Катэгорыі пагроз

Шэсць катэгорый пагроз. Кожная настроена на лоўлю аўтаматызацыі, махлярства і злоўжыванняў — без ілжывага выкліку рэальных кліентаў.

Выяўленне — гэта не адзіночная праверка. Рэальнае махлярства спалучае аўтаматызацыю, інфраструктуру і паводзіны. Мы ставім у адпаведнасць кожную катэгорыю таму тыпу рашэння, якое ваша каманда фактычна прымае — блакаваць, выклікаць праверку, дазволіць, назіраць.

Катэгорыі ўпарадкаваны прыкладна ад «гучных» — відавочна шкоднасная аўтаматызацыя — да «ціхіх» — тонкія паводніцкія сігналы. Яны з’яўляюцца незалежнымі ўваходнымі данымі для адной і той жа калібраванай адзнакі рызыкі. Сесія можа быць пазначана адной катэгорыяй, некалькімі або ніводнай.

01. Аўтаматызацыя і боты

Безгаловыя браўзеры, фрэймворкі аўтаматызацыі і скрыптавае злоўжыванне — уключаючы «stealth»-варыянты, пабудаваныя, каб абысці выяўленне. Лоўяцца і хуткая паласа, і павольная.

Што мы шукаем

• Невідзімыя, безгаловыя браўзеры і сямейства stealth-патчаў, якія спрабуюць іх схаваць.
• Адбіткі, якія пакідаюць за сабой фрэймворкі аўтаматызацыі, нават пасля таго, як ім загадалі замесці сляды.
• Прыкметы таго, что сесія кіруецца інструментам дыстанцыйнага кіравання, а не чалавекам.
• Унутраныя супярэчнасці, якія выдаюць скрыпт, які выдае сябе за рэальны браўзер.

Вынік

Распазнавайце аўтаматызаваны трафік да таго, як ён дасягне ўваходу, рэгістрацыі або аплаты.

Настройка

Вагавы каэфіцыент тут па змаўчанні высокі — аўтаматызаваны трафік, які перажыў нашы праверкі, з’яўляецца найбольш надзейным паказчыкам шкоднаснага намеру ва ўсёй мадэлі. Калі ў вас ёсць легітымны сцэнарый аўтаматызацыі, напрыклад маніторынг працаздольнасці або запланаванаясправаздачнасць, дадавайце ў белы спіс па ключы, а не паслабляйце вагі для ўсіх.

02. Падробка адбіткаў

Сесіі, дзе браўзер хлусіць пра сябе. Падробленыя тэсты малявання, маніпуляваныя паводзіны браўзера, anti-fingerprint-інструменты, якія запускаюць агрэсіўныя контрмеры.

Што мы шукаем

• Вынік тэсту малявання, які не адпавядае браўзеру і аперацыйнай сістэме, якімі прадстаўляецца сесія.
• Графічная сігнатура, якая супярэчыць усяму іншаму, пра что паведамляе прылада.
• Заяўленая ідэнтычнасць браўзера, якая не супадае з тым, что ён насамрэч рэндэруе.
• Рэшткі, пакінутыя агрэсіўнымі anti-fingerprint-інструментамі.

Вынік

Выяўляйце наўмысныя спробы абыходу, не блакуючы сумленны выбар прыватнасці.

Настройка

Мы аддзяляем хлусню ад абароны. Карыстальнік браўзера прыватнасці мае паслядоўны, заяўлены профіль — гэта стварае сігнал браўзера прыватнасці (гл. 04), а не сігнал падробкі. Падробка азначае, что сесія сцвярджае, нібыта яна адно, у той час як усё астатняе кажа, что яна іншае.

03. Злоўжыванне інфраструктурай

Трафік, які паходзіць з дата-цэнтраў, ананімізуючых проксі, устарэлага сеткавага паводзіны і вядомых шкоднасных дыяпазонаў. Мы пазначаем шаблоны, не блакуючы рэальных карыстальнікаў, якія апынуліся на карпаратыўным VPN.

Што мы шукаем

• Трафік буйных воблачных правайдэраў — аптовыя паласы махлярства.
• Вядомыя шкоднасныя дыяпазоны з фідаў threat intelligence, уключаючы рэзідэнцкія проксі, прададзеныя махлярскім групам.
• Устарэлае або паніжанае сеткавае паводзіны, якое намякае на ланцужкаванне проксі.
• Часавы пояс, мова і геалакацыя, якія супярэчаць адзін аднаму — прыкмета таго, что проксі перапісвае паверхню, але не базавую сесію.

Вынік

Вызначайце сігнал аптовага махлярства — без ілжывых спрацоўванняў на выдаленых супрацоўніках.

Настройка

Трафік дата-цэнтраў аўтаматычна не з’яўляецца шкоднасным. Карпаратыўны VPN, супрацоўнік на воблачным працоўным месцы, журналіст за хостынгавым рэле — усё гэта можа выглядаць як «інфраструктура пазначана», не будучы шкоднасным. Мы разглядаем гэта як слабы сігнал, які эскалуецца толькі ў спалучэнні з іншымі катэгорыямі.

04. Апрацоўка браўзераў прыватнасці

Распазнаныя браўзеры прыватнасці, апрацаваныя з калібраванай мяккасцю. Свядомыя карыстальнікі прыватнасці застаюцца жаданымі гасцямі; боты, якія хаваюцца за браўзерамі прыватнасці, — не.

