Wann es sinnvoll ist, hochkritische Anwendungen gegen Bot-Attacken abzusichern und in fortschrittliche Anti-Betrugs- und Anti-Bot-Technologie zu investieren
Die jüngsten Schlagzeilen über Shopping-Bots stellen jeden CISO vor die Frage, ob auch sein eigenes Unternehmen dem Risiko eines gezielten Bot-Angriffs ausgesetzt ist und welche Maßnahmen zu ergreifen sind, um das zu verhindern. Nike und Sony sind nicht die ersten und werden wohl auch kaum die letzten Marken sein, die durch eine erfolgreiche Shopping-Bot-Attacke einen Reputationsschaden erleiden. Die Verantwortlichen für Systemsicherheit sollten daher tunlichst anfangen, die Risiken und Vorteile größerer Investitionen in den Schutz hochkritischer Geschäftsanwendungen abzuwägen.
Contents
Der aktuelle Stand der Anwendungssicherheit
Die Risiken für die Sicherheit von Webanwendungen, die mit Schwachstellen im Softwarecode selbst verbunden sind, sind weithin bekannt. Derlei Exploits wurden von Organisationen wie OWASP transparent dokumentiert und werden in der Regel von automatisierten Bots ausgeführt, die darauf abzielen, bei einem ihrer Tausenden von Angriffszielen fündig zu werden. Letztendlich beruht es auf einem Zahlenspiel: Jeder, der eine Anwendung nutzt, die mit dem Internet verbunden ist, ist wahrscheinlich schon mit einem solchen Angriff konfrontiert worden. Die gute Nachricht: Im Rahmen der richtigen Sicherheitskultur sind Präventions- und Erkennungsmaßnahmen relativ einfach zu implementieren. Als Mindestanforderung benötigt jede App Schutz in der Art einer Web Application Firewall.
Der Einsatz von Bots ist jedoch nicht mehr nur darauf beschränkt, Schwachstellen im Softwarecode auszunutzen. Da digitale Anwendungen für den Geschäftsbetrieb immer wichtiger werden, suchen Angreifer nach Schwachstellen in der Geschäftslogik, um Zugriff auf wertvolle digitale Assets zu erhalten. Solche Angriffe erfordern einen hochspezialisierten Bot, der darauf ausgelegt ist, eine sehr spezifische Attacke auf eine bestimmte Gruppe von Zielen auszuführen. Je wertvoller das Ziel ist, desto mehr Zeit wird ein Angreifer in die Suche nach Schwachstellen investieren. Schätzungen zufolge hat der Großteil des Bot-Verkehrs im Internet qualitativ ein mittleres oder fortgeschrittenes Niveau, wenn man diese zu einfacheren Automatisierungen wie BASH-Skripten, die Anfragen an Webanwendungen versenden, in den Vergleich setzt.
Hinzu kommt, dass diese fortgeschrittenen Bots oft menschliches Verhalten imitieren, was es erschweren kann, Bot-Traffic von demjenigen echter Nutzer zu unterscheiden. In Branchen wie dem Einzelhandel, dem Finanzwesen oder sogar der Lebensmittellogistik, die im vergangenen Jahr einen sprunghaften Anstieg des Online-Geschäfts erlebt hat, werden sich Betreiber von Online-Shops nicht unbedingt alarmiert zeigen, wenn eine Flut neuer Benutzerkonten erstellt wird oder wenn, wie im Fall von Nike und Sony, ein begehrtes Produkt fast sofort ausverkauft ist. Wo auch immer eine hochkritische Anwendung im Einsatz ist, die das Ziel von Betrugs-, Missbrauchs- oder Business-Logic-Angriffen sein könnte, gilt die Regel: Eine einfache Web Application Firewall (WAF) reicht nicht mehr aus und die Vorbeugung erfordert eine unternehmensweite Koordination.
