Bot-Angriffe: Die wichtigsten Bedrohungen und Trends
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Bot-Angriffe: Die wichtigsten Bedrohungen und Trends Nr. 1 September 2021 Einblicke in die wachsende Zahl automatisierter Angriffe Nicht alle Bots sind gleich. Einige, wie die Crawler von Suchmaschinen, sind gutartig. Doch es gibt auch bösartige Bots, deren Aufgabe darin besteht, Angriffe in großem Stil zu fahren. Der Traffic von diesen bösartigen Bots steigt explosionsartig, und in diesem detaillierten Bericht befassen wir uns mit neuen Traffic-Mustern, Praxisbeispielen von Bot- Verhalten und -Erkennung und den Maßnahmen, mit denen Sie Ihr Unternehmen schützen können.»
Inhaltsverzeichnis
Zentrale Ergebnisse 1
Einleitung 2
Traffic-Trends 3–5
Erkenntnis 1: Bots erzeugen fast zwei Drittel des Internet-Traffics 3
Erkenntnis 2: Nordamerika macht den Großteil des bösartigen Bot-Traffics aus 4
Erkenntnis 3: Bösartige Bots haben einen normalen Arbeitstag 5
Praxisbeispiele bösartiger Bots 6–10
Beispiel 1: Ein bösartiger Bot gibt vor, ein bekannter Schwachstellenscanner zu sein 6
Beispiel 2: Zugriff auf die Anmeldeseite eines Medizin Service Providers 7
Beispiel 3: Webscraping bei einem B2B E-Commerce-Shop 8
Beispiel 4: Preis-Scraping bei einem E-Commerce-Shop in Osteuropa 9
Beispiel 5: Bots versuchen, das Anmeldeportal eines indischen
Fertigungsunternehmens zu überwältigen 10
Best Practices zum Schutz vor Bot-Angriffen 11
Über Barracuda 12
II | Barracuda • EINBLICKE IN DIE WACHSENDE ANZAHL AUTOMATISIERTER ANGRIFFE ANWENDUNGS- UND CLOUD-SECURITYZentrale Ergebnisse
Zentrale Ergebnisse
E-Commerce-Applikationen und
Bots erzeugen fast zwei Drittel Login-Portale sind die häufigsten
des Internet-Traffics. Ziele von fortgeschrittenen
hartnäckigen Bots.
Nordamerika ist verantwortlich Der meiste Bot-Datenverkehr geht
für 67 % des von zwei großen Public Clouds aus:
Bot-Traffic-Aktivitäten AWS und Microsoft Azure.
Bösartige Bots haben einen
normalen Arbeitstag.
1 | Barracuda • EINBLICKE IN DIE WACHSENDE ANZAHL AUTOMATISIERTER ANGRIFFE ANWENDUNGS- UND CLOUD-SECURITYEinleitung Einleitung In den letzten Jahren hat der automatisierte Bot-Traffic stark zugenommen. Sie wurden einst hauptsächlich von Suchmaschinen eingesetzt, doch nun haben Bots zahlreiche Aufgaben – gute wie schlechte. Die gutartigen Bots sind Crawler von Suchmaschinen, Social-Media-Netzwerken, Aggregatoren, Monitoring-Bots etc. Diese Bots befolgen die Regeln der Website-Inhaber, die in der Datei robots.txt festgelegt werden, veröffentlichen Methoden zur Validierung ihrer Identität und arbeiten so, dass die von ihnen besuchten Websites und Apps nicht überlastet werden. Bösartige Bots führen verschiedene schädliche Aktivitäten Barracuda Experten haben die Traffic-Muster analysiert, die aus. Diese reichen von einfachen Scrapern, die Daten aus in Anwendungssicherheitslösungen von Barracuda im ersten einer Anwendung abschöpfen wollen (und leicht zu blockieren Halbjahr 2021 gemessen wurden, In diesem Bericht zeigen wir sind) bis zu fortgeschrittenen hartnäckigen Bots, die sich fast Ihnen die Erkenntnisse, die sich daraus bezüglich Traffic-Trends wie Menschen verhalten und alles tun, um eine Erkennung zu ergeben und Praxisbeispiele für Bot-Verhalten und -Erkennung. vermeiden. Diese Bots führen Angriffe wie Web- und Preis- Scraping, Inventory Hoarding Account Takeover-Angriffe, DDoS-Angriffe (Distributed Denial of Service) und viele mehr aus. Bösartige Bots erzeugen einen großen Teil des heutigen Website-Traffics, und es ist wichtig für Unternehmen, diese zu erkennen und zu blockieren. 2 | Barracuda • EINBLICKE IN DIE WACHSENDE ANZAHL AUTOMATISIERTER ANGRIFFE ANWENDUNGS- UND CLOUD-SECURITY
Traffic-Trends
Traffic-Trends
Erkenntnis 1: Bots erzeugen 64%
des Internet-Traffics.
