Anwendungsfall

Erweiterte Firewall- und Bot-Schutzdienste für mobile Anwendungen von Appdome

alt-Text

DIE HERAUSFORDERUNG

  • Bots werden aktiv für eine Vielzahl von schädlichen Zwecken eingesetzt, wie z. B. die Kontrolle über Benutzergeräte oder IoT-Systeme zu übernehmen sowie Identitätsinformationen und geistiges Eigentum zu stehlen.
  • Da sich die Online-Nutzung auf mobile Geräte verlagert, verlagern sich die Bots auf mobile Ziele.
  • Viele Techniken, die von traditionellen Bot-Verteidigungslösungen verwendet werden, basieren auf JavaScript, was nicht von nativen mobilen Anwendungen unterstützt wird.

WICHTIGE VORTEILE

  • Schützen Sie Ihre wertvollsten Ressourcen – Ihre Anwendungen und sensiblen Daten – vor Bots, automatisierten Angriffen, Web-Scrapern und Exploits, die auf mobile Anwendungen abzielen.
  • Implementieren Sie die schnelle Bereitstellung von fortschrittlichen mobilen Sicherheitslösungen, ohne die bestehenden Anwendungsentwicklungsprozesse zu erweitern.
  • Schützen Sie iOS- und Android-Anwendungen ohne zusätzlichen Aufwand und mit einer plattformübergreifenden, konsistenten Erfahrung.
  • Implementieren Sie mehrere Dienste oder SDKs gleichzeitig in derselben Anwendung.

Das Problem

Bots, das sind automatisch funktionierende Computerprogramme, sind schon lange Teil des Internets. Gutartige Bots werden oft eingesetzt, um das Benutzererlebnis zu verbessern, wie es bei Chat-Bots des Kundensupports, Suchmaschinen-Crawlern und einer beliebigen Anzahl eindimensionaler Aufgaben-Bots der Fall ist. Aber der Vorteil dieser Programme wird auch für schädliche Zwecke genutzt, wie z. B. die Infizierung von Benutzergeräten oder IoT-Systemen, um die Kontrolle über die damit verbundenen Ressourcen zu übernehmen, den Diebstahl von Identitätsinformationen zur Übernahme von Konten oder sogar den kompletten Diebstahl von digitalen Inhalten und geistigem Eigentum.

Während sich unser Online-Leben nun auch auf mobilen Geräten abspielt, setzen Übeltäter ihre bösartigen Bots gegen mobile Anwendungen ein. Zum Nachteil für die Entwickler mobiler Anwendungen sind viele Techniken, die von traditionellen Bot-Verteidigungslösungen verwendet werden, auf JavaScript angewiesen, was von nativen mobilen Anwendungen nicht unterstützt wird.

admsdk

Abbildung 1: JavaScript wird von nativen mobilen Anwendungen nicht unterstützt.

Wenn Sie keine Vorsichtsmaßnahmen treffen, können Ihre mobilen Back-End-API-Komponenten automatisierten Angriffen wie Content-Scraping, Denial-of-Service (DOS), Credential Stuffing, der Erstellung gefälschter Konten und einer Reihe anderer Probleme ausgesetzt sein (siehe Tabelle).

Tabelle 1: Wie greifen Bots die Anwendungsschicht an?

Kontoübernahme Credential Stuffing Massenanmeldeversuche zur Überprüfung der Gültigkeit von gestohlenen Benutzernamen und Kennwörtern
Credential-Cracking Identifizierung gültiger Anmeldedaten durch Ausprobieren verschiedener Werte für Benutzernamen und/oder Kennwörter
Konto-Aggregation Wird von einer zwischengeschalteten Anwendung verwendet, die mehrere Konten aggregiert und in ihrem Namen interagiert
Daten von Zahlungskarten Card-Cracking Identifizierung fehlender Start- und Ablaufdaten und Sicherheitscodes für gestohlene Zahlungskartendaten durch Ausprobieren verschiedener Werte
Card-Cracking Identifizierung fehlender Start- und Ablaufdaten und Sicherheitscodes für gestohlene Zahlungskartendaten durch Ausprobieren verschiedener Werte
Auszahlung Kauf von Waren oder Bezug von Bargeld unter Verwendung von validierten, gestohlenen Zahlungskarten- oder anderen Benutzerkontodaten
Sicherheitslücken-Scanning Footprinting Untersuchung und Erforschung der Anwendung zur Identifizierung ihrer Bestandteile und Eigenschaften
Sicherheitslücken-Scanning Durchforsten der Anwendung zur Identifizierung von möglichen Schwachstellen
Fingerprinting Erfassen von Informationen über die Unterstützungssoftware und Framework-Typen und -Versionen
Denial-of-Service / Horten von Ressourcen Scalping Bezug von beschränkt verfügbaren und/oder bevorzugten Waren/Dienstleistungen durch unlautere Methoden
Denial-of-Inventory Löschen von Waren- oder Dienstleistungsbeständen, ohne jemals den Kauf abzuschließen oder die Transaktion durchzuführen
Denial-of-Service (DoS) Abzielen auf Ressourcen der Anwendungs- und Datenbankserver oder einzelner Benutzerkonten, um einen Denial-of-Service (DoS) zu erreichen
Sniping Last-Minute-Angebot für Waren oder Dienstleistungen
Expediting Durchführen von Aktionen, um den Fortschritt von normalerweise langsamen, mühsamen oder zeitaufwendigen Aktionen zu beschleunigen
Diebstahl von Inhalten Scraping Erfassen von Anwendungsinhalten und/oder anderen Daten zur Verwendung an anderer Stelle
Sonstige Ad Fraud Klickbetrug und betrügerische Anzeige von im Internet platzierter Werbung
CAPTCHA-Umgehung Lösen von Anti-Automatisierungstests
Skewing Wiederholte Klicks auf Links, Seitenanfragen oder Formulareingaben, um eine bestimmte Metrik zu ändern
Spamming Bösartige oder fragwürdige Informationen, die in öffentlichen oder privaten Inhalten, Datenbanken oder Benutzernachrichten erscheinen

