Le score agrégé indique le niveau d'activité des bots observé dans tous les flux de connexion des clients CIC.
De la vente au détail en ligne aux médias sociaux – et tout ce qui se trouve entre les deux – les robots sont (l'une des raisons) pour lesquelles nous ne pouvons pas avoir de belles choses. Comme nous l'examinons en détail dans notre rapport sur l'état de l'identité sécurisée, ces robots numériques sévissent dans les flux d'identité à toutes les étapes du parcours de l'utilisateur :
- Les fausses inscriptions fraudent les formulaires d'enregistrement et polluent les systèmes d'intelligence client ;
- Les attaques par force brute utilisent des mots de passe compromis lors d'attaques de prise de contrôle de compte (ATO) ; et
- Les robots malveillants accablent les propriétaires d'applications d'escroqueries et de spams, dégradant l'expérience utilisateur.
Les applications destinées aux consommateurs, en particulier, doivent identifier et filtrer les robots dans le cadre de leurs objectifs de sécurité et de croissance. Et depuis le premier jour, Auth0 by Okta a consacré des efforts considérables à aider nos clients à le faire.
Bot ou pas bot ?
En tant qu'élément essentiel de l'extension Attack Protection dans Okta Customer Identity Cloud, notre fonctionnalité Bot Detection atténue les attaques scriptées contre les applications natives, les flux sans mot de passe et les pages de connexion personnalisées.
En corrélant une variété de sources de données (comme les événements passés associés à une adresse IP, l'historique de connexion récent, les données de réputation IP et un assortiment d'autres facteurs), nous pouvons détecter quand une demande d'identité provient probablement d'un robot. Lorsque la fonction de détection de robots détecte des demandes de connexion de robots ou scriptées, elle déclenche une étape CAPTCHA dans le flux de connexion.
Au fil des ans, nous n'avons cessé d'affiner nos capacités de détection des robots : la version actuelle utilise un modèle d'apprentissage automatique (ML) qui ingère plus de 60 entrées – et lorsque nous avons introduit ce nouveau système l'année dernière, il a réduit les attaques de robots de 79 % au-delà de son prédécesseur.
Il est important de noter que l'amélioration des capacités de défense a été réalisée sans la dépense de friction utilisateur : même pendant les attaques, moins de 1 % des défis sont présentés aux utilisateurs humains légitimes.
S'appuyer sur la détection de bots : le niveau de menace identitaire (ITL)
Étant à la « porte d'entrée » des applications avec une solution de Customer Identity and Access Management (CIAM) qui sécurise des milliards de transactions de connexion par mois, Auth0 dispose d'un point de vue unique à partir duquel surveiller les menaces d'identité.
Cette perspective puissante a été à l'origine du niveau de menace d'identité (Identity Threat Level, ITL), un score de 0 à 10 qui indique le niveau d'activité des robots ciblant les systèmes CIAM : un score de 0 signifie qu'il n'y a pratiquement aucune activité de robots à signaler, tandis qu'un score de 10 signifie que la quasi-totalité du trafic est attribuable aux robots.
En regroupant (de manière anonyme, bien sûr !) les observations de l'ensemble de notre clientèle, nous pouvons calculer un ITL pour différents secteurs et zones géographiques, avec la possibilité d'introduire des segmentations supplémentaires basées sur d'autres attributs courants.
Le suivi des tendances historiques et des changements quotidiens peut révéler des risques élevés pour les flux de connexion et d'inscription CIAM, permettant aux fournisseurs d'applications d'améliorer leur propre surveillance, de durcir de manière proactive les seuils, de mettre en œuvre des défenses supplémentaires ou de répondre de toute autre manière qu'ils jugent appropriée.
Dans les coulisses
Voici un aperçu simplifié de la façon dont un ITL est calculé.
Chaque jour, l'instrumentation ITL analyse des échantillons de trafic qui couvrent tous les secteurs et toutes les zones géographiques et comprend des clients de toutes tailles. En recoupant les échantillons avec nos capacités de détection des robots, nous sommes en mesure de déterminer avec une grande précision quelle proportion de ces flux d'identité sont associés à des robots. Enfin, pour chaque dimension ou combinaison de dimensions (par exemple, les services financiers en Amérique du Nord), nous calculons l'ITL.