Der automatisierte Traffic macht fast zwei Drittel des Allerdings zeigen unsere Messungen, dass fast 40% des
Datenverkehrs im Internet aus. Das ergaben Messungen durch gesamten Traffics von bösartigen Bots erzeugt werden.
Barracuda-Technologie in den ersten 6 Monaten des Jahres Dazu zählen einfache Webscraper und Angriffsskripte sowie
2021. Knapp 25% dieses Traffics werden von gutartigen Bots fortgeschrittene hartnäckige Bots. Diese fortgeschrittenen Bots
erzeugt – Suchmaschinen-Crawler, Bots von Social-Media- tun alles, um Standardabwehreinrichtungen zu umgehen und
Netzwerken und Monitoring-Bots. ihre schädlichen Aktivitäten „unter dem Radar“ auszuführen.
In unserem Datensatz waren die häufigsten unter den
fortgeschrittenen Bots diejenigen, die es auf E-Commerce-
Anwendungen und Anmeldeportale abgesehen hatten.
Traffic-Verteilung: Bots vs. Menschen Verteilung nach Monat
(Januar – Juni 2021)
100%
)
5%
(2 80%
t
Bo
Me
er
rtig
60%
nsc
Guta
h (36
40%
%)
20%
0%
Jan Feb Mrz Apr Mai Juni
Bö
sa
ge Bösartiger Bot Gutartiger Bot Mensch
r ti
rB
ot
(3 9
%)
3 | Barracuda • EINBLICKE IN DIE WACHSENDE ANZAHL AUTOMATISIERTER ANGRIFFE ANWENDUNGS- UND CLOUD-SECURITYTraffic-Trends
Erkenntnis 2: Auf Nordamerika entfällt der meiste
schädliche Bot-Traffic – und der Großteil davon
stammt aus öffentlichen Rechenzentren.
Der Großteil des Traffics bösartiger Bots stammt aus IP- In unserem Datensatz ging der meiste Bot-Traffic von zwei
Bereichen von Rechenzentren. Dadurch ist es relativ einfach, großen Public Clouds aus – AWS und Microsoft Azure – und
diese Bots zu identifizieren und zu blockieren. Wenn Ihre zwar zu etwa gleichen Teilen. Das könnte daran liegen, dass es
Anwendung keinen Traffic vom IP-Bereich eines bestimmten bei beiden Anbietern relativ einfach ist, ein kostenloses Konto
Rechenzentrums erwartet, können Sie in Erwägung ziehen, einzurichten und damit bösartige Bots loszuschicken.
diesen zu blockieren – ähnlich wie geobasierte IP-Blockierung.
In der regionalen Traffic-Verteilung macht Nordamerika 67% des
bösartigen Bot-Traffics aus. Dahinter folgen Europa und Asien.
Interessanterweise kommt der Bot-Traffic aus Europa mit höherer
Wahrscheinlichkeit von Hosting-Anbietern (VPS) oder privaten IP-
Adressen als der nordamerikanische Datenverkehr.
Geografische Quellen von bösartigem Bot-Traffic
(8%)
) (2
8% 2%
0,
(
)
(0,2
%)
(2%)
(67%
)
Nordamerika Südamerika Asien
Europa Afrika Ozeanien
4 | Barracuda • EINBLICKE IN DIE WACHSENDE ANZAHL AUTOMATISIERTER ANGRIFFE ANWENDUNGS- UND CLOUD-SECURITYTraffic-Trends
Erkenntnis 3: Bösartige Bots haben
einen normalen Arbeitstag.
2020 fanden unsere Forscher heraus, dass der Traffic bösartiger Bösartige Bots hingegen ahmen den normalen Arbeitstag
Bots üblicherweise dem normalen Arbeitstag folgt. Unsere nach – und zwar aus gutem Grund. Die Angreifer, die diese
Analyse für das erste Halbjahr 2021 bestätigt diese Beobachtung. Bots ausführen, verstecken sich am liebsten im normalen
Gutartige Bots haben eine normale Verteilung – sie variieren Datenverkehr der Menschen, um keine Aufmerksamkeit zu
kaum, und der Traffic ist den ganzen Tag über konstant. In den erregen. Das gängige Klischee vom „Hacker“, der nachts in
sechs analysierten Monaten kam ein Großteil dieses Traffics von einem dunklen Zimmer vor einem schwarzen Bildschirm mit
Monitoring-Bots, und diese mangelnde Varianz war zu erwarten. grünen Zeichen sitzt, ist dem Bild von Menschen gewichen, die
Bots zur Ausführung automatischer Angriffe einrichten, während
sie ihrem Tagwerk nachgehen.