Die Lösung

Die Bekämpfung mobiler Bots ist genau der Grund, warum wir F5 Anti-Bot Mobile SDK entwickelt haben, das die robusten Bot-Schutzfunktionen der F5® Advanced Web Application Firewall™ (WAF)-Lösungen auf mobile Anwendungen ausweitet, um eine Verteidigung gegen Bots, Schwachstellen-Scanner, Content-Scraping und andere automatisierte Angriffsvektoren zu bieten.

Unsere enge Partnerschaft mit Appdome ist ein wichtiger Bestandteil unserer umfassenden, mobilen Lösung zum Schutz vor Bots. Die Integration von F5 Advanced WAF und Appdome erweitert den Bot-Schutz für mobile Anwendungen um Anwendungs-Whitelisting, Verhaltensanalysen, sichere Cookie-Validierungen und erweiterte Anwendungshärtung. Appdome bietet außerdem die Mittel für eine schnelle und einfache Integration, sodass Entwickler und Nicht-Entwickler gleichermaßen die volle Funktionalität von F5® Anti-Bot Mobile SDK mit einem einfachen Klick implementieren können.

Partnerschaft zwischen F5 Networks und Appdome

Mobile Anwendungen werden nicht mit nativer Kompatibilität zu F5 Anti-Bot Mobile SDK bereitgestellt, was bedeutet, dass Entwickler von mobilen Anwendungen den Quellcode von mobilen Anwendungen ändern müssen, damit die Dienste von F5 erkannt werden können und die Verbindung sowie Authentifizierung ermöglicht wird. In der Vergangenheit stellte dies eine große Herausforderung für Unternehmen dar, die F5-Dienste für den Zugriff auf mobile Anwendungen nutzen wollten, was sie häufig dazu veranlasste, Projekte abzubrechen oder gar keine mobilen Projekte zu initiieren.

Nun, bedingt durch die enge Partnerschaft mit Appdome, könnte die Integration nicht einfacher sein. Appdome bietet eine patentierte Integration Platform-as-a-Service (IPaaS)-Lösung an, die F5 Anti-Bot Mobile SDK (oder jeden anderen mobilen Sicherheitsdienst) in wenigen Minuten zu jeder mobilen Anwendung (egal, ob Android oder iOS) hinzufügen kann, ohne dass eine Programmierung erforderlich ist. Appdome bietet eine schnellere, einfachere und effizientere Alternative zur manuellen Programmierung, um neue Funktionen zu Anwendungen hinzuzufügen, und kann eine mobile Anwendung in drei Schritten vor Bots und automatischen Angriffen schützen:

Abbildung 2: Schützen Sie eine mobile Anwendung in 3 einfachen Schritten vor Bots und automatisierten Angriffen.

Appdome-mobil

  1. Laden Sie eine Android- oder iOS-Binärdatei in Appdome hoch.
  2. Wählen Sie in der Kategorie „Mobile Threat“ (Mobile Bedrohungen) die Option „F5 Anti-Bot“ (F5-Anti-Bot).
  3. Fügen Sie die Informationen des geschützten Hosts und andere optionale Optionen hinzu und klicken Sie auf die Schaltfläche „Build My App“ (Meine Anwendung erstellen).

Eine neue Anwendungs-Binärdatei mit allen Funktionen von F5 Anti-Bot Mobile SDK wird in wenigen Minuten erstellt. Sie müssen die neue Anwendung nur noch unterzeichnen und sie mithilfe bestehender Workflows bereitstellen.

