BLOG

Die sechs Gründe, warum DevSecOps sich mit Bot-Management befassen sollte

Jim Downey Miniaturbild
Jim Downey
Veröffentlicht am 21. Juli 2022

In diesem Zeitalter des digitalen Wettbewerbs sind alle Unternehmen Technologieunternehmen, und aktuelle Innovationen haben Branchen von der Finanzbranche über die Lebensmittelindustrie bis hin zum Transport auf den Kopf gestellt. Um als modernes Technologieunternehmen erfolgreich zu sein, müssen Innovationen schneller voranschreiten als die Konkurrenz, und für schnelle Innovationen ist DevOps erforderlich. DevOps ist eine Zusammenarbeit zwischen Entwicklern und IT-Betrieb, die durch die Anwendung von Lean-Prinzipien auf die Softwarebereitstellung zu Durchbrüchen bei der Geschwindigkeit von Produktveröffentlichungen geführt hat. Trotz der Verheißung von DevOps können Bot-Angriffe und andere Sicherheitsbedenken – wenn sie nicht angemessen angegangen werden – dazu führen, dass Unternehmen nicht von den Vorteilen profitieren. Glücklicherweise ist aus DevOps DevSecOps entstanden, eine Rolle, die in der schnelllebigen Welt von DevOps bestens für die Bewältigung von Sicherheitsbedenken und insbesondere des Bot-Managements geeignet ist.

In einer DevOps-Kultur übernimmt DevSecOps die Verantwortung für die Einbindung der Sicherheit in die Pipeline für kontinuierliche Integration/Entwicklung (CI/CD), sorgt für schnelles Feedback zu Sicherheitsfehlern an Entwickler und verbessert kontinuierlich die Integration der Sicherheit in den Technologie-Wertstrom.

DevOps basiert auf Praktiken des Lean Manufacturing und legt den Schwerpunkt darauf, Qualitätsaspekte früher in den Wertstrom einzuordnen, um Fehler in späteren Phasen zu reduzieren, in denen die Kosten für Nacharbeit höher sind. Es ist besser, Qualität in ein Produkt zu integrieren, als Mängel durch Inspektion zu entdecken. Da Sicherheit ein entscheidendes Qualitätselement ist, verschiebt DevSecOps die Sicherheit ebenfalls nach links und stellt sicher, dass etwaige Lücken früher im Arbeitsablauf eingeplant werden. Je früher Tools wie Sicherheitstests mit statischer Analyse, Sicherheitstests mit dynamischer Analyse und Schwachstellenscans ausgeführt werden, desto früher erhalten Entwickler Feedback und desto früher können Fehler behoben werden.

Und je mehr die Sicherheit bei der Anforderungserfassung, dem Design und der Codierung berücksichtigt wird, desto effektiver sind die Sicherheitskontrollen. Obwohl es sich hierbei um grundlegende Konzepte für sicheres Codieren und den Softwareentwicklungslebenszyklus (SDLC) handelt, werden diese Praktiken in einer DevOps-Umgebung immer wichtiger, da eine spätere Berücksichtigung der Sicherheit entweder schnelle Bereitstellungen behindern oder Sicherheitsrisiken verursachen würde.

Angesichts der entscheidenden Rolle von DevSecOps bei der Absicherung moderner Unternehmen folgt, dass das Bot-Management zu den Aufgaben dieser speziellen Disziplin gehören sollte. Bot-Management ist nicht nur für die Sicherheit von entscheidender Bedeutung und somit ein zentraler Bestandteil der DevSecOps-Mission, sondern DevSecOps ist auch optimal positioniert, um sicherzustellen, dass Unternehmen gut vor bösartigen Bots geschützt sind. Hier sind, wie versprochen, die sechs Gründe, warum sich DevSecOps mit dem Bot-Management befassen sollte:

1)  Bot-Schutz ist für Sicherheit und Datenschutz unerlässlich

Bots sind Skripte, die das Senden von HTTP-Anfragen an Applications und APIs automatisieren. Kriminelle nutzen Bots für verschiedene Angriffsarten, um das Web und mobile Apps anzugreifen:

