Warum Unternehmen den zunehmenden Bot-Angriffen nicht gewachsen sind
This post is also available in:
Englisch 
Französisch 
Italienisch 
Portugiesisch, Brasilien 
Spanisch 
Russisch
Der Bedarf an Bot-Management steigt, weil automatisierte Angriffe ständig zunehmen. In den Anfangszeiten waren Bots auf kleine Scraping-Versuche oder Spamming begrenzt. Das hat sich mittlerweile gründlich geändert. Bots werden u. a. genutzt, um Benutzerkonten zu übernehmen, DDoS-Angriffe zu starten, APIs zu missbrauchen oder gezieltes Inhalts- und Preis-Scraping durchzuführen.
Implementieren Unternehmen angesichts dieser ernsthaften Bedrohungen geeignete Bot-Management-Lösungen? Leider nein, denn viele ignorieren noch die Gefahr. Diese Unternehmen versuchen, Bots mit ihren internen Ressourcen bzw. Lösungen in den Griff zu bekommen, und setzen dadurch die User-Sicherheit aufs Spiel. In einer Studie über die Entwicklung interner Bot-Management-Lösungen und die damit verbundenen Fallstricke fanden Sicherheitsexperten des Radware Innovation Center heraus, dass Bot-Management mithilfe interner Ressourcen mehr Schaden als Nutzen bringt.
Im Vergleich zu 22,39 % tatsächlichem schädlichem Bot-Traffic erkannten fortschrittliche interne Bot-Management-Lösungen nur 11,54 % schädliche Bots. Diese Lösungen versagten aber nicht nur bei der Erkennung der meisten bösartigen Bots – bei fast 50 % der erkannten 11,54 % handelte es sich zudem um Fehlalarme.
Abbildung 1: Bots, die von internen Bot-Management-Lösungen erkannt wurden, im Vergleich zum tatsächlichen Prozentsatz schädlicher Bots
Was sind die Gründe für das Versagen interner Bot-Management-Lösungen? Bevor wir näher auf diese Ursachen eingehen, betrachten wir ein paar kritische Faktoren.
Mehr als die Hälfte aller schädlichen Bots stammen aus kleineren Ländern
Beim Vergleich der Länder mit dem höchsten Anteil von Bot-Traffic am gesamten ausgehenden Traffic fällt auf, dass viele dieser Länder sehr klein sind. Zum Beispiel das winzige Fürstentum Andorra, das als Steueroase gilt. Weil Andorra nicht zur Europäischen Union (EU) gehört, ist es nicht zur Weitergabe der im Land gespeicherten Daten verpflichtet. Deshalb werden Bot-Angriffe gerne über Server in Andorra gestartet, wo Daten geschützt sind.
Abbildung 2: Ursprungsländer schädlicher Bots
Cyberangreifer setzen heutzutage auf fortschrittliche Technologien, um Tausende von IPs zu durchsuchen und geografisch bedingte Traffic-Filterung zu umgehen. Wenn Bots von verschiedenen geografischen Standorten ausgehen, sind Lösungen mit IP-basierter oder geografischer Filterheuristik nutzlos. Erkennung setzt voraus, dass die Absicht der Benutzer verstanden wird, um die verdächtigen herauszupicken.
Ein Drittel der schädlichen Bots können menschliches Verhalten nachahmen
Bot-Management ist komplex und erfordert spezielle Technologie sowie Experten, die sich mit dem Verhalten guter und schädlicher Bots genau auskennen. Diese Bots können menschliches Verhalten simulieren (z. B. Mausgesten oder Tastatureingaben), um bestehende Sicherheitssysteme zu umgehen.
Raffinierte Bots werden über Tausende von IP-Adressen oder Geräte-IDs verteilt und können sich über zufällige IP-Adressen verbinden, um der Erkennung zu entgehen. Diese verdeckten Aktionen zum Vermeiden der Erkennung sind aber längst nicht alles. Denn die Programme dieser raffinierten Bots kennen die Maßnahmen, mit denen sie abgehalten werden sollen. Sie wissen, dass sie neben willkürlichen IP-Adressen auch geografische Standorte als Trumpfkarte ausspielen können. Bots nutzen verschiedene Kombinationen von User-Agenten, um interne Sicherheitsmaßnahmen zu überlisten.
