DataDome

Comment fonctionne l’équipe SOC de DataDome spécialisée dans les bots ?

Table des matières
Paige Tester, Director of Content Marketing
2 May, 2022
|
min

Un Security Operations Center (SOC) offre des services de surveillance et de réponse aux incidents en cybersécurité. L’équipe SOC de DataDome nous aide à contrer le nombre croissant d’attaques automatisées ciblant les applications mobiles, sites web et API de nos clients.

La technologie offre des outils puissants pour la détection des bots, mais l’expertise humaine reste cruciale. En coulisses, notre équipe SOC dédiée aux bots s’assure que la solution DataDome s’adapte en continu aux schémas de menaces automatisées en constante évolution.

Composée de chercheurs en cybersécurité et de data scientists spécialisés, l’équipe SOC de DataDome :

  • Surveille de près les nouvelles technologies et l’évolution des navigateurs.
  • Analyse les tendances autour de l’utilisation des bots et des bibliothèques associées.
  • Infiltre les communautés de développeurs de bots pour mieux comprendre leurs techniques.
  • Utilise une approche de red team pour constamment tester et challenger leurs découvertes techniques.

Le principal résultat des efforts de l’équipe est la création de jeux de données labellisés, utilisés pour alimenter nos algorithmes de machine learning (ML). Le ML, branche de l’intelligence artificielle (IA), permet aux systèmes d’apprendre et de s’améliorer à partir de l’expérience, sans intervention humaine. Les jeux de données qualifiés par notre équipe SOC identifient précisément les schémas de bots ou d’humains, et alimentent notre « nouvelle usine de modèles », garantissant que chaque nouveau modèle de ML soit un terrain de jeu sécurisé pour nos algorithmes.

Voici quelques questions fréquemment posées sur notre équipe SOC bots, auxquelles nous répondons dans cet article :

  1. Comment l’équipe SOC est-elle organisée ?
  2. Comment l’équipe SOC surveille-t-elle les menaces ?
  3. Comment l’équipe SOC informe-t-elle les clients en cas d’événement ?
  4. Quelles actions l’équipe SOC peut-elle entreprendre ?

FAQ de l’équipe SOC dédiée aux bots

1. Comment l’équipe SOC est-elle organisée ?

Sous la direction de notre Directeur de la recherche, Antoine Vastel, PhD, l’équipe SOC est constituée d’experts variés, allant d’analystes à des data scientists et des chercheurs spécialisés en menaces. L’équipe est conçue pour assurer une redondance des compétences et une diversité d’expertises, permettant de faire face à une large gamme de menaces.

2. Comment l’équipe SOC surveille-t-elle les menaces ?

L’équipe SOC de DataDome surveille de manière proactive le trafic automatisé des clients et applique des mesures d’atténuation pour garantir une sécurité et des performances optimales en permanence.

Elle utilise plusieurs méthodes de surveillance, notamment :

  • Surveillance en temps réel : Notre moteur de détection en streaming effectue une détection des anomalies sur plusieurs indicateurs à différents niveaux de granularité (comportement par IP, comportement par session, répartition géographique, etc.). En cas d’activité anormale, une alerte est automatiquement générée et examinée par un membre de l’équipe SOC. Vous pouvez en savoir plus sur ce processus dans notre présentation OWASP ici.
  • Statistiques agrégées : Nous compilons également des statistiques globales pour surveiller les faux positifs et faux négatifs, par exemple le taux de réussite des CAPTCHA ou le volume de requêtes suspectes, basé sur une multitude de signaux (empreintes numériques, localisation des requêtes, heure de la journée, etc.). Là aussi, une activité suspecte déclenche une alerte automatique, examinée ensuite par l’équipe SOC.

Notre équipe est toujours disponible pour enquêter sur toute activité suspecte ou analyser les attaques de bots bloquées.

3. Comment l’équipe SOC informe-t-elle le client en cas d’événement ?

L’équipe SOC partage ses découvertes importantes avec l’équipe support, qui contacte ensuite le client via son canal de communication préféré (email, Slack ou téléphone).

Si nécessaire, un membre de l’équipe SOC peut se joindre à un appel ou une visioconférence pour communiquer rapidement avec le client et répondre à ses questions.

4. Quelles actions l’équipe SOC entreprend-elle ?

Si l’équipe SOC découvre que la détection n’est pas assez agressive ou qu’une partie d’une attaque échappe au blocage, sa priorité est de mettre en place rapidement une mesure d’atténuation efficace pour stopper toute partie résiduelle de l’attaque.

Notre moteur de détection en temps réel est conçu pour permettre à un analyste ou chercheur, dès qu’il détecte une activité malveillante, de déployer rapidement de nouvelles mesures d’atténuation sur tous nos points de présence, et ce en quelques secondes.

Ces mesures d’atténuation peuvent s’appuyer sur différents types de signaux, tels que :

  • Signatures : Empreintes TLS, en-têtes HTTP, empreintes numériques du navigateur (JS), SDK mobiles, etc.
  • Comportement : Événements comportementaux côté client (mouvements de souris, vitesse de défilement, etc.) et événements côté serveur (analyse de séries temporelles et de graphes sur la manière dont l’utilisateur effectue des requêtes, vitesse, fréquence, chemin de navigation, etc.).
  • Réputation : La réputation est calculée au niveau de la session et de l’IP. L’équipe utilise également des informations sur le type d’IP (data center/résidentiel) pour déterminer si l’IP fait partie d’un réseau proxy.

Une fois la mesure d’atténuation à court terme mise en place, l’équipe analyse minutieusement le trafic pour mieux comprendre ce qui s’est passé et comment améliorer à long terme notre détection des bots et des fraudes. Une explication détaillée est ensuite fournie au client.

Cette explication peut prendre différentes formes en fonction des découvertes : compréhension approfondie du modus operandi du bot et de ses intentions, identification de nouveaux signaux de détection, ajout de fonctionnalités à nos modèles de machine learning, etc.

En cas de faux positifs, l’équipe SOC identifie la cause principale et ajuste les modes de détection concernés.

Rôle essentiel de l’équipe SOC dédiée aux bots

En définitive, la solution DataDome ne serait pas aussi performante sans l’intelligence humaine qui la pilote. L’équipe SOC dédiée aux bots joue un rôle clé dans le développement de nos modèles d’IA et de machine learning, permettant d’assurer une protection à grande échelle contre les bots et la fraude en ligne. Grâce à leur expertise, la solution DataDome s’adapte rapidement aux schémas de menaces en constante évolution, offrant une protection 24/7 à nos clients dans le monde entier.

DataDome
Paige Tester
Director of Content Marketing
Paige est directrice du marketing de contenu chez DataDome. Forte d'une expertise de plus de dix ans dans la création de contenu, elle dirige le développement de contenu stratégique approfondi qui met en avant les techniques avancées de détection des bots et de la fraude en ligne. Son travail fournit aux professionnels de la cybersécurité des informations exploitables et des connaissances de pointe, qui leur permettent de garder une longueur d'avance sur les menaces émergentes.

Articles liés