  • Credential Stuffing: Angreifer testen gestohlene Zugangsdaten anhand von Logins, um Konten zu übernehmen.
  • Erstellung eines gefälschtes Konto : Kriminelle erstellen gefälschte Konten, um Betrug zu begehen, beispielsweise Einflussnahme in sozialen Medien und Geldwäsche. (Siehe eine F5-Analyse zum Problem der gefälschtes Konto bei Twitter .)
  • Kardieren: Kriminelle validieren gestohlene Kreditkartendaten.
  • Kartenknacken: Kriminelle ermitteln Sicherheitscodes sowie fehlende Start- und Ablaufdaten gestohlener Zahlungskartendaten durch Ausprobieren unterschiedlicher Werte.
  • Diebstahl von Geschenkkartenguthaben und Treuepunkten: Kriminelle stehlen Guthaben von Geschenkkarten und Treuepunkte und nutzen dabei die Tatsache aus, dass Benutzer diese Guthaben nur selten überprüfen.
  • Ankauf/Wiederverkauf: Illegale Makler kaufen Waren im Rahmen zeitlich begrenzter Angebote auf, um sie zu höheren Preisen weiterzuverkaufen.
  • Horten von Vorräten: Bots reservieren Waren und Dienstleistungen, schließen den Kauf jedoch nicht ab. Dadurch entsteht der Anschein, dass der Lagerbestand nicht verfügbar ist, und legitime Käufe werden verhindert.
  • Schaben: Scraping-Bots extrahieren Daten aus Apps, was zu Wettbewerbsnachteilen führt und die Leistung der Site verlangsamt.

Eine umfassende Taxonomie von Bot-Angriffen finden Sie im OWASP Automated Threat Handbook oder in dieser Zusammenfassung von Kyle Roberts.

Von allen Bot-Angriffen ist das Credential Stuffing besonders heimtückisch. Die Global Privacy Assembly (GPA) hat Credential Stuffing zu einer globalen Bedrohung für den Datenschutz erklärt. Die GPA, die über 130 Regulierungsbehörden und Durchsetzungsbehörden für Datenschutz und Privatsphäre vertritt, betont, dass Bot-Management heute eine notwendige Maßnahme zum Schutz der Daten sei und daher für alle Business-to-Consumer-Unternehmen, die online Geschäfte machen, verpflichtend sei.

Wenn DevSecOps seine Mission erfüllen und das Unternehmen und seine Kunden schützen will, muss das Problem bösartiger Bots unbedingt gelöst werden.

2)  Bots beschädigen die Telemetrie, auf die DevOps angewiesen ist

Laut dem DevOps-Handbuch ist Telemetrie von entscheidender Bedeutung für die Vorhersage, Diagnose und Lösung von Problemen in komplexen Systemen – also in Systemen, die zu groß und zu stark vernetzt sind, als dass eine einzelne Person verstehen könnte, wie alle Teile zusammenpassen. Damit DevOps erfolgreich ist, sollte die Telemetrie mehrere Ebenen abdecken, darunter Geschäftsmetriken, Funktionsnutzung, Netzwerkleistung und Infrastrukturlast, sodass ein Problem in einer Ebene über den gesamten Stapel verfolgt und die Grundursachen schnell identifiziert werden können.

Bots verzerren die Telemetrie in großem Maße. Viele Kunden von F5 Distributed Cloud Bot Defense stellten fest, dass die meisten ihrer Benutzerkonten gefälscht waren und dass Bots für über 95 % des Anmeldeverkehrs verantwortlich waren. In manchen Fällen diente der Großteil der Infrastruktur einer Organisation lediglich zum Scraping von Bots.

Ohne die Fähigkeit, Menschen von Bots zu unterscheiden, wäre die Telemetrie bedeutungslos. Schlägt eine Funktion aufgrund echter Benutzer oder Bots fehl? Warum schwankt die Erfolgsrate bei der Anmeldung so stark? Was hat einen plötzlichen Anstieg des Datenverkehrs zu einem bestimmten Application verursacht? Bots übertönen das Signal in ihrem ganzen Lärm.