Bot-Traffic am Tag
300,000,000
250,000,000
200,000,000
150,000,000
100,000,000
50,000,000
0,0
0000 0100 0200 0300 0400 0500 0600 0700 0800 0900 1000 1100 1200 1300 1400 1500 1600 1700 1800 1900 2000 2100 2200 2300
Bösartiger Bot Gutartiger Bot Mensch
5 | Barracuda • EINBLICKE IN DIE WACHSENDE ANZAHL AUTOMATISIERTER ANGRIFFE ANWENDUNGS- UND CLOUD-SECURITYPraxisbeispiele bösartiger Bots
Praxisbeispiele
bösartiger Bots
Beispiel 1: Ein bösartiger Bot gibt vor, ein
bekannter Schwachstellenscanner zu sein.
Bösartiger Bot gibt sich als gutartiger Bot aus
20
15
10
5
0
04:11 04:12 04:13 04:14 04:15 04:16
Jeder Punkt stellt eine eindeutige URL dar, auf die zugegriffen wird. Die erste Gruppe zeigt, dass viele Anfragen an eine URL zum selben Zeitpunkt gestellt wurden,
und an diesem Punkt wurde der Client gestoppt. Nach dem ersten Ansturm kamen die Anfragen in kleineren Mengen, aber nur an spezielle URLs.
Der Bot wurde anhand seiner Eigenschaften erkannt.
In unserer Analyse haben wir dieses Beispiel eines bösartigen Der Bot versagte jedoch an mehreren Stellen und wurde relativ
Bots entdeckt, der vorgibt, ein bekannter Schwachstellen- leicht ertappt. Ein eindeutiges Zeichen war der Fingerabdruck
Scanner (gutartiger Bot) zu sein. Der bösartige Bot versuchte, des Clients, der zu keinem bekannten Browser passte. Die
Nachforschungen anzustellen und mit einfachen Angriffen vorgetäuschten benutzerdefinierten Header waren zwar
Schwachstellen zu finden. Dabei nutzte der Bot einen korrekt, doch die vom Tool gesendete Header Order passte
Standard-Benutzeragent eines Browsers mit zusätzlichen nicht zum erwarteten Profil. Der bösartige Bot, der von privaten
benutzerdefinierten HTTP-Headern, die die Header eines IP-Adressen kam, besuchte außerdem Seiten in zufälliger
Scanners der angegriffenen Organisation spooften. Reihenfolge. All diese Aktionen zusammen sorgten für eine
schnelle Erkennung und Blockierung seiner andauernden
Angriffsversuche.
6 | Barracuda • EINBLICKE IN DIE WACHSENDE ANZAHL AUTOMATISIERTER ANGRIFFE ANWENDUNGS- UND CLOUD-SECURITYPraxisbeispiele bösartiger Bots
Beispiel 2: Zugriff auf die Anmeldeseite
eines Medizin Service Provider
In diesem Beispiel erkannten wir, dass der Bot versuchte, auf Der Bot wurde erkannt, weil sich seine Header-Variationen von
die Anmeldeseite eines Medizin Service Providers zuzugreifen. den Headern eines Standardbrowsers unterschieden. Außerdem
Dieser Bot gab vor, Internet Explorer auf Windows 10 zu sein, stach er heraus, weil dieselbe Browsersignatur von mehreren
hängte zufällige UTM-Parameter an die Anmeldeseiten-URL an AWS IP-Adressen kam, aber trotzdem nur die Anmeldeseiten
und kam von mehreren AWS IP-Bereichen. der Anwendung aufgerufen wurden. Verraten hat sich der Bot
schließlich mit einem Brute-Force-Angriff mithilfe gestohlener
Zugangsdaten. Unsere Zugangsdaten-Datenbank registrierte
diesen Angriff, und der Bot wurde für die Website gesperrt.
Brute-Force-Angriff auf eine Anmeldeseite
10
5
0
19:24:20 19:24:20.2 19:24:20.4 19:24:20.6 19:24:20.8 19:24:21
Dieses Diagramm zeigt einen Ausschnitt der Anmeldeanfragen vom Bot, während dieser einen Brute-Force-Angriff auf die Anmeldeseite durchführte.
