Skip to content

Rate Limit: Uma Parte Vital da Segurança Web Moderna

O que é Rate Limit? Por que é uma parte tão vital da segurança efetiva da web e o que é importante saber sobre sua configuração com uma solução de segurança? Essas questões e muito mais serão discutidas nesse artigo.

O que é a Rate Limiting?

Sobretudo o Rate Limiting é a identificação da origem de tráfego hostil pelo ritmo na qual elas estão tentando acessar um recurso da rede. A solução de segurança web monitora a frequência e o timing das requisições de cada requisição. Quando uma requisição excede uma taxa limite especifica ela é bloqueada de acesso futuro por um período de tempo.

Por exemplo, é comum configurar limites em uma página de login. Praticamente todos os usuário legítimos serão hábeis de completar o processo de login em uma, duas ou possivelmente três tentativas. Entretanto, quando um “usuário” especifico tenta logar dezenas de vezes em alguns minutos e falha todas as vezes, esse usuário provavelmente não é legitimo. Provavelmente se trata de um autor ilícito tentando descobrir credenciais e tentando ter acesso não autorizado a uma conta de usuário. Realizar o Rate Limiting em uma página de login é uma forma simples e direta de bloquear essa atividade maliciosa.

Por que a Rate Limiting é tão importante?

O Rate Limiting é crucialmente importante no ambiente de ameaças moderno. Há diversas formas de ataque que são detectáveis monitorando as taxas de requisições. Aqui estão cinco delas:

Ataques de DDoS

O DDoS é um ataque que tenta fazer com que o sistema alvo fique indisponível para os usuários. Nesse sentido o atacante tenta sobrecarregar a rede da vítima com uma quantidade enorme de trafego para derrubar os servidores.

O DDoS é a situação mais óbvia que a Rate Limiting pode mitigar. Quando uma origem de trafego especifica faz muitas requisições em um período de tempo, então a solução de segurança web deve banir essa origem de acesso futuro na rede.

Entretanto, os atacantes de DDoS podem ser desafiadores de uma forma que os outros ataques não conseguem replicar. O primeiro “D” de DDoS significa distribuído; as requisições vêm de um grande número (potencialmente milhões) de endereços de IP diferentes, então qualquer requisição não violará a Rate Limiting. Nessa situação, a solução de segurança deve reconhecer que apesar da variedade de geolocalidades originadas, essas requisições ainda fazem parte de um mesmo ataque. Elas devem ser tratadas como uma única requisição de um lugar só, e todas as requisições seguintes devem ser bloqueadas.

Leia também:  5 dicas para aprimorar a segurança web

Credential Stuffing

Quando uma ameaça faz vazar informações de um grande site, eles normalmente coletam uma grande quantidade de credenciais. Logo depois, enviarão essas credenciais para que bots utilizem em outros sites na tentativa de roubar credenciais de login de outro lugar. Contudo esse tipo de ataque tem um alto índice de sucesso por que infelizmente muitos usuários reutilizam suas combinações de login e senha em diferentes sites.

Por sua natureza, esses bots acessarão páginas de login várias e várias vezes, já que eles tentam diversas combinações de credenciais. O Rate Limit é uma forma efetiva de detectá-los e bloqueá-los, prevenindo essa forma de tomada de conta.

Ataques de força bruta

Essas são formas mais rudes de ataques a credenciais. Aqui o atacante tenta adivinhar as credenciais de login sistematicamente tentando diversas variações até que uma funcione. Uma rede segura terá requisitos de credencial (como tamanho de senha e composição da mesma) que fazem o ataque de força bruta difícil de ser realizada. De qualquer forma, um grande ataque pode consumir uma grande quantidade de recursos da rede, então é importante bloqueá-los. Rate Limit funciona bem para isso.

Site Scraping e roubo de dados

Em alguns vetores, o scraping e o roubo de dados são alarmantes e bloquear essas atividades é de extrema importância. Por exemplo, no ecommerce, os competidores tentam roubar dados de precificação uns dos outros. Agregadores de conteúdo que vendem acesso aos dados devem prevenir o acesso não autorizado visto que essa é a base do seu modelo de negócio.

Bots scraper tentam acessa e copiar o máximo possível de dados das aplicação alvejadas. O Rate Limit pode detectar essa ação e contrariar o scraping.

Negação de inventário

Por fim, a negação de inventário, onde autores de ameaça podem usar bots de negação de inventário para começar transações (como reservar produtos em sites de ecommerce ou sites de viagens) sem nunca completa-las. Isso remove os itens disponíveis do inventário e previne que clientes legítimos comprem. Nesse sentido o Rate Limit pode detectar essas atividades e bloquear os bots.

Leia também:  E-Commerce: Como manter seguro?

Configurando o Rate Limit efetivamente

Assim como qualquer processo que pode filtrar tráfego de origem, o Rate Limit deve ser usado corretamente.

Se esses limites estão configurados de forma não apropriada, pode gerar falsos positivos e alguns usuários legítimos podem ser excluídos da aplicação protegida.

Se os limites estiverem muito altos, as consequências podem ser ainda piores, ele irá criar alertas de falso positivo. Ao invés de excluir alguns atacantes da rede, eles acabarão tendo acesso. O resultado disso dependerá do tipo de ataque; tudo desde consumo extra de recursos até a perda de dados privados para comprometer as contas de usuário.

Configurar os limites corretos requer análise cuidadosa dos dados históricos, a seleção de um algoritmo apropriado para analise, tornando os resultados disponíveis para o usuário monitorar e ajustar manualmente caso necessário.

Portanto, o Reblaze inclui mecanismos para fazer tudo isso automaticamente, além de outras funcionalidades importantes (como condições de eventos granulares, Rate Limit combinada para uma única URL, auto banimento de tráfego de origem maliciosa que viola os limites de taxa após a reinicialização e muito mais!)

Enfim, há muito mais que poderia ser dito sobre selecionar e otimizar o Rate Limit para soluções diferentes. Trataremos disso num artigo futuro.

Enquanto isso, ficaremos felizes em te oferecer uma demonstração do Reblaze incluindo não apenas o Rate Limit inteligente (junto a proteção de DDoS dedicada) mas também um WAF de última geração, gerenciamento avançado de bots, segurança de API e muito mais. Fale conosco para uma demonstração.

rate limit

Texto Original: Reblaze

Comente o que achou do artigo