服务提供商悖论

https://jerrygamblin.com/2016/07/06/top-1000-websites-blocking-vpn-tor-users/

欺诈和身份盗用已成为人们关注的主要话题,尤其是当涉及到用户和服务提供商之间的关系以及谁有责任和控制权来保护内容时。 许多组织将用户视为必不可少的邪恶和自己最大的敌人,而其他组织则将用户视为无法摆脱的解决方案。

用户被公司和个人指导所淹没,无法执行操作,例如不要单击不认识的人的电子邮件中的链接,“及早且频繁地”打补丁,并注意所访问的网站。 确保系统及其数据的安全性和完整性是用户的责任。

服务提供商面临着无休止的威胁威胁,这些威胁来自恶意行为者,这些恶意行为者正在寻找其装甲的任何可利用的裂缝以及通过公司和消费者数据获利的方法。 帐户接管(ATO)和身份盗用给全球企业和消费者造成数十亿美元的损失,以及数百万小时的缓解时间。 许多零售金融服务提供商使用了数百年的综合经验来保护自己和客户,并在保障措施上投入了数百万美元以确保完整性,但仍依靠用户在其访问和操作中发挥作用。 针对两个因素的身份验证(强而唯一的密码)以及可信任且安全的网络连接提出了建议(但并非普遍实施),这将使用户承担责任和义务,以确保帐户和服务体验的完整性。 。

问题

几个月前,互联网隐私规则发生了变化,导致安全专家和倡导者强烈鼓励用户采取行动,以保护他们的网络连接,以免在不安全的环境中利用VPN窥视。 不幸的是,许多零售商和金融服务机构一直在阻止VPN和代理的使用,而没有向客户提供任何原因的解释或警告。

在撤销隐私规则之前的一年多时间里,安全研究员杰里·甘布林(Jerry Gamblin)注意到nike.com阻止了来自Onion Router(TOR)代理和VPN提供商的流量,并决定更深入地研究其他网站阻止了那些来源的流量。 在前1000名阻止用户中发现了很多站点,但是当时他的列表中没有包括Synchrony和PayPal这样的付款提供商,这些提供商也阻止了VPN的使用。

悖论

通过阻止用户通过VPN连接访问服务,零售商和金融服务业已经面临着保护客户免受ATO或凭证泄露的挑战,从而迫使用户降低安全状况以访问他们的服务,而没有清楚地了解为什么。

沟通是关键-对于不允许VPN连接的站点,向用户显示着陆页消息,例如“错误的网关”或“不活动超时”,这不仅会给用户带来不良的体验,而且还会传达错误的叙述连接的问题实际上是。 结果,可以认为服务的可靠性很差,只需将问题传达给用户就可以解决。

错误的UX导致错误的RX —为了使用户与服务交互,他们现在必须通过断开VPN的连接来降低其安全性和隐私状态,并接受与用户Web帐户无关的风险。 如果有足够的服务执行此操作(或多次访问同一服务),则必须启用和禁用应用程序的烦恼不仅使用户面临自满的风险,而且会造成挫败感,最终使可用性最终无法赢得完整性。

普遍影响-是的,服务可能会赢得战斗,但不会赢得战争。 线路上缺乏完整性可能导致平台上缺乏完整性,这可能导致服务完整性不足,而不仅仅是单个服务。

阻止VPN等于减少ATO —安全团队基于许多因素做出阻止IP地址的决定:深入分析以前的攻击,主动使用包含来自恶意活动的IP地址的数据源,不允许的决定来自Microsoft或Amazon之类的云提供商的访问权限,或者上述所有条件。 不幸的是,由于缺少IPv4地址,我们越来越依赖于动态云基础架构。 这意味着云租户及其客户可能会获得降级的IP或遍历与使用它进行恶意攻击的人相同的IP,就像其他互联网一样。 阻止这些IP地址被视为徒劳无功,因为VPN和代理提供商通常会转移ASN,这意味着防御者只能有效防御特定级别的犯罪分子/参与者。

使用负刷绘制TOR或其他匿名解决方案也很容易。 “ TOR用于连接到暗网。 媒体说暗网是坏的。 因此,TOR的用户很糟糕。”不幸的是,坏人使用的VPN和代理都与您相同。 这并不会使VPN提供商或其客户变坏,反而使它们成为Internet的一部分,坏人也会使用它们。

侵入性的客户跟踪和广告发布-围绕广告拦截的另一场战役也引起了争议,但是,许多网站礼貌地告诉用户,他们必须关闭广告拦截器或启用/接受Cookie才能访问他们的内容。 他们积极地向用户传达广告在支持其环境方面的重要性,并允许他们做出明智的决定。

要考虑的事情

欺诈和恶意行为会像我们所做的那样适应和克服。 是的,当今使用VPN可能有犯罪分子,但是什么阻止了他们明天使用ISP和受侵害的客户系统呢?

不要仅仅因为他们没有乘坐私家车,而是选择乘坐公共汽车而拒绝人们进入您的营业地点。

在维护服务方面采取谨慎的方法。 考虑这些问题以帮助您改进方法。

  1. 您可能会在可用性测试中考虑浏览器的兼容性,但是您是否知道用户通过VPN连接时看到的内容?
  2. 通过阻止列表和IOC共享来衡量假定的不良状况很容易,但是您有哪些流程来衡量穿越这些网络的合法流量呢?
  3. 如果您的组织担心来自云基础架构(包括VPN和代理)的攻击,是否会拒绝访问整个站点或仅对帐户或付款信息构成风险的区域?
  4. 作为服务提供商,您如何与云基础架构协作以最大程度地减少对您的服务和生态系统的影响?
  5. 您的目标网页是否可以清楚地与用户交流,为什么阻止他们通过VPN或代理访问您的内容?
  6. 您是否提供其他访问选项,这些访问选项仍可以为您提供不仅是服务的完整性?
  7. 您的组织关于员工VPN使用的内部安全策略是否与您强加给客户的策略相匹配或不同?
  8. 您是否赞扬客户保护自己并鼓励他们继续努力?