Für den Erfolg von DevOps sind aussagekräftige Telemetriedaten erforderlich. Und um Telemetriedaten aussagekräftig zu machen, muss die Fähigkeit vorhanden sein, Bots zu erkennen. DevSecOps kann einen erheblichen Beitrag zum Erfolg von DevOps leisten, indem es sich am Bot-Management beteiligt und so die Integrität der für DevOps so wichtigen Daten sicherstellt.

3)  Bot-Schutz ist weder Code-Sicherheit noch ausschließlich eine Entwickleraufgabe

Im Gegensatz zu herkömmlichen Schwachstellen, die Entwickler durch bewährte Codierungsmethoden und Schwachstellentests beheben können, zielen Bot-Angriffe meist auf legitime Funktionen ab, die eine App offenlegen muss, wie z. B. Anmeldung, Kennwort vergessen, Produktkauf und Produktpreisinformationen. (Dan Woods von F5 bezeichnet diese in seinem Interview bei Pirate Radio als inhärente Schwachstellen.) Obwohl Bot-Schutz für die App-Sicherheit unerlässlich ist, geht es hierbei nicht um sichere Codierung und die Lösung kann nicht allein von Entwicklern bereitgestellt werden. Der Bot-Schutz fällt in den Bereich zwischen Entwicklern und InfoSec, also genau in den Bereich, den DevSecOps einnimmt.

Da kriminelle Organisationen große Anreize haben, Bots zu entwickeln, die eine Erkennung umgehen, ist der Schutz vor bösartigen Bots überraschend schwierig. CAPTCHA funktioniert nicht mehr. CAPTCHA-Lösungsdienste mithilfe von ML und menschlichen Klickfarmen machen das Lösen von CAPTCHAs schnell und günstig. (Siehe „Tales of a Human CAPTCHA Solver“ von Dan Wood.) Bots führen JavaScript aus, um Arbeitsnachweise zu erfüllen, ahmen echtes menschliches Verhalten nach, führen subtile Zufälligkeit ein und nutzen Proxy-Netzwerke, um ihre Herkunft durch Millionen gültiger privater IP-Adressen zu verschleiern. Und Kriminelle rüsten Bots innerhalb weniger Stunden nach ihrer Entdeckung um. Diese Komplexität und schnelle Entwicklung von Bots bedeutet, dass die Zeiten, in denen Bots durch manuelle Aktualisierungen der WAF-Regeln gestoppt wurden, längst vorbei sind.

Würde man dem Entwicklerpersonal einen derartigen Aufwand auferlegen, könnten sie keine Funktionen auf die Beine stellen. Die Aktualisierung der WAF-Regeln dem Betriebsteam aufzubürden, würde alle seine Ressourcen aufbrauchen. Um eine Bot-Management-Lösung in den Technologie-Wertstrom zu integrieren, müssen Unternehmen DevSecOps einbinden.

4)   DevSecOps kennt die App-Logik, die für einen effektiven Bot-Schutz unerlässlich ist

Während der Schutz vor Bots keine reine Entwicklungsaufgabe ist und auch keine reine Betriebsaufgabe im herkömmlichen Sinne, erfordert die Konfiguration des Bot-Schutzes detaillierte Kenntnisse der Application, ihrer Anforderungen, ihres Designs und ihrer Implementierung.

Welche der oben aufgeführten Bot-Angriffsarten treffen auf Ihre Application zu? Welchen Pfad oder welche API verfolgen die Bots bei jedem dieser Angriffstypen? Wo ist es für jeden dieser Pfade möglich, die Signalerfassung zu instrumentieren, um die notwendigen Daten zu sammeln, um Bots von Menschen zu unterscheiden?

Beim Konfigurieren des Bot-Schutzes für das Web bezeichnen wir bei F5 die geschützten Pfade als Endpunkte und die Seiten, die eine Instrumentierung erfordern, als Einstiegspunkte. Stellen Sie sich eine Anmeldung vor. Eine Webseite kann das Anmeldeformular hosten, das wir als Einstiegspunkt bezeichnen würden. Und dieses Formular kann an einen bestimmten Pfad gesendet werden, den wir als Endpunkt bezeichnen würden. Natürlich ist es nicht immer so einfach. Das Anmeldeformular kann auf mehreren Seiten vorhanden sein und die Formulare können in unterschiedlichen Pfaden veröffentlicht sein.