Interne Lösungen haben keinen Einblick in unterschiedliche Arten von Bots – und deshalb versagen sie. Weil diese Lösungen auf Daten beruhen, die von internen Ressourcen gesammelt wurden, mangelt es ihnen an globalen Bedrohungsinformationen. Bot-Management ist ein Nischenbereich, der umfassendes Wissen und kontinuierliche Forschung erfordert, um berüchtigten Cyberkriminellen die Stirn zu bieten.
Unternehmen aus vielfältigen Branchen setzen interne Mittel als erste Verteidigungslinie gegen schädliche Bots ein. Leider müssen sie dabei feststellen, dass interne Lösungen die ausgefeilten Bot-Muster häufig nicht erkennen.
Empfehlungen
Nutzen Sie Challenge-Response-Authentifizierung: Mit Challenge-Response-Authentifizierung können Sie Bots der ersten Generation herausfiltern. Es gibt verschiedene Arten von Challenge-Response-Authentifizierung, wobei CAPTCHAs am häufigsten verwendet werden. Challenge-Response-Authentifizierung hilft allerdings nur bei der Filterung älterer User-Agenten/Browser und einfacher automatisierter Skripte. Raffinierte Bots, die menschliches Verhalten nachahmen, lassen sich damit nicht abhalten.
Implementieren Sie strenge Authentifizierungsmechanismen für APIs: Angesichts der weiten Verbreitung von APIs nehmen Bot-Angriffe auf schlecht geschützte APIs zu. APIs überprüfen in der Regel nur den Authentifizierungsstatus, aber nicht die Echtheit des Benutzers. Diese Schwachstelle nutzen Angreifer mithilfe diverser Methoden aus (darunter Session-Hijacking und Konto-Aggregation), um echte API-Aufrufe zu imitieren. Die Implementierung strenger Authentifizierungsmechanismen für APIs trägt zur Vermeidung von Sicherheitsverletzungen bei.
Überwachen Sie fehlgeschlagene Anmeldeversuche und plötzliche Traffic-Anstiege: Cyberangreifer setzen bösartige Bots ein, um Credential-Stuffing- und Credential-Cracking-Angriffe auf Anmeldeseiten durchzuführen. Da hierbei verschiedene Anmeldedaten oder andere Kombinationen aus Benutzer-ID und Passwort ausprobiert werden, erhöht sich die Zahl der fehlgeschlagenen Anmeldeversuche. Wenn schädliche Bots Ihre Website besuchen, steigt auch der Traffic plötzlich stark an. Die Überwachung fehlgeschlagener Anmeldeversuche und schlagartiger Traffic-Anstiege kann Ihnen helfen, Vorkehrungsmaßnahmen zu ergreifen, bevor schädliche Bots in Ihre Webapplikationen eindringen.
Verwenden Sie eine spezialisierte Bot-Management-Lösung: Interne Maßnahmen wie die zuvor beschriebenen Praktiken sorgen für Basisschutz, gewährleisten aber nicht die Sicherheit Ihrer geschäftskritischen Inhalte, Benutzerkonten und anderen sensiblen Daten. Raffinierte Bots der dritten und vierten Generation, auf die derzeit 37 % des schädlichen Bot-Traffics entfallen, können über Tausende von IP-Adressen verteilt werden und Ihr Unternehmen auf vielfältige Weise angreifen. Neben Low-and-Slow-Angriffen sind auch umfassende verteilte Angriffe möglich, die Ausfallzeiten verursachen. Eine spezialisierte Bot-Management-Lösung erleichtert die Erkennung und Abwehr dieser ausgefeilten, automatisierten Aktivitäten in Echtzeit.
Gefällt Ihnen dieser Artikel? Melden Sie sich jetzt an, um wöchentlich die neuesten Radware-Meldungen per E-Mail zu erhalten. Außerdem bekommen Sie Zugriff auf Radwares Premium-Inhalte.
