Filtering und Blockierung

Anomaly Shield

Erkennung von Bots mit Machine Learning

Einsatzgebiet

 

  • Erkennung und Abwehr von unerwünschten Bots wie Content Scraping, Denial of Service, Credential Stuffing usw.
  • Forechecking: Abschreckung von Hackern in der Aufklärungsphase, z.B. durch das Verhindern von Vulnerability Scans.
  • Bekämpfung unbekannter und automatisierter Angriffe

So funktioniert Airlock Anomaly Shield

Airlock Anomaly Shield lernt während der Inbetriebnahme, wie sich die echten Benutzer einer Anwendung verhalten. Für das Unsupervised Learning werden die Rohdaten platzsparend aufbereitet und aggregiert, um die Präzision und Trefferquote zu optimieren. Die in der Trainingsphase gelernten Machine Learning Modelle bilden passgenau die Charakteristika der Businessanwendung ab. Im Betrieb werden alle aktiven Sitzungen permanent mit dem gelernten Verhalten verglichen. Wenn die Abweichung zu gross ist, wird die Sitzung als Ausreisser gekennzeichnet. Ob eine Anomalie nur protokolliert wird, oder ob die Sitzung terminiert und die IP-Adresse blockiert wird, lässt sich für jede Anwendung getrennt steuern.

Vorteile

  • Schnelle Inbetriebnahme ohne Data Science Know-how
    Wartung und Einrichtung sind ohne Kenntnisse im Bereich Machine Learning innerhalb von Minuten möglich.
  • Abwehr unbekannter Angriffsarten:
    Das anwendungs-spezifische Training resultiert in einem positiven Sicherheitsmodell. Damit können auch unbekannte Bots oder Zero-Day-Attacken erkannt werden, weil der Schutz nicht auf Signaturen basiert.
  • 100% Datenschutz und Kontrolle:
    Das gelernten Verhalten sowie die Anomalie-Entscheidungen verlassen den Airlock Gateway Cluster nicht.
  • Einstellbare Empfindlichkeit:
    Bei einer Häufung von False Positives/Negatives kann die Sensitivität für jeden Sensor angepasst werden.
  • Hoher Datendurchsatz:
    Die Analyse erfolgt im Hintergrund und entkoppelt vom normalen Request-Fluss. Eine Verzögerung des Datenverkehrs ist durch die asynchrone Beurteilung ausgeschlossen.

Was sind bösartige Bots?

Eigenschaften und Beispiele

Typische Bot-Eigenschaften

Bots agieren häufig sehr nahe am menschliche Benutzerverhalten. Trotzdem lassen sie sich an ihrem Verhalten erkennen. 
Die folgenden Anomalien treten bei Analysen von Bot-Traffic sehr häufig auf:

  • Ungewöhnlich viele Seitenaufrufe innert kurzer Zeit
  • Unerwartet hohe Fehlerquoteoder Absprungrate
  • Ungewöhnliche Abfolge der Seitenaufrufe
  • Auffällige Absenderadressen oder TLS-Sessions

Vulnerability Scanner

Hacker verwenden automatisierte Werkzeuge wie Schwachstellen-Scanner, um verwundbare Systeme zu finden. Mit Hilfe von Bots untersuchen sie damit oft viele Systeme gleichzeitig auf mögliche Sicherheitslücken. Die einzelnen Schritte eines Scans sind oft nicht eindeutig als Angriff zu erkennen — schliesslich will der Angreifer will ja möglichst lange unter dem Radar bleiben. 

Web und API Scraping

Beim Content Scraping laden Bots alle Inhalte einer Website häufig mit dem Ziel herunter, die gewonnenen Daten zu missbrauchen. Auch hier bemüht sich der Angreifer, so zu tun als wäre er ein normaler Benutzer. Um die grosse Datenmenge zu bewältigen, müssen die automatisierten zeitliches Verhalten. Airlock Anomaly Shield wurde entwickelt, um Scraping-Angriffe zu blockieren und andere Arten von böswilligem Traffic zu bekämpfen.

