Account Takeover Angriffe – Botnets aufspüren

Eine neue, erhaltensbasierte Erkennungssoftware erkennt selbst geringe Abweichungen im Nutzerverhalten. Hintergrund: Der Diebstahl von Account-Informationen stellt eines der größten Risiken für Unternehmen dar. Häufig vertrauen sie statischen Sicherheitsregeln, der Begrenzung von Durchgangsraten und grundlegendem Botschutz.

Diese Methoden eignen sich zwar gut für die Abwehr von technischen Angriffen wie SQL-Injections oder Cross-Site-Scripting. Diese klassischen Schutzmechanismen lassen sich jedoch mit fortschrittlichen Tools relativ leicht austricksen und sind weniger effektiv gegen Angriffe wie so genannte Account Takeover (ATO), welche es auf die Logik von Benutzeranmeldungen abzielen. 

Anzeige

ATO-Angriffe sind schwer zu erkennen

Untersuchungen von Imperva haben ergeben, dass im Schnitt jede Webseite stündlich mit zwei Anmeldeversuchen von einer Botnet-gesteuerten IP-Adresse zu rechnen hat. Dies ist zwar eine sehr geringe Anzahl für einen Cyberangriff, doch laufen diese „low and slow“-Attacken meist unter dem Radar der Sicherheitsverantwortlichen. Viele Angriffe sind also durch die Verteilung der Angriffe auf einen längeren Zeitraum und verschiedene IP-Adressen maskiert und werden von traditionellen Sicherheitskontrollen als normaler Traffic registriert. Der Angriff wird so nicht als Bedrohung an IT-Administratoren gemeldet. Imperva hat die Anmeldeverfahren und daraus hervorgehenden Angriffsdaten untersucht und konnte mehrere solcher ATO-Botnets aufdecken, deren einziger Zweck darin besteht, Accounts per „low and slow“-Attacken zu übernehmen.

Verhaltensbasierte Erkennungssoftware gegen Botnet-Angriffe nutzen

Angreifer verwenden fortschrittliche Tools und eine breite Infrastruktur an Bots, die es ihnen ermöglichen, Angriffe durchzuführen und über einen langen Zeitraum unentdeckt zu bleiben. Doch fortschrittliche Sicherheitslösungen wie verhaltensbasierte Erkennungssoftware bieten einen effektiven Weg, auch Anomalien in Form wechselnder, unbekannter IP-Adressen aufzuspüren. Es gibt viele potenzielle Variablen, die verwendet werden, um das normale Verhalten von Nutzern zu definieren: zum Beispiel das Verhältnis von erfolgreichen versus fehlgeschlagenen Anmeldeversuchen, von schwachen versus starken Passwörtern, von Standard- versus Nicht-Standard-Benutzern. KI-gesteuerte Analyse-Tools können anhand dieser Informationen herausfinden, ob geleakte Anmeldeinformationen verwendet werden oder nicht-registrierte Benutzer auf Unternehmens-Seiten zugreifen wollen.

Die Sicherheitslösung muss also erkennen, ob es sich im gegebenen Kontext tatsächlich um einen Anmeldeversuch handelt, welcher Nutzer und welches Passwort verwendet wird und was das Ergebnis des Anmeldeversuches ist. Vorgängig muss die Lösung darauf trainiert werden, welche Standard-Benutzer es gibt, was schwache Passwörter sind, welche leaked Benutzerinformationen bekannt sind und auf welche Art und Weise die Anwender- und Passwortlisten aktualisiert werden können. Erst dann kann die Software lernen, was das normale Verhalten der Nutzer ist und Verhaltensanomalien erkennen, die auf ATOs hinweisen können. Die Lernphase und die Genauigkeit des erlernten Verhaltens werden durch die Datenmenge bestimmt, die für den Lernvorgang der Software zur Verfügung steht. Liegt für den maschinellen Lernprozess der Software bereits eine große Datenmenge für das Anmeldeverhalten eines Nutzers vor, welche entsprechend aggregiert werden kann, entwickelt das Programm ein zuverlässiges Erkennungsmodell für das Login-Verhalten der einzelnen Nutzer. So kann die Software erkennen ob geringe Abweichungen im Nutzerverhalten bei der Anmeldung vorliegen und beispielsweise oben beschriebene „low and slow“-Attacken an die IT-Abteilung als möglichen Cyberangriff melden.

Anzeige

www.imperva.com

Nadav

Avital

Threat Analytics Manager

Imperva

Als Manager in der Threat Research Group von Imperva und Experte für Web Application Security leitet Nadav Avital die Bemühungen zur Erfassung und Analyse von Hacking-Aktivitäten, zur Entwicklung neuer Sicherheitslösungen und zur Erforschung neuer Bedrohungen und Technologien und hat mehr als 10 Jahre Branchenerfahrung in der Codierung, der Erfindung
Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.