Funktionsweise

Appdome ist die erste mobile Integrationsplattform der Branche, die ohne Programmierung auskommt. Die patentierte Fusion-Technologie des Unternehmens und sein AI-Digital Developer™, bekannt als AMI, bilden die Grundlage einer Self-Service-Plattform. Diese Plattform ermöglicht es jedem, die Integration von Tausenden von mobilen Diensten, Standards, Anbietern, SDKs und APIs in den Bereichen Sicherheit, Authentifizierung, Zugriff, Mobilität, mobile Bedrohungen, Analysen und mehr abzuschließen und diese Dienste sofort in jede mobile Anwendung zu integrieren.

Diese mobile Integrationsplattform, für die keine Programmierung erforderlich ist, ermöglicht es Kunden, F5 Anti-Bot Mobile SDK in jede mobile Anwendung zu implementieren. Für F5-Kunden bedeutet dies, dass Sie Ihre bestehenden F5-Dienste nutzen können, um den Zugriff auf Unternehmensressourcen von allen Android- und iOS-Anwendungen aus zu verwalten. Dazu gehören native, hybride und nicht-native Anwendungen sowie Anwendungen von Drittanbietern und Anwendungen, die in jedem beliebigen Framework entwickelt wurden und sofort einsatzbereit sind.

Darüber hinaus eliminiert Appdome Abhängigkeiten von anwendungsinternen Standards, sodass Anwendungsentwickler diese nicht mehr manuell in ihre Anwendungen programmieren müssen. Kunden können die moderne Authentifizierung für jede beliebige Anwendung nutzen, ohne von den Strategien von Drittentwicklern abhängig zu sein.

Zusammenfassung

Da feindliche Bots mit ihren Angriffen auf mobile Anwendungen immer weiter vordringen, benötigen Unternehmen eine Möglichkeit, schnell und effektiv leistungsstarke, schützende F5 Advanced WAF-Funktionen auf ihre mobilen Anwendungen auszuweiten. Appdome bietet eine IPaaS-Lösung, mit der Benutzer das F5 Anti-Bot Mobile SDK innerhalb von Minuten und ohne Programmierung zu jeder mobilen Anwendung hinzufügen können.

Funktionen von F5 und Appdome

  • Schützen Sie, was wichtig ist: F5 schützt Ihre wertvollsten Ressourcen – Ihre Anwendungen und sensiblen Daten – vor Bots, automatisierten Angriffen, Web-Scrapern und Exploits. Die Integration mit Appdome erweitert den Bot-Schutz für mobile Anwendungen um Anwendungs-Whitelisting, Verhaltensanalysen, sichere Cookie-Validierungen und fortschrittliche Anwendungshärtung.
  • Schnelle und gründliche Erkennung von Bots auf mobilen Geräten: Unternehmensabteilungen für mobile Sicherheit und E-Commerce können wichtige Lösungen implementieren, ohne die knappen mobilen Entwicklungsressourcen zu belasten. Da Appdome einfach zu verwenden ist und keine Programmierung erfordert, können Unternehmen ihre Initiativen zum Schutz vor Bots durch die sofortige Implementierung von F5 Anti-Bot Mobile SDK beschleunigen, wodurch eine schnelle Bereitstellung fortschrittlicher mobiler Sicherheitslösungen ohne einen komplexen Entwicklungs- oder Installationsprozess ermöglicht wird.
  • Vereinfachung von POCs: Rationalisieren Sie Ihren Bewertungsprozess und führen Sie Proof of Concepts (POCs) durch, ohne Ressourcen zu verbrauchen oder Hardware oder Software zu installieren. Alle POCs sind mit Appdome sofort verfügbar.
  • Genießen Sie ein einheitliches Erlebnis über alle Plattformen hinweg: Appdome ist plattformübergreifend und arbeitet unabhängig von Frameworks. Der Bot-Schutz kann ohne zusätzlichen Aufwand und plattformübergreifend konsistent zu iOS- und Android-Anwendungen hinzugefügt werden. Er funktioniert mit jeder Anwendung, die in einem beliebigen Framework erstellt wurde, ohne Änderungen vorzunehmen oder Plugins zu installieren.
  • Nutzen Sie die Vorteile von Multi-Service-Implementierungen: Mit Appdome können Benutzer mehrere Sicherheitsdienste in derselben Anwendung implementieren. So können Sie eine mehrschichtige Verteidigung implementieren, die eine umfassende Palette an mobilen Angriffsvektoren abdeckt. Fügen Sie beispielsweise F5 Anti-Bot Mobile SDK mit Appdome TOTALData Encryption und TOTALCode Obfuscation hinzu, um eine umfassende mobile Sicherheitslösung in wenigen Minuten zu erzielen.

Weitere Informationen über die Partnerschaft von F5 und Appdome und die Integration der Lösung finden Sie unter F5-Webanwendungs- und API-Schutz.

Weitere Informationen:

Appdome

Mobile Bedrohungsabwehr von Appdome

Ausräumen Ihrer Bedenken zur Cloud-Sicherheit mit F5 Advanced WAF in AWS und Azure

Webinare zur Anwendungssicherheit

Rufen Sie die neueste Bedrohungseinschätzung ab