L'ITL est basé sur le trafic des clients d'Okta Customer Identity Cloud ; nous pensons qu'il est raisonnable de conclure que les organisations qui ne sont pas clientes connaîtront des menaces similaires, mais nous ne pouvons pas affirmer et n'affirmons pas que c'est définitivement le cas.
Observations furtives
Alors que les futurs articles exploreront l'ITL plus en détail, y compris en se penchant sur les tendances en matière d'identité et peut-être même sur des campagnes d'attaque spécifiques, dans cet article, nous nous en tiendrons à quelques observations de haut niveau.
Par exemple, prenons le graphique ci-dessous, qui montre l'ITL pour le secteur du voyage/transport, dans toutes les régions, du 1er janvier 2023 au 1er avril 2023.
Rien qu’en effectuant un examen visuel rapide, nous pouvons constater jusqu’à présent qu’en 2023, cette ITL fluctue de haut en bas autour d’une moyenne d’environ 5,5, les pics correspondant aux week-ends (certains secteurs présentent cette tendance jour de semaine/week-end, et d’autres pas).
Ensuite, utilisons l'ITL pour voir comment la menace des robots varie selon les secteurs. Dans le graphique ci-dessous, nous avons effectué un zoom arrière sur une vue hebdomadaire pour présenter plus clairement les tendances générales dans les secteurs des services financiers, de la vente au détail/commerce électronique et des logiciels/SaaS/technologie.
Nous pouvons constater que, parmi les trois secteurs, le commerce de détail/e-commerce a connu le pic ITL le plus élevé (près de 8) et a obtenu un score moyen d'environ 6. Au cours de la même période, les services financiers ont culminé avec un ITL de 7, mais ont généralement eu une tendance à la baisse, tandis que les logiciels/SaaS/Tech ont maintenu un ITL assez constant d'environ 5,5.
Pour notre troisième exemple, concentrons-nous sur le secteur de la santé (avec une agrégation globale et une granularité hebdomadaire). Il est clair qu'aux alentours du début du mois de mars, l'activité des robots ciblant le secteur de la santé a considérablement augmenté, passant d'un ITL de base d'environ 3,5 à des pics répétés approchant 6,0 !
Les fournisseurs d'applications de soins de santé savent-ils qu'ils sont assiégés et configureraient-ils leurs défenses différemment s'ils le savaient ?
Comme dernier exemple, revenons à Travel/Transportation, mais cette fois, nous allons approfondir d'un niveau et examiner l'ITL pour trois zones géographiques différentes : les Amériques (AMER), l'Asie-Pacifique (APAC) et l'Europe, le Moyen-Orient et l'Afrique (EMEA).
De cette ventilation, nous pouvons constater que, bien que l'ITL composite Voyages/Transports ait tendance à se situer dans la fourchette de 5,5 à 6,0, le niveau de menace varie considérablement selon la région : les régions APAC et EMEA se situent en grande partie dans la fourchette de 3,0 à 4,0, tandis que le score AMER est resté supérieur à 7,0 pour toute l'année 2023 !
Préparer l’avenir
Les métadonnées firmographiques anonymes peuvent nous aider non seulement à surveiller ce qui se passe, mais aussi pourquoi. Par conséquent, l'ITL ne se limite pas à l'observation des tendances d'attaques : il s'agit de faire apparaître des informations et d'éclairer les actions visant à protéger à la fois les fournisseurs et les utilisateurs de services en ligne.
Parallèlement, les scores ITL fournissent à la communauté de la sécurité au sens large des données qui – jusqu'à présent – n'étaient disponibles que pour une poignée d'organisations.
En fin de compte, nous n'avons fait qu'effleurer la surface des informations que les scores ITL peuvent fournir, et nous vous invitons à vous joindre à nous dans ce voyage de découverte.
