Эксперты лаборатории Servicepipe изучили, насколько эффективны клиентские и серверные фингерпринт-сигналы в многоуровневой системе защиты от ботов, которая используется в решении Servicepipe Cybert.
В рамках работы команда оценивала возможность создания вероятностного профиля окружения пользовательского устройства или браузера. Такой профиль увеличивает затраты злоумышленников на маскировку и помогает лучше выявлять подозрительные сессии благодаря анализу расширенного набора технических параметров.
Кроме традиционных характеристик браузера, были исследованы новые перспективные источники информации. В частности, изучались экспериментальные сигналы на основе WebGPU (в поддерживающих его средах), а также признаки, указывающие на автоматизацию работы с браузером.
На стороне сервера и инфраструктуры анализ включал сетевые и протокольные характеристики: параметры TLS- и HTTP-взаимодействий, а также особенности сессионного трафика. Этот подход позволил разделить клиентские сигналы, генерируемые в браузере, и сетевые признаки, наблюдаемые на edge- и серверном уровне, чтобы затем объединить их в единую модель оценки рисков.
Исследование помогло определить комбинации сигналов, наиболее устойчивые к массовому спуфингу и эффективно дополняющие стандартные методы борьбы с ботами в сложных условиях. Это повысило точность обнаружения автоматизированного трафика в случаях, когда боты максимально точно имитируют поведение и окружение обычного пользователя. В результате был улучшен механизм оценки доверия к запросам и выявлены наиболее информативные наборы признаков для использования в рабочих политиках фильтрации.
«Современные средства автоматизации быстро развиваются и всё лучше копируют поведение пользователей и базовые параметры их окружения. Наша цель — понимать, какие методы обхода применяются на практике, и повышать вероятность обнаружения автоматизации за счёт корреляции клиентских сигналов, серверных сетевых признаков и поведенческих аномалий, — отметил руководитель направления по защите веб-приложений Servicepipe Сергей Андриенко. — Мы видим большой потенциал расширенного подхода к фингерпринтингу в Cybert: он помогает улучшить оценку трафика и усилить защиту по мере усложнения угроз».
Результаты исследования будут интегрированы в Cybert как часть многоуровневой системы анализа качества трафика и выявления мошенничества. Применение фингерпринтинга вместе с другими защитными механизмами позволит бизнесу эффективнее противостоять накрутке поведенческих метрик, скальпингу и другим видам автоматизированной активности, а техническим специалистам — работать с более точными и глубокими сигналами в условиях постоянно растущей сложности атак.