Credential Stuffing

Beim Credential Stuffing wird ausgenutzt, dass das gleiche Passwort aus Bequemlichkeit oft für mehrere Dienste verwendet wird. Angreifer können so versuchen, Benutzerkonten zu kompromittieren, indem sie gestohlene Anmeldeinformationen auf anderen Systemen ausprobieren. Der stärkste Schutz gegen Credential Stuffing ist ein die Abwehr von Bots. Als Gegenmassnahme kommen auch Zwei-Faktor-Authentifizierung oder CAPTCHAs in Frage, diese werden aber von den Endbenutzern oft als lästig empfunden.

Denial-of-Service

Bei einem Denial-of-Service-Angriff (DoS) versucht ein böswilliger Akteur, einen Dienst für seine vorgesehenen Benutzer unzugänglich zu machen. Das System wird mit Anfragen überflutet, bis der normale Datenverkehr nicht mehr verarbeitet werden kann. Durch Verhaltensanalyse können DoS-Angriffe erkannt und aufgehalten werden, bevor sie Schaden einrichten.

Umfassendes Bot-Management

Für den optimalen Anwendungsschutz empfiehlt sich die Kombination verschiedener Bot-Management-Funktionen in Airlock Secure Access Hub:

  • Threat Intelligence: Der BrightCloud Threat Intelligence Service von Webroot verwendet Echtzeit-Reputations-Daten, um unerwünschte IP-Adressen zu blockieren.
  • DOS Schutz mit Rate Limiting: Sind die Anzahl Requests oder Sessions pro IP besonders hoch, verhindert der DOS Schutz, dass Back-ends überlastet werden. Insbesondere bei APIs wird der Datendruhsatz auch abhängig von der Benutzeridentität begrenzt.
  • Vorgelagerte Authentifizierung: Damit nur berechtigte Benutzer auf die Anwendung zugreifen können, werden nicht identifizierte Besucher werden z.B. auf die Anmeldeseite von Airlock IAM umgeleitet.
  • Bot Management: Erkennt Bots und kann verlangen, dass alle Aufrufer Cookies retournieren. Viele automatisierte Bots können diese Hürde nicht nehmen, da sie keinen Cookie Store haben. Search Engine Bots müssen zudem aus dem IP Range der jeweiligen Search Engine zugreifen.
  • Wiederholungstäter erkennen: Bei mehrfachen Verstössen gegen die Sicherheitsregeln innerhalb kurzer Zeit wird eine IP in die Quarantäne (dynamische IP Blocklist) gestellt. Während der Quarantäne werden keine Requests von diesen IPs mehr entgegengenommen.

Bereit für ausgezeichnete IT-Sicherheit?

Kontaktieren Sie uns jetzt.
Ergon Informatik AG+41 44 268 87 00

Wir informieren Sie

-Unsere Whitepaper-

Zero Trust ist eine Reise

Die kontinuierliche digitale Transformation der Welt schreitet voran und wirkt sich tiefgreifend auf das Privat- und Berufsleben in einer Weise aus, die vor wenigen Jahren noch schwer vorstellbar war.

Dieses Whitepaper behandelt die Effekte der kontinuierlichen Digitalisierung und ihre Auswirkungen.

Kostenlos anfordern

Auf zu DevSecOps

Erfahren Sie in diesem Whitepaper die wichtigsten Erkenntnisse, wie Sie DevSecOps erfolgreich und effizient umsetzen können, welche Sicherheitskomponenten es dafür braucht und welche Vorteile eine Microgateway Architektur bringt.

Kostenlos anfordern

Airlock 2FA - Starke Authentifizierung. Einfach.

Doppelte Sicherheit – das bietet die Zwei-Faktor-Authentifizierung im Bereich IT-Security.

Erfahren Sie in unserem Whitepaper mehr über starke Authentifizierung und die Möglichkeiten, die Airlock bietet.

Kostenlos herunterladen

Weitere Whitepaper

Zu diesen und weiteren Themen stellen wir Ihnen kostenlos Whitepaper zur Verfügung:

  • erfolgreiche IAM Projekte
  • Compliance
  • Datenschutz (DSGVO)
  • Einführung von PSD2
  • PCI DSS Anforderungen
Kostenlos anfordern