Tehdit Kategorileri

Altı tehdit kategorisi. Her biri otomasyonu, dolandırıcılığı ve istismarı yakalamak için ayarlanmış — gerçek müşterileri yanlış biçimde sorgulamaya almadan.

Tespit tek bir kontrol değildir. Gerçek dünyadaki dolandırıcılık, otomasyonu, altyapıyı ve davranışı bir arada kullanır. Her kategoriyi, ekibinizin gerçekten verdiği karar türüyle eşleştiririz — engelle, sorgula, izin ver, gözlemle.

Kategoriler kabaca “gürültülü”den — açıkça kötü niyetli otomasyon — “sessiz”e — ince davranışsal sinyaller — doğru sıralanmıştır. Bunlar aynı kalibre edilmiş risk skoruna bağımsız girdilerdir. Bir oturum bir kategori, birkaçı veya hiçbiri tarafından işaretlenebilir.

01. Otomasyon ve botlar

Başsız tarayıcılar, tarayıcı otomasyon çerçeveleri ve betikli istismar — tespiti atlatmak için tasarlanmış “gizli” varyantlar dahil. Hem hızlı şerit hem yavaş şerit yakalanır.

Neye bakıyoruz

• Görünmez, başsız tarayıcılar ve bunları gizlemeye çalışan gizli yamalar ailesi.
• Otomasyon çerçevelerinin izlerini kapatmaları istendikten sonra bile geride bıraktığı parmak izleri.
• Bir oturumun kişi tarafından değil uzaktan kontrol aracıyla yönetildiğine dair işaretler.
• Gerçek bir tarayıcıyı taklit eden betiği ele veren içsel çelişkiler.

Sonuç

Otomatik trafiği giriş, kayıt veya ödeme adımına ulaşmadan önce tanıyın.

Ayarlama

Varsayılan ağırlıklandırma burada ağırdır — kontrollerimizden sağ çıkan otomatik trafik, tüm modeldeki kötü niyetin en güvenilir sinyalidir. Meşru bir otomasyon kullanım senaryonuz varsa (çalışma süresi izleme veya zamanlanmış raporlama gibi), herkese uygulanacak ağırlıkları gevşetmek yerine anahtara göre izin listesine ekleyin.

02. Parmak izi kurcalama

Tarayıcının kendi parmak izi hakkında yalan söylediği oturumlar. Sahte çizim testleri, manipüle edilmiş tarayıcı davranışı, saldırgan karşı önlemler çalıştıran parmak izi karşıtı araçlar.

Neye bakıyoruz

• Oturumun iddia ettiği tarayıcı ve işletim sistemi kombinasyonuyla eşleşmeyen bir çizim testi sonucu.
• Cihazın geri kalanının raporladığıyla çelişen grafik imzası.
• Tarayıcının beyan ettiği kimlik ile gerçekte oluşturduğunun birbiriyle uyuşmaması.
• Saldırgan parmak izi karşıtı araçların geride bıraktığı kalıntılar.

Sonuç

Dürüst gizlilik tercihlerini engellemeden kasıtlı kaçınma girişimlerini öne çıkarın.

Ayarlama

Yalan söyleme ile korunmayı ayırıyoruz. Gizlilik tarayıcısı kullanan bir kişinin tutarlı, beyan edilmiş bir profili vardır — bu, bir kurcalama sinyali değil gizlilik tarayıcısı sinyali üretir (bkz. 04). Kurcalama, oturumun bir şey olduğunu iddia ederken her şeyin başka bir şey söylemesi demektir.

03. Altyapı istismarı

Veri merkezlerinden, anonim proxy’lerden, eski ağ davranışından ve bilinen kötü aralıklardan gelen trafik. Tesadüfen kurumsal VPN üzerinde olan gerçek kullanıcıları engellemeden desenleri işaretliyoruz.

Neye bakıyoruz

• Büyük bulut sağlayıcılarından gelen trafik — toptan dolandırıcılık şeritleri.
• Dolandırıcılık gruplarına satılan konut proxy’leri dahil tehdit istihbarat akışlarından bilinen kötü aralıklar.
• Proxy zincirlemesini gösteren eski veya düşürülmüş ağ davranışı.
• Proxy’nin yüzeyi yeniden yazdığını ancak altta yatan oturumu yazmadığını düşündüren saat dilimi, dil ve konum sinyali çelişkileri.

Sonuç

Toptan dolandırıcılık sinyalini belirleyin — uzaktan çalışanlarda yanlış ateşlemeden.

Ayarlama

Veri merkezi trafiği otomatik olarak kötü niyetli değildir. Kurumsal VPN, bulut ortamında çalışan bir çalışan, barındırılan bir rölenin arkasındaki bir gazeteci — bunların hepsi kötü niyetli olmadan “altyapı işaretlendi” olarak görünebilir. Veri merkezi trafiğini yalnızca diğer kategorilerle birleştiğinde tırmanan zayıf bir sinyal olarak ele alıyoruz.

04. Gizlilik tarayıcısı yönetimi

Tanınan gizlilik tarayıcıları, kalibre edilmiş hoşgörüyle ele alınır. Gizliliğe önem veren kullanıcılar hoş karşılanmaya devam eder; gizlilik tarayıcılarının arkasına saklanan botlar etmez.

