在采访中,HUMAN Security的CISO Gavin Reid谈到了最新的网络安全威胁以及攻击者如何变得越来越狡猾,他解释了企业在保持用户体验的同时检测欺诈和恶意机器人所面临的困难。
Reid还为CISO们提供了关于如何在安全和业务创新之间找到平衡的建议。
作为CISO,哪些新兴威胁让你夜不能寐?
随着我们越来越擅长根除恶意行为并阻止其发生,威胁行为者正在寻找新的、更有效的方式来隐藏或持续其能力,同时,我们使用的系统日益复杂和集成,导致攻击面更大,配置更难锁定,这催生了一个蓬勃发展的地下犯罪网络,进而需要个人和企业自我保护。
例如,今年早些时候,我们发现Google Play商店上有一系列VPN应用,它们在用户不知情的情况下将用户设备变成代理节点。攻击者还隐藏在住宅代理背后进行各种类型的攻击,包括账户接管(ATO)攻击、交易滥用、程序化广告欺诈和网页抓取,这使得他们很难被发现和打击。
随着AI和自动化提高了网络欺诈的效率、有效性和覆盖范围,威胁运营的规模不断扩大也让我感到担忧。例如,最近被打乱的Phish ‘n’ Ships全球欺诈行动通过钓鱼获取消费者的支付信息,并向他们出售假货,从而从数十万消费者手中窃取了数千万美元,他们通过感染1000多个网站来设置假冒产品链接,这些链接会重定向到荷兰语、英语、法语和德语的121个假冒网店,这次活动的各个阶段都是由机器人完成的。
企业在区分人类交互与机器人驱动或欺诈活动方面面临的最大挑战是什么?
并非所有机器人都是坏的——有些机器人是好的,它们通过聊天机器人、搜索引擎网络爬虫或测试和监控网站性能的机器人来增强用户体验。不幸的是,大多数机器人被滥用于商业,它们可能产生公司网站流量的50%以上。
需要区分这两者使得网站所有者很难在不阻碍增强用户体验的好机器人的情况下准确检测和减轻坏机器人。
机器人检测是通过识别坏机器人的标记来工作的,包括来自恶意域的请求和表现出的行为模式。建立正常人类网络活动的基线,并从传入流量中识别异常行为是有效机器人检测的核心。
恶意机器人的一些关键特征包括快速查看大量页面、会话时间远短于或远长于通常情况、不遵循标准用户访问模式直接跳转到内部HTML页面、流量不完全模拟人类行为、流量持续很长时间以及异常客户活动(如登录失败、密码重置、交易失败或新账户创建激增)。
哪些关键行业或部门最容易受到不真实数字活动的影响?
不出所料,对于专注于管理用户资金的企业来说,账户接管和信用卡攻击在金融行业中很常见。在这些情况下,网络犯罪分子试图闯入账户并从支付页面窃取信息。因此,金融行业很早就采用了网络安全协议和工具,以确保拥有一个全面且资金充足的安全计划,而旅游和酒店行业尚未以同样的方式做出这种转变。
零售业是最受目标攻击的行业,这也不足为奇,因为每季度有数万亿笔交易发生,消费者支出达数千亿美元。我们可以在平台上看到与特定日期和事件相关的机器人活动激增,比如大促销以及圣诞节、网络星期一和黑色星期五等假期,这些时候的购买活动会大幅增加。
在流媒体和媒体领域,我们看到免费试用仍然很常见,以吸引用户无需预付费用即可加入服务,这为创建虚假账户且最终不付费创造了有利环境。媒体和流媒体行业面临的另一个不断上升的威胁是内容抓取,因为机器人收集的情报在AI时代带来了越来越大的风险。
CISO应使用哪些KPI来评估欺诈检测和预防解决方案的有效性?
- 检测效率:平台或工具在检测已知事件方面的成功程度如何?
- 用户影响:平台或工具如何减少真实用户的摩擦?
- 机器人/恶棍影响:平台或工具在阻止或给坏机器人制造摩擦方面的成功程度如何?
- 上下文有用性:平台或工具被成功用来理解事件的频率是多少?
你会对希望在合规与安全创新之间找到平衡的大型企业提出什么建议?
好的CISO会做出平衡的风险决策,差的CISO会阻碍公司的创新。行业最佳实践与法规的结合迫使公司采用强大的安全工具和方法,推动公司建立一个强大的基线来构建有效的保护。
然而,CISO必须仔细评估他们选择对哪些资产采取最大安全措施。如果你认为一切都需要那么高级别的安全,你就会成为那个喊“狼来了”的CISO——而且没有人会相信你。
相反,CISO必须确定业务驱动因素——对业务至关重要的应用程序和数据源——并优先保护这些资产。虽然这可能会因为其他资产保护较少而产生更多风险,但这种理念确保了CISO可以在有效性与安全性之间找到平衡。