Bots sind der Fluch des Turing-Sicherheitstests
Bots sind cool. Bots sind beängstigend. Bots sind die Zukunft. Bots werden von Tag zu Tag intelligenter.
Je nachdem, um welche Art von Bot es sich handelt, sind wir entweder frustriert oder fasziniert von ihnen. Einerseits werden Chatbots oft als Schlüsselkomponente der Strategien zur digitale Transformation von Unternehmen angesehen. Auf Verbraucherseite bieten sie die Möglichkeit, schnell auf Fragen und Anfragen zu reagieren. Auf der internen Seite können sie Aufgaben ausführen und Fragen zum Status aller möglichen Dinge beantworten, von einem kürzlich eingereichten Spesenbericht bis hin zur aktuellen Kapazität Ihrer brandneuen App.
Auf der anderen (und zugegebenermaßen düstereren) Seite sind manche Bots schlecht. Sehr schlecht. Es gibt Thingbots – jene IoT-Geräte, die kompromittiert wurden und sich einem Todesstern-Botnetz angeschlossen haben . Und es gibt Bots, deren einziger Zweck darin besteht, Daten abzugreifen, zu stehlen und durch Täuschungen Geschäfte zu verhindern.
Es sind diese letztgenannten Bots, die uns heute Sorgen bereiten, da sie immer intelligenter werden und leider mittlerweile die Mehrheit der „Benutzer“ im Internet ausmachen.
Ernsthaft. 52 % des gesamten Internetverkehrs sind nicht menschlich. Einige davon sind Business-to-Business-APIs und legitime Bots, wie etwa Suchindexierer und Medienbots. Aber ein guter Teil davon sind einfach nur ausgesprochen schlechte Bots. Laut Distil Networks , das diese digitalen Nagetiere verfolgt, „machen Bad Bots 20 % des gesamten Webverkehrs aus und sind immer und überall.“ Bei großen Websites machten sie 21,83 % des Datenverkehrs aus – eine Steigerung von 36,43 % seit 2015. Andere Untersuchungen erzählen eine ähnliche Geschichte. Egal, wer die Zahlen vorlegt, keine davon sind eine gute Nachricht für die Wirtschaft.
Im Bericht von Distil Networks heißt es: „Im Jahr 2016 verzeichneten ein Drittel (32,36 %) der Websites Spitzenwerte beim Schadbot-Verkehr, die das Dreifache des Mittelwerts betrugen, und zwar im Durchschnitt 16 solcher Spitzenwerte pro Jahr.“ Plötzliche Spitzen können zu Leistungsproblemen (mit zunehmender Belastung nimmt die Leistung ab) und Ausfallzeiten führen.
Wenn die Bots Apps vor Ort angreifen, können sie nicht nur Ausfälle verursachen, sondern auch die mit der jeweiligen App verbundenen Kosten in die Höhe treiben. Viele Apps werden immer noch auf Plattformen bereitgestellt, für die Lizenzen erforderlich sind. Bei jedem Start einer neuen Instanz wird ein Eintrag im Buchhaltungsbuch vorgenommen. Das Skalieren von Software kostet echtes Geld. Unabhängig von den Lizenzkosten fallen bei jeder Transaktion Kosten an, da Hardware und Bandbreite noch nicht so günstig sind, wie wir es gerne hätten.
In der Cloud ist die Skalierung (normalerweise) einfacher, aber Sie müssen trotzdem dafür bezahlen. Weder Rechenleistung noch Bandbreite sind in der Cloud kostenlos und wie bei den Gegenstücken vor Ort steigen die Kosten einer echten Transaktion aufgrund des Bot-Verkehrs.
Die Antwort ist natürlich elementar. Stoppen Sie den Datenverkehr, bevor er die App erreicht.
Das klingt viel einfacher als es ist. Sie sehen, die Sicherheit ist gezwungen, in der Standardinterpretation des Turing-Tests als „Spieler C“ zu agieren. Für diejenigen, die sich nicht erinnern: Beim Turing-Test wird ein Fragesteller (Spieler C) gezwungen, festzustellen, welcher Spieler (A oder B) eine Maschine und welcher ein Mensch ist. Und es können nur schriftliche Antworten verwendet werden, weil, sonst, na ja, ist das ja klar. Einfach.
In ähnlicher Weise müssen Sicherheitslösungen heute ausschließlich auf der Grundlage digital übermittelter Informationen zwischen Mensch und Maschine unterscheiden.