Neye bakıyoruz

• Popüler gizlilik tarayıcılarının tanınan şekilleri.
• Kurcalama değil tutarlılık — gerçek bir gizlilik tarayıcısı, tanıyabileceğimiz kararlı bir profil üretir.
• Gizliliğe önem veren bir insanı, aynı tarayıcının arkasına saklanan bir bottan ayırt etmek için donanım (05) ve davranışsal (06) sinyallerle çapraz kontrol.

Sonuç

Meşru gizlilik kullanıcılarını hoş karşılarken aralarına saklanan aktörleri yine de yakalayın.

Ayarlama

Bu, yanlış pozitif önleme açısından en önemli kategorilerden biridir. Varsayılan, tanınan gizlilik tarayıcıları için izin verdir. Ağ ve altyapı skoru hâlâ uygulanır; ancak aksi takdirde gizlilik tarayıcısının kasıtlı olarak tekdüze profilinde yanlış ateşleyecek “düşük ayrıntı” sinyallerini bastırırız.

05. Donanım kontrolleri

Cihaz düzeyinde kontroller, emülatörleri, sanal makineleri ve tekrar oynatma saldırılarını yakalar. Yalnızca tarayıcı tabanlı kontrolleri geçen botlar donanım kontrolünde başarısız olur.

Neye bakıyoruz

• Yazılım oluşturmayı gösteren grafik imzaları — genellikle gerçek bir cihaz yerine sanal makine veya emülatör.
• Cihazın iddia ettiği donanımla eşleşmeyen grafik özellikleri.
• Gerçek ses yolu ile simüle edilmiş yolu ortaya çıkaran ses imzaları.
• Gerçek bir makinenin sahip olduğu ancak taze, tek kullanımlık bir konteynerin çoğunlukla sahip olmadığı olağan cihaz özellikleri.

Sonuç

Cihazın iddia ettiği şey olduğunu doğrulayın — yalnızca üzerinde çalışan tarayıcıyı değil.

Ayarlama

Donanım, sahip olduğumuz en güçlü sinyaldir ve ölçekte sahte üretmesi en pahalı olandır. Dolandırıcılık grupları konut proxy’lerini ucuza kiralayabilir; milyonlarca gerçek cihazı ucuza kiralayamazlar. Donanım uyuşmazlıklarını buna göre ağırlıklandırıyoruz.

06. Davranışsal anomaliler

Fare, klavye, kaydırma ve sorgu sonrası zamanlama desenleri. Gerçek bir kullanıcının şekli — ve otomatik olanın şekli — milisaniye düzeyinde birbirinden ayrılır.

Neye bakıyoruz

• Fare hareketi: insanların titremesi, mikro düzeltmeleri ve hız üzerinde doğal sınırları vardır. Betikler çoğunlukla düz, mükemmel biçimde pürüzsüz çizgiler çizer.
• Yazma ritmi: gerçek yazma değişkendir; programatik giriş genellikle şüphe uyandıracak kadar dar bir pencere içinde gerçekleşir.
• Kaydırma: gerçek kaydırma doğal biçimde yavaşlar; programatik kaydırma çoğunlukla yavaşlamaz.
• Sorgu sonrası zamanlama: insanlar duraklar; betikler anında devam eder.

Sonuç

Kâğıt üzerinde insan görünen ancak kişi gibi davranmayan oturumları yakalayın.

Ayarlama

Davranışsal sinyaller modeldeki en sessiz olanlardır. Diğer tüm kategoriyi geçen bir oturum ile hâlâ yanlış hisseden bir oturum arasındaki farktır. Bunları birincil bir engelleme sinyali olarak değil, aksi takdirde temiz oturumları tırmandırmak için kullanıyoruz — yalnızca davranışa dayanarak karar vermek, motor farklılıkları, yardımcı teknoloji veya alışılmadık etkileşim alışkanlıklarına sahip kullanıcıları cezalandırırdı.

Kategoriler nasıl birleşir

Her kategori bir hüküm değil, kalibre edilmiş bir risk skoru ve güven ölçüsü üretir. Nihai ilkeye ekibiniz sahiptir. Biz yalnızca girdilerin dürüst olduğundan emin oluruz.

Akış basittir: tarayıcı profili toplar, altı kategori her biri kendi değerlendirmesini yapar, ağırlıklı bu girdiler tek bir kalibre edilmiş risk seviyesinde birleşir ve kodunuz ne yapacağına — engelle, sorgula veya izin ver — karar verir.

Güven ölçüsü, oturumun bize ne kadar malzeme sunduğunu yansıtır. Sayfada yalnızca birkaç saniye geçiren bir oturum, risk seviyesinden bağımsız olarak, tam bir dakika etkileşimde bulunan birinden daha az veriye sahiptir.

İlgili Okumalar

• Neden kalibrasyon, hüküm değil — bu kategorilerin arkasındaki felsefe.
• Mühendislik prensipleri — her eşikte ortaya çıkan çalışma kısıtları.
• Tarayıcı çalışma zamanı detayları — her kategori için toplayıcı tarafı yüzey.
• Sıkça sorulan sorular — kategori davranışı hakkında yaygın sorular.