Bot aussi : pourquoi l’automatisation « oubliée » est dangereuse pour les entreprises

Il y a quelque temps, alors que nous associions la protection contre les attaques DDoS et les attaques de robots pour une grande entreprise de commerce électronique, nous avons découvert une activité automatisée importante sur un sous-réseau d'une grande agence d'évaluation du crédit. Il s'est avéré que notre client a en fait été attaqué par une certaine banque, lui envoyant régulièrement de nombreuses demandes au service. Une forte charge sur les serveurs clients était perceptible aux heures de pointe. Cela n'a pas entraîné d'indisponibilité ni de dégradation notable des performances des sites Web et des applications mobiles du client en raison de la grande capacité disponible.

Comme l'a montré une analyse plus approfondie avec le client, la cause de cette activité « malveillante » n'était pas des pirates informatiques, des saboteurs-employés de la même banque ou des concurrents, mais une manifestation d'insouciance et de désordre élémentaires dans la création et le soutien de l'automatisation. Eh bien, les attaques périodiques ne sont pas du tout des attaques, mais simplement une automatisation gourmande et incroyablement persistante, oubliée il y a un an et demi. Nous ne pouvons pas dire que nous avons été très surpris. Une entreprise sur trois qui connecte une solution de protection contre les robots ou les attaques DDoS au niveau des applications est confrontée à l'un ou l'autre volume de trafic de nature similaire.

En fait, l'une des étapes de connexion des ressources pour se protéger contre un large éventail d'actions illégales est la « formation » aux solutions permettant de travailler avec le trafic client. Les experts analysent le trafic reçu sur plusieurs jours et le divisent en groupes. Le groupe de trafic « Navigateur » est généralement le plus compréhensible et prévisible. A l'aide d'un navigateur standard (Yandex.Browser, Chrome, Firefox, etc.), l'utilisateur envoie une requête au service client. Les groupes d'applications mobiles clientes sont connus de l'entreprise elle-même, et les anti-bots sont formés sur leur trafic, ils sont donc bien différenciés.

Les choses deviennent un peu plus compliquées lorsque vous utilisez des actions automatisées. Cela peut être légal ou illégal. Les requêtes des moteurs de recherche sont un exemple d’automatisation clairement légitime. Mais à côté de cela, il existe d'autres automatisations qui, dans le cas le plus simple, ressemblent à du trafic apparaissant constamment ou périodiquement à partir d'un sous-réseau d'hébergement connu, envoyant plusieurs requêtes du même type. En fait, les services de grande et moyenne taille disposent généralement également de fonctionnalités d’automatisation utiles. Lorsque les robots demandent des informations à des fins et tâches différentes, dans le cadre d'un partenariat avec des services tiers, et même au sein de différents services d'un même groupe de sociétés.

En effet, lors de la préparation du trafic pour un nouveau service, nos spécialistes participent au processus d'audit de toutes les automatisations existantes. Les options d'automatisation (appelées Sous-réseau de source de trafic, Type d'agent et Méthode de caractérisation de charge) sont mises en surbrillance. L'ingénieur client doit alors dire : « Ceci est notre automatisation, ignorons-le » ou « Je vais le supprimer ». En fait, dans un cas sur trois, le représentant informatique du client, en plus de ses attentes, répond ce qui suit : « Oui, c'est notre Zabbix » et « C'est définitivement un robot ». Il y a longtemps, nous utilisions une ancienne version lente de l’API, ce qui nous ajoutait du stress. Ou encore ceci : « On dirait qu'il a été créé par une équipe partie il y a longtemps, et ce n'est pas clair. pourquoi cela fonctionne et quel en est l'avantage. Nous allons maintenant simplement le marquer comme suspect et procéder à une vérification ultérieure. Nous déciderons quoi en faire. » Et dans presque toutes les grandes entreprises, nous sommes confrontés à des situations où les ingénieurs disent : « Oui, ce sont nos partenaires, mais pour une raison quelconque, nous n'étions pas d'accord avec eux : « J'irai avec vous pour résoudre ce problème ».

Les botnets oubliés ne sont pas aussi inoffensifs qu’il y paraît à première vue. Souvent, les requêtes qui survivent sont celles qui ne chargent jamais un service avec des milliers d'utilisateurs, mais elles ralentissent désormais considérablement les systèmes qui mémorisent des millions de clients, de produits, de transactions et d'autres objets. Et cette automatisation consomme des ressources informatiques depuis des années. Dans certains cas, une automatisation autrefois utile, devenue inutile mais qui continue de fonctionner, peut représenter jusqu'à 30 % du trafic total, ce qui impose déjà une charge importante sur les serveurs. Et plus le service est grand, plus il dure longtemps et plus il collabore avec les services d'autres équipes et entreprises, plus il est probable que vous rencontriez une automatisation « oubliée ».

L'expérience montre que si un service a été lancé il y a 3 ou 4 ans, compte des dizaines de milliers d'utilisateurs uniques par semaine et collabore avec des services partenaires, alors une telle automatisation inexplicable se produit presque toujours et il n'existe pas une seule instance. Et si votre équipe informatique a changé plus d’une fois, vous ne pourrez peut-être pas déterminer quand ni par qui la décision a été prise de s’engager avec le même partenaire, comme c’est le cas pour les clients du commerce électronique. Il s'agit d'une banque, mais après 3 semaines de processus, la connexion s'est déconnectée, mais cela n'a rien affecté. La charge a simplement diminué.

L'essence de l'émergence de l'automatisation « oubliée » réside dans le manque de comptabilité et le flou des frontières de responsabilité, combinés au principe rationnel « pourquoi casser ce qui fonctionne ». Pour l’instant, vous pouvez contourner ce problème en achetant de l’énergie supplémentaire. C'est généralement plus facile et moins cher. Même ainsi, si vous ne nettoyez pas régulièrement vos services et ne consacrez pas de ressources à l'audit et à l'inventaire, le fardeau de votre dette technique peut s'avérer insoutenable. Comme le montre la pratique, après que des circonstances internes ou externes ont rétabli l'ordre dans les ressources, le service commence à « respirer » plus librement. Les erreurs de surveillance sont éliminées, la charge du serveur est réduite et le temps de réponse est amélioré.

Les opinions de l'éditeur peuvent ne pas refléter celles de l'auteur.

Источник: Forbes Россия