Caso de Éxito

Protección de Portales y Apps contra Bots

Junio 2021

www.radware.com
 RADWARE

We secure the Digital Experience.

All the time. Everywhere.
Market Leader in Cyber-Security and
Application Availability solutions

Global Alliances

World Class
Marketplaces
Líder en la Industria de seguridad de aplicaciones

API & HIGH SECURITY 2020

RANKED #1

THE FORRESTER WAVETM DDoS IDC MARKETSCAPE FOR GLOBAL

Mitigation Solutions, Q1 2021 DDOS PREVENTION 2019

LEADER LEADER

BOT MANAGEMENT 2020

LEADER
 Alto Riesgo al Sector Service Providers
MAYOR SUPERFICIE DE ATAQUE A CONSECUENCIA DE COVID-19

71%*
de los Service Providers reportan
ataques exitosos de bots, desde el
Acceso remoto de empleados / Nuevas amenazas inicio de la pandemia
proveedores (APIs) más sofisticadas

3-5% de los ingresostotales

Costo financiero derivado de los ataques
de Bots, a las ventas en línea

Clientes finales consumen más

servicios en línea
(portal web, aplicación móvil)
*Forrester: State Of Online Fraud And Bot Management 2021
La Era de los Bots
Internet QUÉ HACE UN BOT BUENO
• Buscadores
• Servicios de Precios
26% • Web crawlers
• Fetchers

Tráfico Bots Tráfico Humano QUÉ HACEN LOS BOTS MALOS

52% 48% • Fraude de Inventario
• Robo de Cuentas (ATO)
• Ataques DDoS
• Web Scraping

52% del tráfico total de Internet es

generado por Bots 4 DE 5 empresas no distinguen entre
tráfico humano y tráfico de Bots
 La Amenaza Evoluciona
BOTS

SCRIPT BOT HEADLESS BROWSER BOT HUMAN-LIKE BOT DISTRIBUTED BOT

TECHNOLOGY

BLACKLISTS DEVICE/BROWSER INTERACTION (SHALLOW) INTENT (DEEP)

IP, User Agent Cookie, JS, Fingerprinting Mouse movement & keystrokes anomalies Correlation in intent signatures
across devices

USER BEHAVIORAL ANALYSIS

6
“Web Application & API Protection (WAAP) es la evolución del
mercado de WAF, expandiendo las capacidades de WAF a
cuatro características principales: WAF, Protección DDoS,
Protección de Bots y Protección de API”.

-- Gartner --
La Seguridad también debe evolucionar
 RADWARE WAAP

ü Protección Completa contra todo tipo de amenazas:

OWASP Top-10, Bots Generación 1-4, DDoS, etc.
ü Tecnología Superior Patentada
ü Sin Falsos Positivos y sin Falsos Negativos
ü Servicio Administrado con soporte de expertos 24/7
ü Detección más precisa y capacidades de mitigación
avanzadas
ü Fácil de Implementar y Administrar
ü Solución Líder del Mercado

8
Métodología de Despliegue
Servicio Listo para Activar
• Alta de tenant = 1 hora
• Alta de apps = 1 hora
• Activación del servicio = 1 hora
Requisitos del Cliente
• Certificados de las aplicaciones
• Whitelisting de IPs Radware
• Actualizar DNS de las aplicaciones
 Vista General del Caso de Éxito

• Portal fuera de servicio

• Robo de cuentas a clientes Bloqueo de campaña de
• Suscripciones de servicios fraudulentas ataque

Primer Contacto Alta del Servicio Detección de la Contención de la Estabilidad y

con Cliente Amenaza Amenaza Resiliencia contra
Nuevos Ataques
Día 1 Día 3 Día 4 Día 5
Día 6 – Día 90

Revisión de prerrequisitos Redirección del tráfico hacia Características del ataque Activación de políticas Detección de nuevos ataques y
y planeación la nube de Radware y plan de mitigación sugeridas por IA mitigación automatizada, sin
falsos positivos
El Camino al Éxito
Paso 1: Identificar

• Actividad existente de Bots en la Aplicación

• Proporción del tráfico de Bots
• Intención del tráfico de Bots
• Vulnerabilidades explotadas por Bots en mi App

Criticidad y Riesgo al Negocio

Critical Sections Bad Bot Hits

Account Takeover - Login Page 107 Million

Application DDoS 89 Million

Captcha Bypass 25 Million

Web Scraping Attempts 63 Million

 Paso 2: Clasificar
Se clasifica la actividad maliciosa para un mejor entendimiento de la amenaza y cómo mitigarla:

1) Generación de los Bots (características del ataque)

2) Nivel de sofisticación de la amenaza (características del atacante)
Paso 3: Analizar

(Hour) 3rd of June 2021

Ataque Distribuido
• 30,000 eventos generados por Bots,
cada hora.
• Eventos generados desde 8,000 IPs
distintas.
• Tráfico entrante con origen en
multiples ISPs.