Web-App-Firewalls: Spieler „C“ im Turing-Sicherheitstest
Web Application Firewalls (WAF) sind dafür ausgelegt, dies zu ermöglichen. Ob als Dienst , vor Ort oder in der öffentlichen Cloud – eine WAF schützt Apps vor Bots, indem sie diese erkennt und ihnen den Zugriff auf die gewünschten Ressourcen verweigert. Das Problem besteht darin, dass viele WAF nur Bots filtern, die mit bekannten fehlerhaften Benutzeragenten und IP-Adressen übereinstimmen. Doch Bots werden immer intelligenter und wissen, wie sie IP-Adressen rotieren und Benutzeragenten austauschen können, um einer Erkennung zu entgehen. Distil nimmt diese zunehmende Intelligenz zur Kenntnis und weist darauf hin, dass 52,05 % der „bösartigen Bots JavaScript laden und ausführen – was bedeutet, dass sie eine JavaScript-Engine installiert haben.“
Das bedeutet, dass Sie über wesentlich mehr Informationen über den „Benutzer“ verfügen müssen, wenn Sie Schadbots erfolgreich identifizieren und ablehnen möchten. Die gute Nachricht ist, dass Informationen vorhanden sind und dass sie alle digital sind. Ebenso wie man aus der Körpersprache, den Sprechmustern und der Wortwahl eines Menschen eine Menge lernen kann, kann man auch aus den digitalen Daten, die bei jeder Transaktion mitgeführt werden, eine Menge herauslesen.
Mit der richtigen Kombination aus Bedrohungsinformationen, Geräteprofilierung und Verhaltensanalyse kann eine WAF bösartige Bots korrekt von legitimen Benutzern – ob Menschen oder Bots – unterscheiden. Ihre Wahl bestimmt, ob ein Bot Ihre Sicherheitsstrategie überlisten und den Turing-Sicherheitstest effektiv „gewinnen“ kann.
- Bedrohungsinformationen
Threat Intelligence kombiniert die Geolokalisierung mit einer proaktiven Klassifizierung des Datenverkehrs und nutzt Intelligence-Feeds aus möglichst vielen glaubwürdigen Quellen, um Schadbots zu identifizieren. Dabei handelt es sich im Wesentlichen um „Big Security Data“, die es einem ganzen Ökosystem aus Sicherheitspartnern ermöglichen, Informationen auszutauschen, was zu einer zeitnahen und damit präziseren Identifizierung der neuesten Bot-Angriffsversuche führt.
Zum Profilieren eines Geräts gehört das Vergleichen von Anfragen mit bekannten BOT-Signaturen und Identitätsprüfungen. Betriebssystem, Netzwerk, Gerätetyp – alles, was sich aus einer Verbindung herauslesen lässt (und das ist eine Menge), kann genutzt werden. Fingerprinting ist auch deshalb wertvoll, weil sich gezeigt hat, dass die Menge an Informationen, die (möglicherweise unbeabsichtigt) von Browsern (und Bots gleichermaßen) geteilt werden, nahezu ausreicht, um sie eindeutig zu identifizieren. Eine ausführliche Lektüre zu dieser Theorie finden Sie auf der EFF- Site. Ich möchte darauf hinweisen, dass statistisch ermittelt wurde, dass im Jahr 2007 nur 32,6 Informationsbits erforderlich waren, um eine Person eindeutig zu identifizieren. User-Agent-Strings enthalten etwa 10,5 Bits und werden von Bots kostenlos bereitgestellt.
In einer digitalen Welt können sich Profile jedoch im Handumdrehen ändern und Standorte können maskiert oder gefälscht werden. Deshalb ist die Verhaltensanalyse auch Teil der Unterscheidung zwischen Schadbots und legitimem Datenverkehr. Dies geschieht häufig in Form einer Herausforderung. Wir sehen dies als Benutzer in Captchas und „Ich bin kein Roboter“-Kontrollkästchen, aber das sind nicht die einzigen Möglichkeiten, Bots herauszufordern. Die Verhaltensanalyse achtet auch auf Sitzungs- und Transaktionsanomalien sowie auf Brute-Force-Zugriffsversuche.
Die Verwendung aller drei bietet einen umfassenderen Kontext und ermöglicht es der WAF, Schadbots korrekt zu identifizieren und ihnen den Zugriff zu verweigern.
Wir (das ist das „Wir“ des Unternehmens) haben diese einzigartige Kombination von Variablen immer als „Kontext“ bezeichnet. Der Kontext ist heute ein integraler Bestandteil vieler Sicherheitslösungen – Zugriffskontrolle, Identitätsmanagement und App-Sicherheit. Der Kontext ist für eine app-zentrierte Sicherheitsstrategie von entscheidender Bedeutung und stellt eine Schlüsselfunktion jeder WAF dar, die in der Lage ist, präzise und effektiv mit Schadbots umzugehen. Der Kontext vermittelt das „große Ganze“ und ermöglicht einer WAF, Gutes von Schlechtem zu unterscheiden und so wertvolle Vermögenswerte zu schützen und die Geschäftskosten zu begrenzen.
Das Update ist da. Bots werden uns erhalten bleiben und mit der richtigen WAF können Sie sie besser daran hindern, das zu tun, was schlechte Bots tun: Daten und Ressourcen zu stehlen, die reale Auswirkungen auf das Geschäftsergebnis haben.