Jeder Punkt stellt einen Anmeldeversuch dar.
7 | Barracuda • EINBLICKE IN DIE WACHSENDE ANZAHL AUTOMATISIERTER ANGRIFFE ANWENDUNGS- UND CLOUD-SECURITYPraxisbeispiele bösartiger Bots
Beispiel 3: Webscraping bei einem
B2B E-Commerce-Shop
Dieser Bot wurde beim Versuch ertappt, eine Menge greifen nur selten Privatkunden zu. Außerdem wurde erkannt,
Informationen von einem B2B E-Commerce-Shop dass der Client ein Web SDK-Kit benutzte, das üblicherweise zur
(Geschäftskunden) im UK zu „schürfen“. Der Bot trat als Automatisierung verwendet wird. Zusammen mit der schnellen
Standardbrowser auf und alle Header schienen in Ordnung. Navigation über die Website konnte der Bot dingfest gemacht
Außerdem kam er von einer privaten IP-Adresse, und hier und blockiert werden.
schöpfte das System erstmals Verdacht – auf diese Website
Besuchsmuster bei einem Web-Scraping-Angriff
3000
2000
1000
0
11:21:30 11:22:00 11:22:30 11:23:00 11:23:30 11:24:00
Dieses Diagramm zeigt den Bot, wie er versucht, auf denselben Satz URLs mehrmals innerhalb eines kurzen Zeitraums zuzugreifen, um Daten abzugreifen.
Dieses Muster führte der Bot mehrmals täglich aus.
8 | Barracuda • EINBLICKE IN DIE WACHSENDE ANZAHL AUTOMATISIERTER ANGRIFFE ANWENDUNGS- UND CLOUD-SECURITYPraxisbeispiele bösartiger Bots
Beispiel 4: Preis-Scraping bei einem
E-Commerce-Shop in Osteuropa
In diesem Beispiel gab es einen mutmaßlichen Preis-Scraping- Nachdem die Scraper blockiert waren, kamen die bösartigen
Versuch bei einem E-Commerce-Shop mit Sitz in Osteuropa. Der Bots mit verschiedenen Browsermustern von IP-Adressen in
Shop hatte eine Rabattaktion für Apple-Produkte laufen, und angrenzenden Ländern. Die Aktivitäten waren diesmal einfacher
es gab einige verdächtige Muster beim Traffic-Verhalten. Der zu erkennen, weil die neuen Clients keine Standardbrowser-
verdächtige Traffic ging von Standardbrowser-Clients aus und Header benutzten und auf dieselben Seiten zugriffen. Sie wurden
kam über mehrere lokale private IP-Adressen. Diese lokalen ebenfalls blockiert.
IP-Adressen stammten jedoch von VPS-Hostinganbietern, und
jeder Client griff nur auf einen Standardsatz von Seiten zu. Nach
einigen Iterationen dieser Anfragen wurden die Traffic-Muster
korreliert, als Preis-Scraping-Versuche erkannt und blockiert.
Sich wiederholendes Muster eines Preis-Scraping-Bots
3000
2000
1000
0
13:00 14:00 15:00 16:00 17:00 18:00 19:00
Die Bots griffen mehrmals pro Stunde auf denselben Satz Produkt-URLs zu, nachdem der erste Ansturm blockiert worden war.
Bot ändert Muster, um der Entdeckung zu entgehen
3000
2000
1000
0
02:50 03:00 03:10 03:20 03:30 03:40 03:50
Bots versuchen, mit einem anderen Browsing-Muster mehrmals pro Stunde auf eine kleinere Menge von Produktseiten zuzugreifen.
9 | Barracuda • EINBLICKE IN DIE WACHSENDE ANZAHL AUTOMATISIERTER ANGRIFFE ANWENDUNGS- UND CLOUD-SECURITYPraxisbeispiele bösartiger Bots
Beispiel 5: Versuch, das Anmeldeportal
eines indischen Fertigungsunternehmens
zu überwältigen.
In diesem Beispiel verzeichnete das Anmeldeportal eines mit Hotspot-Verbindung kam, der vorgab, ein Mobilgerät zu sein.
indischen Fertigungsunternehmens ungewöhnlich viel Traffic. Die mehreren verschiedenen Clients, die versuchten, diese
Der Traffic kam hauptsächlich aus mobilen Netzwerken, was Anmeldeseite zu überwältigen, wurden erfolgreich blockiert,
ungewöhnlich, aber bei dieser Website nicht unerwartet war. und die Reaktionszeit der Seite ging wieder auf den Normalwert
Bei näherer Analyse erkannte das System jedoch, dass der zurück.
eingehende Traffic wahrscheinlich von einem Desktop-Browser
Traffic-Spitzen im Anmeldeportal
1500
1000
500
0
12:00 14:00 16:00 18:00 20:00 22:00 00:00 02:00 04:00
Die ersten Punkte waren ein Bot, der vorgab, ein Mensch zu sein, und seine Zugriffe ausdehnte. Danach sind Cluster zu sehen, und jeder Punkt stellt einen anderen
Client dar, der versucht, auf die Anmeldeseite zuzugreifen.
