Bot także: dlaczego „zapomniana” automatyzacja jest niebezpieczna dla biznesu

Некоторое время назад, связывая защиту от DDoS-атак и бот-атак для крупной компании электронной коммерции, мы обнаружили значительную автоматизированную активность в подсети крупного кредитного бюро. Выяснилось, что на нашего клиента на самом деле атаковал некий банк, регулярно отправляя ему в сервис множество запросов. Большая нагрузка на клиентские серверы была заметна в часы пик. Это не привело к недоступности или заметному снижению производительности веб-сайтов и мобильных приложений клиента из-за наличия больших свободных мощностей.

Как показал дальнейший совместный анализ с заказчиком, причиной этой «злонамеренной» деятельности стали не хакеры, диверсанты-сотрудники того же банка или конкурентов, а проявление элементарной невнимательности и неупорядоченности при создании и поддержке автоматизации. Ну а периодические атаки — это вообще не атаки, а просто жадная и невероятно настойчивая автоматизация, о которой забыли полтора года назад. Нельзя сказать, что мы были очень удивлены. Каждая третья компания, подключающая решение для защиты от ботов или DDoS-атак на уровне приложений, сталкивается с тем или иным объемом трафика аналогичного характера.

По сути, одним из этапов подключения ресурсов для защиты от широкого спектра противоправных действий является «обучение» решениям по работе с клиентским трафиком. Эксперты анализируют полученный трафик за несколько дней и делят его на группы. Группа трафика «Браузер» вообще самая понятная и предсказуемая. Используя стандартный браузер (Яндекс.Браузер, Chrome, Firefox и т.п.), пользователь отправляет запрос в клиентский сервис. Группы клиентских мобильных приложений известны самой компании, а антиботы обучены на их трафике, поэтому хорошо дифференцированы.

Все становится немного сложнее, когда вы используете автоматизированные действия. Это может быть законным или незаконным. Примером явно легитимной автоматизации являются запросы поисковых систем. Но помимо этого есть и другие автоматизации, которые в простейшем случае выглядят как постоянно или периодически появляющийся трафик из известной подсети хостинга, отправляющий множество однотипных запросов. Фактически, крупные и средние сервисы обычно также имеют полезные функции автоматизации. Когда боты запрашивают информацию для разных целей и задач, в рамках партнерства со сторонними сервисами и даже внутри разных сервисов одной группы компаний.

Tak naprawdę, przygotowując ruch dla nowej usługi, nasi specjaliści biorą udział w procesie audytu całej istniejącej automatyzacji. Opcje automatyzacji (zwane podsiecią źródła ruchu, typem agenta i metodą charakteryzacji obciążenia) są podświetlone. Inżynier klienta powinien następnie powiedzieć: „To jest nasza automatyzacja, pomińmy to” lub „Usunę to”. Tak naprawdę w co trzecim przypadku przedstawiciel IT klienta oprócz oczekiwań odpowiada: „Tak, to jest nasz Zabbix” i „To na pewno bot”. Dawno temu korzystaliśmy ze starej, powolnej wersji API, co było dla nas dodatkowym stresem.” Albo nawet tak: „Wygląda na to, że założył ją zespół, który odszedł dawno temu i nie jest to jasne. dlaczego to działa i jakie są z tego korzyści. Teraz po prostu oznaczymy to jako podejrzane i przeprowadzimy kolejną kontrolę. Zadecydujemy, co z tym zrobić.” I prawie w każdej dużej firmie mamy do czynienia z sytuacjami, w których inżynierowie mówią: „Tak, to są nasi partnerzy, ale z jakiegoś powodu nie zgodziliśmy się z nimi: „Pójdę z tobą, aby to rozwiązać”.

Zapomniane botnety nie są tak nieszkodliwe, jak się wydaje na pierwszy rzut oka. Często żądania, które przetrwają, to te, które nigdy nie ładują usługi z tysiącami użytkowników, ale teraz dramatycznie spowalniają systemy, które zapamiętują miliony klientów, produktów, transakcji i innych obiektów. A ta automatyzacja od lat pochłania zasoby obliczeniowe. W niektórych przypadkach niegdyś użyteczna automatyzacja, która stała się nieistotna, ale nadal działa, może odpowiadać nawet za 30% całkowitego ruchu, co już i tak znacznie obciąża serwery. A im większa usługa, tym dłużej żyje i im częściej współpracuje z usługami innych zespołów i firm, tym większe prawdopodobieństwo, że spotkasz się z „zapomnianą” automatyzacją.

Doświadczenie pokazuje, że jeśli usługa została uruchomiona 3-4 lata temu, ma dziesiątki tysięcy unikalnych użytkowników tygodniowo i współpracuje z serwisami partnerskimi, to taka niewytłumaczalna automatyzacja występuje prawie zawsze i nie ma ani jednego przypadku. A jeśli Twój zespół IT zmienił się więcej niż raz, możesz nie być w stanie określić, kiedy i kto podjął decyzję o nawiązaniu współpracy z tym samym partnerem, jak ma to miejsce w przypadku klientów z branży e-commerce. To jest bank, ale po 3 tygodniach procesu połączenie zostało rozłączone, ale nie miało to na nic wpływu. Obciążenie po prostu spadło.

Istotą powstania „zapomnianej” automatyzacji jest brak rozliczenia i zacieranie się granic odpowiedzialności w połączeniu z racjonalną zasadą „po co psuć to, co działa”. Na razie możesz obejść ten problem, kupując dodatkową moc. Zwykle jest to łatwiejsze i tańsze. Mimo to, jeśli nie sprzątasz regularnie swoich usług i nie poświęcasz zasobów na audyt i inwentaryzację, obciążenie długiem technicznym może być nie do utrzymania. Jak pokazuje praktyka, gdy okoliczności wewnętrzne lub zewnętrzne przywrócą porządek w zasobach, usługa zaczyna „oddychać” swobodniej. Eliminowane są błędy monitorowania, zmniejsza się obciążenie serwera i skraca się czas reakcji.

Poglądy redaktora mogą nie odzwierciedlać poglądów autora.

Источник: Forbes Россия