Што мы шукаем

• Вядомыя формы адбіткаў папулярных браўзераў прыватнасці.
• Паслядоўнасць замест падробкі — рэальны браўзер прыватнасці стварае стабільны профіль, які мы можам распазнаць.
• Сувязь з апаратнымі (05) і паводніцкімі (06) сігналамі, каб адрозніць свядомага карыстальніка прыватнасці ад бота, які хаваецца за тым жа браўзерам.

Вынік

Вітайце легітымных карыстальнікаў прыватнасці, пры гэтым ловячы дзеячаў, якія хаваюцца сярод іх.

Настройка

Гэта адна з найважнейшых катэгорый для прадухілення ілжывых спрацоўванняў. Палітыка па змаўчанні — дазволіць для распазнаных браўзераў прыватнасці. Адзнака рызыкі з сеткавых і інфраструктурных катэгорый усё яшчэ дзейнічае, але мы падаўляем сігналы «нізкай дэталізацыі», якія інакш ілжыва спрацавалі б на наўмысна аднастайным профілі браўзера прыватнасці.

05. Апаратныя праверкі

Праверкі на ўзроўні прылады лоўяць эмулятары, віртуальныя машыны і атакі паўтору. Боты, якія абыходзяць праверкі толькі на ўзроўні браўзера, не праходзяць апаратную праверку.

Што мы шукаем

• Графічныя сігнатуры, якія раскрываюць праграмны рэндэрынг — часта гэта віртуальная машына або эмулятар, а не рэальная прылада.
• Графічныя магчымасці, якія не адпавядаюць заяўленаму апаратнаму забеспячэнню прылады.
• Аўдыясігнатуры, якія раскрываюць сапраўдны аўдыяшлях у параўнанні з сімуляваным.
• Звычайныя характарыстыкі прылады, якімі валодае рэальная машына, але якіх часта не хапае свежаму аднаразоваму кантэйнеру.

Вынік

Пераконвайцеся, что прылада — гэта тое, чым яна сцвярджае быць, а не толькі браўзер, які на ёй запушчаны.

Настройка

Апаратнае забеспячэнне — гэта наймацнейшы сігнал, які ў нас ёсць, і найбольш дарагі для падробкі ў маштабе. Махлярскія групы могуць танна арандаваць рэзідэнцкія проксі; яны не могуць танна арандаваць мільёны рэальных прылад. Мы ўзважваем апаратныя неадпаведнасці адпаведна.

06. Паводніцкія анамаліі

Шаблоны таймінгу мышы, клавіятуры, пракруткі і пасля выкліку. Форма рэальнага карыстальніка — і форма аўтаматызаванага — адрозніваюцца да мілісекунды.

Што мы шукаем

• Рух мышы: у людзей ёсць дрыжанне, мікракарэкцыі і натуральныя абмежаванні на хуткасць. Скрыпты часта чэртваць прамыя, ідэальна гладкія лініі.
• Рытм набору тэксту: рэальны набор тэксту мяняецца; праграмны ўвод, як правіла, укладваецца ў падазрона вузкае акно.
• Пракрутка: рэальная пракрутка натуральна запаўзоваецца; праграмная пракрутка — часта не.
• Таймінг пасля выкліку: людзі робяць паўзу; скрыпты працягваюць адразу.

Вынік

Лоўля сесій, якія выглядаюць чалавечымі на паперы, але не паводзяць сябе як чалавек.

Настройка

Паводніцкія сігналы — самыя ціхія ў мадэлі. Яны з’яўляюцца розніцай паміж сесіяй, якая праходзіць кожную іншую катэгорыю, і сесіяй, якая ўсё роўна выклікае падазрэнні. Мы выкарыстоўваем іх, каб эскалаваць іначай чыстыя сесіі, а не як першасны сігнал блакіроўкі — судзіць па паводзінах адным наклало б кару на карыстальнікаў з маторнымі асаблівасцямі, дапаможнымі тэхналогіямі або проста незвычайнымі звычкамі.

Як катэгорыі спалучаюцца

Кожная катэгорыя вырабляе калібраваную адзнаку рызыкі і меру ўпэўненасці — не вердыкт. Ваша каманда валодае канчатковай палітыкай. Мы проста сочым, каб уваходныя даныя былі сумленнымі.

Логіка простая: браўзер збірае профіль, шэсць катэгорый уносяць свой уклад, гэтыя ўзважаныя ўваходныя даныя спалучаюцца ў адзін калібраваны ўзровень рызыкі, і ваш код вырашае, що рабіць — блакаваць, выклікаць праверку або дазволіць.

Мера ўпэўненасці адлюстроўвае, наколькі шмат сесія фактычна дала нам для аналізу. Сесія, якая правяла ўсяго некалькі секунд на старонцы, кажа нам менш, чым тая, дзе было поўная хвіліна ўзаемадзеяння, незалежна ад яе ўзроўню рызыкі.

Звязанае чытанне

• Чаму калібраванне, а не вердыкты — філасофія, якая стаіць за гэтымі катэгорыямі.
• Інжынерныя прынцыпы — эксплуатацыйныя абмежаванні, якія праяўляюцца ў кожным парогу.
• Дэталі асяроддзя выканання браўзера — паверхня на боку SDK для кожнай катэгорыі.
• Часта задаваныя пытанні — частыя пытанні пра паводзіны катэгорый.