Bei Mobilgeräten ist es ähnlich. Der Schutz mobiler Apps vor Bots erfordert im Allgemeinen die Integration eines SDK zur Telemetrieinstrumentierung. Um zu bestimmen, welche Netzwerkanforderungen diese Telemetrie enthalten müssen, sind Kenntnisse der App erforderlich.

Angesichts dieser für die Konfiguration erforderlichen App-Kenntnisse eignet sich das Bot-Management gut für DevSecOps, insbesondere da es sinnvoll ist, diesen Schritt nach links zu verschieben und das Bot-Management bereits in der Anforderungs- und Entwurfsphase zu berücksichtigen.

5)   DevOps kennt die Infrastruktur

Auch der Schutz vor Bots erfordert Kenntnisse der Netzwerkinfrastruktur. Im Allgemeinen wird der Bot-Schutz über eine API bereitgestellt, die von einer Schicht im Netzwerk aufgerufen wird, beispielsweise einem CDN, einem Load Balancer, einem API-Gateway, einem Ingress-Controller oder einer Application . Eine dieser Ebenen wird so konfiguriert, dass relevanter Datenverkehr an die Bot-Management-API gesendet wird, um zu bestimmen, ob eine Anfrage von einem Menschen oder einem Bot stammt.

Durch die Zusammenarbeit mit der Entwicklung und dem Betrieb verfügt das DevSecOps-Team über die umfassendste Perspektive bei der Entscheidung, wo diese API-Aufrufe implementiert werden sollen, und zwar auf eine Weise, die vollständig automatisiert werden kann (als Teil der CI/CD-Pipeline) und optimale Leistung bietet.

6)   DevSecOps weiß, wo das Bot-Management in die CI/CD-Pipeline passen sollte

Wenn Unternehmen neue Funktionen über den Technologie-Wertstrom veröffentlichen, müssen die Bot-Abwehrsysteme ebenso wie andere Sicherheitskomponenten, beispielsweise die WAF, konfiguriert werden. Das DevSecOps-Team ist gut aufgestellt, um zu bestimmen, wo in der CI/CD-Pipeline dieses automatisierte Konfigurationsupdate stattfinden soll.

Dies ist komplexer, als es zunächst erscheinen mag, da der Bot-Schutz automatisierte QA-Tests beeinträchtigen könnte, die als Bot erkannt würden. Zur Lösung des Problems gibt es mehrere Möglichkeiten. Beispielsweise können Sie die Testtools über Header oder IP-Adressen auf eine Positivliste setzen oder Bot-Schutzmaßnahmen erst nach Abschluss der automatisierten Qualitätssicherungstests implementieren.

Am wichtigsten ist, dass DevSecOps mit der Entwicklung und der Informationssicherheit zusammenarbeiten, um zu ermitteln, wo Bot-Schutz erforderlich ist, und eine Möglichkeit bereitzustellen, um sicherzustellen, dass dieser Schutz vorhanden ist, wenn entsprechende Funktionen veröffentlicht werden.

Einpacken

Unternehmen, die Applications anbieten, müssen für die Online-Sicherheit ihrer Kunden sorgen und deren Datenschutz und finanzielle Sicherheit gewährleisten. In jedem Unternehmen, das durch die schnelle Innovation, die DevOps ermöglicht, einen Wettbewerbsvorteil erzielen möchte, sind zum Schutz der Kunden DevSecOps erforderlich, damit die Sicherheit mit dem Tempo der Veröffentlichungen Schritt halten kann. Zu den Aufgaben von DevSecOps gehört vor allem das Bot-Management. Bot-Angriffe gefährden die Sicherheit der Kunden erheblich. DevSecOps bringt Fähigkeiten mit, die für die Verteidigung gegen bösartige Bots sehr wertvoll sind und Unternehmen in die Lage versetzen, schnelle Innovationen sicher umzusetzen.

Weitere Einblicke in den ROI des Bot-Schutzes finden Sie im Forrester Total Economic Impact Report . Erfahren Sie mehr und vereinbaren Sie ein Gespräch mit einem F5-Bot-Experten unter f5.com/bot-defense .