоносных запросов использует сервис в реальном времени, без анализа записи событий и сообщений, создаваемые программой или системой во время работы веб-сервера?
  • Умеет ли система обучаться трафику конкретного веб-ресурса и за какое время?

2. Как происходит защита от продвинутых ботов?

Продвинутый бот — программа-агент, способная динамически менять IP-адрес и распределять атаку между сотнями или тысячами IP.

Для защиты от них требуется высокоточный анализ запросов и тонкая фильтрация.

Уточните, какие факторы влияют на решение системы защиты сервиса о блокировке каждого вредоносного запроса.

3. Сможете ли вы защитить API?

Через API работает бизнес-логика: например, регистрация и авторизация на сайтах и в мобильных приложениях.

Десять самых распространённых уязвимостей API перечислены в эталонном списке OWASP API Security Top 10.

Уточните:

  • Как антибот-сервис планирует справляться с угрозами на API, которые есть в списке?
  • Потребуются ли изменения в коде веб-приложения?

4. Есть ли у вас бот-менеджмент?

Бот-менеджмент помогает тонко фильтровать нежелательный трафик, создавая и применяя собственные правила.

Уточните, можно ли:

  • Создавать свои правила фильтрации? Если да — какие параметры можно менять при их создании? Например: URI path, гео, репутация IP-адреса.
  • При запросах определённого типа блокировать страницу или уточнять, не является ли пользователь роботом?

5. Какая статистика по ботам доступна и в каком виде?

Подробная статистика и аналитика в реальном времени позволяет в любой момент узнать причины блокировки каждого конкретного запроса.

Уточните:

  • Доступна ли статистика в реальном времени? За какой период? По каким критериям?
  • Можно ли выгружать отчёты?
  • Какие данные можно анализировать?

В арсенале Дом.ру Бизнес в том числе есть средства защиты веб-ресурсов компании:

защита сайтов и мобильных приложений от атак и уязвимостей;

защита каналов связи от DDoS-атак.

Кибербезопасность
25,6 тыс интересуются