Wenngleich immer mehr Cyberattacken mit Hilfe von Bots ausgef?hrt werden, z?gern viele Unternehmen noch, Bot-Management-L?sungen einzusetzen, um solche Angriffe erkennen und abwehren zu k?nnen. Dabei gehen Bot-Angriffe mittlerweile weit ?ber kleine Scraping-Versuche oder Spamming hinaus. Bots werden heute eingesetzt, um Benutzerkonten zu ?bernehmen, DDoS-Angriffe durchzuf?hren, APIs zu missbrauchen, vertrauliche Inhalte und Preisinformationen abzugreifen und vieles mehr.
Der Versuch, b?sartige Bots mit firmeninternen Ressourcen oder L?sungen einzud?mmen, ist in der Regel nicht zielf?hrend. In einer Studie mit dem Titel “Development of In-house Bot Management Solutions and their Pitfalls” haben Sicherheitsforscher des Innovation Center von Radware herausgefunden, dass die Verwaltung von Bots durch interne Ressourcen tats?chlich mehr Schaden als Nutzen bringt.
Im Vergleich zu 22,39 % des tats?chlichen Bot-Traffics identifizierten selbst fortschrittliche interne Bot-Management-L?sungen lediglich 11,54 % des Bot-Verkehrs als b?sartig. Die H?lfte davon waren zudem falsch-positive Ergebnisse, so dass nur etwa jeder vierte b?sartige Bot als solcher erkannt und zudem die gleiche Anzahl arbeitsaufw?ndiger Fehlalarme generiert wurde.
Das Versagen interner Bot-Management-L?sungen hat unterschiedlichste Gr?nde. So nutzen Cyber-Angreifer heute fortschrittliche Technologien, um Tausende von IPs einzusetzen und die geografische Filterung des Datenverkehrs zu umgehen. Wenn Bots von verschiedenen geografischen Standorten ausgehen, werden L?sungen nutzlos, die auf IP-basierte oder geografische Filter-Heuristiken setzen. Die Erkennung erfordert ein Verst?ndnis der Absichten des Besuchers, um die verd?chtigen Bots zu identifizieren.
Ein Drittel der b?sen Bots kann menschliches Verhalten imitieren
Die Verwaltung von Bots ist komplex und erfordert eine spezielle Technologie mit Experten, die sich mit dem Verhalten von guten und schlechten Bots bestens auskennen. Solche Bots k?nnen menschliches Verhalten imitieren (wie Mausbewegungen und Tastenanschl?ge), um bestehende Sicherheitssysteme zu umgehen.
Ausgefeilte Bots sind ?ber Tausende von IP-Adressen oder Ger?te-IDs verteilt und k?nnen sich ?ber zuf?llige IP-Adressen verbinden, um die Erkennung zu umgehen. Die Programme dieser hochentwickelten Bots kennen auch alle g?ngigen Gegenma?nahmen, mit denen sie gestoppt werden sollen. Zudem nutzen sie verschiedene Kombinationen von Benutzeragenten, um interne Sicherheitsma?nahmen zu umgehen.
“Interne L?sungen haben keinen Einblick in die verschiedenen Arten von Bots, und genau da liegt das Problem”, erl?utert Michael Gie?elbach, Regional Director DACH bei Radware. “Diese L?sungen arbeiten auf der Grundlage von Daten, die von internen Ressourcen gesammelt wurden, und verf?gen nicht ?ber globale Bedrohungsdaten. Bot-Management ist ein Nischenbereich und erfordert viel Expertise und kontinuierliche Forschung, um mit ber?chtigten Cyberkriminellen Schritt zu halten.”
Rakesh Thata, Chief Technologist for Radware”s Innovation Centre, gibt vier grundlegende Empfehlungen f?r die Abwehr b?sartiger Bots:
Challenge-Response-Authentifizierung: Die Challenge-Response-Authentifizierung hilft, einfache Bots der ersten Generation zu filtern. Es gibt verschiedene Arten von Challenge-Response-Authentifizierungen, wobei CAPTCHAs am h?ufigsten verwendet werden. Die Challenge-Response-Authentifizierung hilft jedoch nur bei der Filterung veralteter User-Agents/Browser und einfacher automatisierter Skripte. Sie kann ausgekl?gelte Bots, die menschliches Verhalten imitieren k?nnen, nicht stoppen.
Strenge Authentifizierungsmechanismen f?r APIs: Mit der weit verbreiteten Einf?hrung von APIs nehmen Bot-Angriffe auf schlecht gesch?tzte APIs zu. APIs ?berpr?fen in der Regel nur den Authentifizierungsstatus, aber nicht die Authentizit?t des Benutzers. Angreifer nutzen diese Schwachstellen auf verschiedene Weise aus (einschlie?lich Session Hijacking und Account Aggregation), um echte API-Aufrufe zu imitieren. Die Implementierung strenger Authentifizierungsmechanismen f?r APIs kann dazu beitragen, Sicherheitsverletzungen zu verhindern.
?berwachung fehlgeschlagener Anmeldeversuche und pl?tzlicher Spitzen im Datenverkehr: Cyber-Angreifer setzen b?sartige Bots ein, um Credential Stuffing und Credential Cracking-Angriffe auf Anmeldeseiten durchzuf?hren. Da bei solchen Ans?tzen verschiedene Anmeldedaten oder unterschiedliche Kombinationen von Benutzer-IDs und Kennw?rtern ausprobiert werden, steigt die Zahl der fehlgeschlagenen Anmeldeversuche. Zudem erh?ht die Pr?senz b?sartiger Bots auf einer Website auch den Datenverkehr. Die ?berwachung fehlgeschlagener Anmeldeversuche und eines pl?tzlichen Anstiegs des Datenverkehrs kann helfen, pr?ventive Ma?nahmen zu ergreifen.
Dedizierte Bot-Management-L?sungen: Interne Ma?nahmen bieten zwar einen grundlegenden Schutz, gew?hrleisten aber nicht die Sicherheit von Benutzerkonten, gesch?ftskritischer Inhalte und anderer sensibler Daten. Hochentwickelte Bots der dritten und vierten Generation, die mittlerweile 37 % des Bad-Bot-Verkehrs ausmachen, k?nnen kleine und langsame Angriffe ausf?hren oder gro? angelegte verteilte Attacken starten, die massive Auswirkungen auf die Verf?gbarkeit haben k?nnen. Eine spezielle Bot-Management-L?sung erleichtert die Erkennung und Eind?mmung solch ausgekl?gelter, automatisierter Aktivit?ten in Echtzeit.
Keywords:IT-Security, Bot-Management, Imitieren menschlichen Verhaltens, API-Sicherheit, Challenge-Response-Authentifizierung