Business-Logik-Angriffe: Geteilte Risiken, geteilte Verantwortung
Ein erfolgreicher Angriff auf Schwachstellen in der Geschäftslogik wirkt sich auf das gesamte Unternehmen aus, am weitreichendsten und sichtbarsten indes auf die Marke, wenn ein Angreifer Services missbraucht und das Kundenerlebnis entwertet. Als mittelbare Effekte sind langfristige Verluste bei Umsatz und Kundenbindung zu erwarten. Abgesehen von der Bedrohung der Markenreputation stellen ausgeklügelte Bot-Angriffe eine Reihe sehr konkreter Bedrohungen für das Geschäft, die Verfügbarkeit und die Sicherheit dar. Die Abschwächung dieser Risiken sollte ganzheitlich von der Geschäftsleitung, der IT und den Sicherheitsverantwortlichen im Unternehmen angegangen werden.
Risiken für das Geschäft
Ein Angriff auf die Geschäftslogik verwässert Daten und Website-Metriken, wodurch es schwierig wird zu verstehen, wer die tatsächlichen Kunden sind. Zudem können Bots geistiges Eigentum aus der Anwendung für die eigene Nutzung und den eigenen Profit abgreifen. Auch sind sie im Extremfall in der Lage, die Webanwendung komplett zu kopieren, um eine eigene schadhafte Version mit dem Ziel zu erstellen, Login-Daten der User zu sammeln oder Geschäftsvolumen von der Website abzuziehen.
Risiken für die Verfügbarkeit
Mit Bots und automatisierten Angriffen auf die Verfügbarkeit von Diensten sind in aller Regel Denial-of-Service-Angriffe verbunden, die offensichtliche Risiken für Finanzen und die Reputation des Unternehmens nach sich ziehen. Performance-Verschlechterung und Denial-of-Inventory stellen ähnliche Bedrohungen für die Verfügbarkeit dar. Es besteht zudem ein sehr reales Risiko, dass erhebliche Infrastrukturkosten anfallen. Wenn etwa ein Bot eine Anwendung mit unerwünschtem Datenverkehr überflutet, die auf dem Cloud-Server eines Providers gehostet wird, fallen am Ende hohe Rechnungsbeträge für Datenverkehr an, der vom Anwender gar nicht beabsichtigt war.
Sicherheitsrisiken
Ein gezielter, automatisierter Angriff birgt eine Reihe neuer Sicherheitsrisiken, die bei herkömmlichen Angriffen nicht üblich sind. Dazu gehören seitenspezifisches Footprinting & Reconnaisance, also das Ausspähen des Systems und der dazugehörigen Organisation, der seitenspezifische Scan nach Schwachstellen und Exploits sowie Credential Stuffing. Vor allem Credential Stuffing, bei dem eine automatisierte Webinjektion zum Einsatz kommt, um Benutzerkonten zu übernehmen, ist eine neuartige Bedrohung, die sowohl für das Unternehmen als auch für seine Kunden besonders gefährlich ist.
Nutzen-Risiko-Abwägung von Investitionen in Anti-Bot und Anti-Fraud
In Anbetracht dieser Risiken gilt es, die potenzielle Rendite von Anti-Bot- und Anti-Fraud-Technologien zu verstehen. Nicht jede Anwendung benötigt diese Lösungen, vor allem dann nicht, wenn die Anwendung für einen Angreifer wenig bis gar keinen potenziellen Wert hat. Bei Anwendungen mit hohem Wert und besonders kritischer Eigenschaft könnten entsprechende Technologien jedoch große finanzielle Verluste verhindern und eine Investition rechtfertigen. Ebenso wichtig ist es, bei der Bewertung die Wahrscheinlichkeit eines Angriffs zu berücksichtigen. Ein kostspieliger, risikoreicher Angriff mit einer hohen Eintrittswahrscheinlichkeit hätte oberste Priorität. Demgegenüber sind ein Angriff mit geringen Kosten und hoher Häufigkeit und einer mit hohen Kosten und geringer Häufigkeit als gleichwertig zu betrachten. Schlussendlich entstehen Initiativen zur Sicherheit von Webanwendungen zumeist auf Betreiben des CISO, doch ist die Zustimmung der Geschäftsleitung und der IT-Verantwortlichen unerlässlich, um die Weichen für notwendige Sicherheitsinvestitionen wirksam zu stellen.
A version of this article was originally published was published in Manage It magazine