10 | Barracuda • EINBLICKE IN DIE WACHSENDE ANZAHL AUTOMATISIERTER ANGRIFFE ANWENDUNGS- UND CLOUD-SECURITYBest Practices zum Schutz vor Bot-Angriffen
Best Practices zum
Schutz vor
Bot-Angriffen
Bösartige Bots stellen heute ein großes Problem für Inhaber von • Für angemessene Anwendungssicherheit sorgen.
Web- und API-Anwendungen dar. Diese schädlichen Bots greifen Installieren Sie eine Web Application Firewall or WAF-as-a-
Benutzerkonten an, verzerren Analysen, greifen Daten ab und Service-Lösung und achten Sie darauf, dass diese richtig
beeinträchtigen das Kundenerlebnis. Und sie können letztendlich konfiguriert ist. Das ist ein wichtiger erster Schritt, damit Ihre
zu Datenpannen führen. Laut dem Bericht The State of Application Anwendungssicherheitslösung wie gewünscht funktioniert.
Security in 2021 (Application Security 2021- Ein Überblick) sind
Bot-basierte Angriffe der wahrscheinlichste Faktor für erfolgreiches • In guten Bot-Schutz investieren. Stellen Sie sicher, dass
Eindringen aufgrund von Anwendungsschwachstellen in den die von Ihnen gewählte Anwendungssicherheitslösung Bot-
letzten 12 Monaten. Schutz enthält, damit sie fortschrittliche automatisierte
Angriffe effektiv erkennen und stoppen kann.
Wenn es um den Schutz vor neuartigen Angriffen geht, wie z.
B. Bots, kann die schiere Anzahl der erforderlichen Lösungen • Maschinelles Lernen nutzen. Mit einer Lösung, die auf
manchmal eine Überforderung darstellen. Insofern ist positiv maschinelles Lernen setzt, können Sie fast menschliche
zu vermerken, dass diese Lösungen zunehmend in WAF/WAF- Botangriffe effektiv erkennen und blockieren. Aktivieren
as-a-Service-Lösungen konsolidiert werden, die auch als Web Sie unbedingt die Abwehr von Credential Stuffing, um auch
Application and API Protection (WAAP) bezeichnet werden. Kontoübernahmen zu verhindern.
Um Ihr Unternehmen und Ihre Daten, Analysen und Ihren
Warenbestand zu schützen, müssen Sie in WAAP-Technologie
investieren, die bösartige Bots erkennt und stoppt, bevor
diese Schaden anrichten können. So verbessern Sie das
Benutzererlebnis und die Sicherheit insgesamt.
11 | Barracuda • EINBLICKE IN DIE WACHSENDE ANZAHL AUTOMATISIERTER ANGRIFFE ANWENDUNGS- UND CLOUD-SECURITYÜber Barracuda Über Barracuda Wir von Barracuda wollen die Welt sicherer machen. Wir glauben, dass jedes Unternehmen Zugang zu Cloud- fähigen Sicherheitslösungen auf höchstem Niveau verdient, die einfach zu kaufen, zu implementieren und zu verwenden sind. Wir schützen E-Mails, Netzwerke, Daten und Anwendungen mit innovativen und anpassungsfähigen Lösungen, die mit den Unternehmen unserer Kunden wachsen. Mehr als 200.000 Unternehmen weltweit vertrauen auf den Schutz durch Barracuda – auf eine Art und Weise, von der sie vielleicht nicht einmal wissen, dass sie gefährdet sind. Somit können sie sich darauf konzentrieren, ihr Geschäft auf die nächste Stufe zu bringen. Weitere Informationen finden Sie unter de.barracuda.com. EINBLICKE IN DIE WACHSENDE ANZAHL AUTOMATISIERTER ANGRIFFE • DE 1.0 • Copyright 2021 Barracuda Networks, Inc. • de.barracuda.com Barracuda Networks und das Logo von Barracuda Networks sind eingetragene Marken der Barracuda Networks, Inc. in den USA. Alle anderen Namen sind Eigentum der jeweiligen Rechteinhaber.
Sie können auch lesen
