Schutz einer Fluggesellschaft vor schädlichen Bots: Eine Fallstudie
This post is also available in:
Englisch 
Französisch 
Italienisch 
Portugiesisch, Brasilien 
Spanisch 
Russisch
Diese Fluggesellschaft bietet kostengünstige In- und Auslandsflüge im Asien-Pazifik-Raum, mit Drehkreuzen im gesamten Pazifik. Aufgrund ihrer Passagierzahlen im nationalen und internationalen Flugverkehr hat sie sich zu einer der größten regionalen Fluggesellschaften entwickelt.
Herausforderungen
Weil die Fluggesellschaft in jüngster Zeit so erfolgreich war, wurden ihre Web-Plattform und mobilen APIs zum Ziel von Cyberangriffen der Konkurrenz. Das Kundenportal wurde mehrmals angegriffen, u. a. durch Low-and-Slow-Angriffe, bösartiges Verhalten und schädliche Bot-Signaturen. Konkurrenten führten regelmäßig Price-Scraping durch und nahmen Buchungskapazitäten in Beschlag, um die Verfügbarkeit für legitime Kunden zu senken. Durch Hijacking-Angriffe wurden Plätze gebucht, ohne für diese Reservierungen zu zahlen.
Zur Anzeige verfügbarer Flüge auf Reisebuchungsportalen nutzt die Fluggesellschaft ein Global Distribution System (GDS), das für jeden Suchvorgang eine Gebühr berechnet. Durch die Abrechnung falscher, von Bots eingeleiteter GDS-Suchvorgänge entstand der Fluggesellschaft ein finanzieller Verlust. Verteilte Bot-Angriffe verlangsamten die Reaktion der Portale, wenn echte Kunden ein Ticket kaufen wollten, was die User-Erfahrung beeinträchtigte. Die Fluggesellschaft musste die Konkurrenz davon abhalten, ihre Geschäfte und Umsätze derart zu schädigen.
[Das könnte Sie auch interessieren: Bot Manager vs. WAF: Why You Actually Need Both]
Die Fluggesellschaft verwendete die Dyn Web Application Security-Suite von Oracle für Applikations- und Bot-Schutz. Als die Nutzungsdauer der WAF zu Ende ging, musste sie ersetzt werden. Der Bot-Management-Dienst von Oracle basierte auf Durchsatzbegrenzung und anderen einfachen Abwehrmethoden. Diese waren gegen die fortschrittlichen, menschenähnlichen Bot-Angriffe auf die Fluggesellschaft jedoch chancenlos. Die Bots griffen die Website der Fluggesellschaft mit wechselnden IP-Adressen an, um herkömmliche Maßnahmen zur Angriffsblockierung zu überlisten. Weil die Oracle-Lösung keine verhaltensbasierten Funktionen bot, waren die mobilen APIs und die Website der Fluggesellschaft unzureichend geschützt.
Die Fluggesellschaft ist Kunde von Limelight Networks, einem CDN-Dienstleister. Als Limelight von den Schwierigkeiten der Fluggesellschaft erfuhr, empfahlen sie den Cloud-WAF-Service und Bot Manager von Radware. Nach einem erfolgreichen Proof-of-Concept erwarb die Fluggesellschaft beide Services. Der Bot Manager erkannte und verhinderte in den folgenden Monaten diverse Angriffe über wechselnde IP-Adressen, darunter Price-Scraping, Kontoübernahme, Ticket-Scalping und Zahlungsbetrug. Während eines massiven Angriffs reduzierte der Radware Bot Manager die Zahl der Bot-Hits in nur zwei Wochen von 21 Millionen auf null.
[Das könnte Sie auch interessieren: How WAFs Can Mitigate The OWASP Top 10]
Die Vorteile
Der Radware Bot Manager und der Cloud-WAF-Service schützen die Website und mobilen APIs der Fluggesellschaft so, dass Buchungskapazitäten den legitimen Kunden vorbehalten bleiben und eine bessere Online-Erfahrung entsteht. Darüber hinaus nutzt die Fluggesellschaft diese Lösungen, um seine Website auch vor kompromittierten mobilen Apps auf Android- und iOS-Smartphones zu schützen.