Top Subnet Series

Comportamiento de esta Botnet:

• Impression matching collective bot
intelligence & honeypots
• Spoofed browser/User Agent
• Programmatic browser behavior
• Programmatic slow bots with
signature tampering
• Anomalous user behavior etc.,
 Paso 3: Analizar
Bad Bot Hits
Country
(daily)
United States 255,041
Russia 68,772
India 45,983
Turkey 23,165
Luxemburg 22,560
Ataque proveniente desde 20 países, Mexico
Venezuela
21,986
17,323
incluyendo México y EE.UU. Ukraine
Canada
12,656
12,305
New Zealand 10,858
Estonia 10,673
Belgium 9,562
United Kingdom 9,034
Russian Federation 8,835
Romania 7,779
Mongolia 3,524
Switzerland 2,835
France 2,654
Ecuador 1,909
Brazil 1,002

Principales secciones atacadas en

los portales

Intención del ataque en cada

sección del portal
• Scraping, Scalping, DDoS, ATO, Spam…

HIGH WEBSCRAPING RISK IDENTIFIED ON

http://TiendaEnLinea.com/ej4
Paso 3: Analizar
Patrones de Ataque

1. Se identifican bots generando millones de transacciones

desde una misma dirección IP

2. Pero también se identifican bots generando pocas

transacciones desde miles de direcciones Ips

Actividad Evasiva Identificada

• Los atacantes hacen peticiones al portal web a través de
direcciones IP que rotan en alta frecuencia y así
dificultan los bloqueos de soluciones como WAF o DDoS.
 Paso 3: Analizar
Principales Agentes Maliciosos Utilizados por la Botnet

Agentes conocidos por utilizarse en ataques

“web-scraping” para robar información
 Paso 4: Mitigar y Estabilizar
Tras una detección precisa de la amenaza, se habilitan contramedidas avanzadas y el ataque se mitiga
por completo, sin generar falsos positivos.

Mitigación en minutos

ü Se mitigan eventos de seguridad como; Account Takeover, Spam, Fraude, DDoS, Scraping, etc.
 Paso 4: Mitigar y Estabilizar
Tras generar los bloqueos se estabiliza la operación de los portales web y además:

ü Se optimiza el tiempo de respuesta de las aplicaciones, mejorando la experiencia al cliente final.

ü Se reduce el procesamiento en servidores web consumido por tráfico malicioso, optimizando costos operativos.

Activación de Bloqueos
Optimización
 Paso 5: Monitoreo

Para no perder visibilidad y control de la actividad de Bots, la solución monitorea

permanentemente el comportamiento del tráfico y el estado de seguridad en los
portales/aplicaciones.

ü Si se presentan nuevas amenazas, el servicio genera alertas de riesgo que

además son exportables hacia el equipo del SOC o hacia un SIEM.

ü Al detectar nuevos ataques, la Inteligencia Artificial del servicio aplica las

políticas de seguridad más efectivas para responder en tiempo real sin
impactar la experiencia de los clientes legítimos.

Las plataformas digitales se encuentran seguras, optimizadas y resilientes.

Se devulve la confianza al negocio de que la experiencia del cliente final está protegida.
Resultados a 60 Días de Activación

2 mil millones de hits de bots maliciosos bloqueados!

ü Principales ataques detectados y mitigados exitosamente

o Robo de Cuentas (ATO)
o Suscripciones Fraudulentas en Cuentas de Clientes
o Denegación del Servicio a los Aplicativos
o Spam

ü Se contuvo un ataque de 10Gbps de ataque, durante quincena. El tráfico

malicioso nunca llegó a los servidores web.

ü Se protegió la Tienda en Línea, sin incidentes, durante semana Hot Sale

 Beneficios Inmediatos al Negocio

Cumplimiento Prevenir Fraude y Robo Protección de la Información

Normativo de Cuenta a Clientes de Clientes y Negocio

Reducción de Costos Mejor Desempeño de

Operativos la Estrategia Digital
Líder en la Industria
API & HIGH SECURITY 2020
RANKED #1

THE FORRESTER WAVETM DDoS IDC MARKETSCAPE FOR GLOBAL

Mitigation Solutions, Q1 2021 DDOS PREVENTION 2019

LEADER LEADER

BOT MANAGEMENT 2020

LEADER
Thank You