Account Takeover Botnets aufspüren
22. August 2019Der Diebstahl von Account-Informationen stellt eines der größten Risiken für Unternehmen dar. Häufig vertrauen sie statischen Sicherheitsregeln, der Begrenzung von Durchgangsraten und grundlegendem Bot-Schutz. Diese Methoden eignen sich zwar gut für die Abwehr von technischen Angriffen wie SQL-Injections oder Cross-Site-Scripting. Diese klassischen Schutzmechanismen lassen sich jedoch mit fortschrittlichen Tools relativ leicht austricksen und sind weniger effektiv gegen Angriffe wie so genannte Account Takeover (ATO), welche es auf die Logik von Benutzeranmeldungen abzielen. Dagegen erkennt eine verhaltensbasierte Erkennungssoftware selbst geringe Abweichungen im Nutzerverhalten.
Untersuchungen des Security-Spezialisten Imperva haben ergeben, dass im Schnitt jede Webseite stündlich mit zwei Anmeldeversuchen von einer Botnet-gesteuerten IP-Adresse zu rechnen hat. Dies ist zwar eine sehr geringe Anzahl für einen Cyber-Angriff, doch laufen diese „low and slow“-Attacken meist unter dem Radar der Sicherheitsverantwortlichen. Viele Angriffe sind also durch die Verteilung der Angriffe auf einen längeren Zeitraum und verschiedene IP-Adressen maskiert und werden von traditionellen Sicherheitskontrollen als normaler Traffic registriert. Der Angriff wird so nicht als Bedrohung an IT-Administratoren gemeldet.
Imperva hat die Anmeldeverfahren und daraus hervorgehenden Angriffsdaten untersucht und konnte mehrere solcher ATO-Botnets aufdecken, deren einziger Zweck darin besteht, Accounts per „low and slow“-Attacken zu übernehmen.
Verhaltensbasierte Erkennungssoftware gegen Botnet-Angriffe nutzen
Angreifer verwenden mioderne Tools und eine breite Infrastruktur an Bots, die es ihnen ermöglichen, Attacken durchzuführen und über einen langen Zeitraum unentdeckt zu bleiben. Doch Sicherheitslösungen, wie etwa die verhaltensbasierte Erkennungssoftware, bieten einen effektiven Weg, um auch Anomalien in Form wechselnder, unbekannter IP-Adressen aufzuspüren.
Es gibt viele potenzielle Variablen, die verwendet werden, um das normale Verhalten von Nutzern zu definieren: zum Beispiel das Verhältnis von erfolgreichen versus fehlgeschlagenen Anmeldeversuchen, von schwachen versus starken Passwörtern, von Standard- versus Nicht-Standard-Benutzern. KI-gesteuerte Analyse-Tools können anhand dieser Informationen herausfinden, ob geleakte Anmeldeinformationen verwendet werden oder nicht-registrierte Benutzer auf Unternehmens-Seiten zugreifen wollen.
Die Sicherheitslösung muss also erkennen, ob es sich im gegebenen Kontext tatsächlich um einen Anmeldeversuch handelt, welcher Nutzer und welches Passwort verwendet wird und was das Ergebnis des Anmeldeversuches ist. Vorgängig ist die Lösung darauf zu trainieren, welche Standardbenutzer es gibt, was schwache Passwörter sind, welche „leaked“ Benutzerinformationen bekannt sind und auf welche Art und Weise die Anwender- und Passwortlisten aktualisiert werden können.
Erst dann kann die Software lernen, was das normale Verhalten der Nutzer ist und Verhaltensanomalien erkennen, die auf ATOs hinweisen können. Die Lernphase und die Genauigkeit des erlernten Verhaltens werden durch die Datenmenge bestimmt, die für den Lernvorgang der Software zur Verfügung steht.
Liegt für den maschinellen Lernprozess der Software bereits eine große Datenmenge für das Anmeldeverhalten eines Nutzers vor, welche entsprechend aggregiert werden kann, entwickelt das Programm ein zuverlässiges Erkennungsmodell für das Login-Verhalten der einzelnen Nutzer. So kann die Software erkennen ob geringe Abweichungen im Nutzerverhalten bei der Anmeldung vorliegen und beispielsweise oben beschriebene „low and slow“-Attacken an die IT-Abteilung als möglichen Cyber-Angriff melden.
Nadav Avital ist Threat Analytics Manager bei Imperva.