Anzeige

Anzeige

VERANSTALTUNGEN

Bitkom | Digital Health Conference
26.11.19 - 26.11.19
In dbb Forum Berlin

IT & Information Security
26.11.19 - 27.11.19
In Titanic Chaussee Hotel, Berlin

Integriertes IT Demand und Portfolio Management
02.12.19 - 04.12.19
In Sofitel Berlin Kurfürstendamm, Germany

IT-Tage 2019
09.12.19 - 12.12.19
In Frankfurt

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

Anzeige

Anzeige

Botnet

Eine neue, erhaltensbasierte Erkennungssoftware erkennt selbst geringe Abweichungen im Nutzerverhalten. Hintergrund: Der Diebstahl von Account-Informationen stellt eines der größten Risiken für Unternehmen dar. Häufig vertrauen sie statischen Sicherheitsregeln, der Begrenzung von Durchgangsraten und grundlegendem Botschutz.

Diese Methoden eignen sich zwar gut für die Abwehr von technischen Angriffen wie SQL-Injections oder Cross-Site-Scripting. Diese klassischen Schutzmechanismen lassen sich jedoch mit fortschrittlichen Tools relativ leicht austricksen und sind weniger effektiv gegen Angriffe wie so genannte Account Takeover (ATO), welche es auf die Logik von Benutzeranmeldungen abzielen. 

ATO-Angriffe sind schwer zu erkennen

Untersuchungen von Imperva haben ergeben, dass im Schnitt jede Webseite stündlich mit zwei Anmeldeversuchen von einer Botnet-gesteuerten IP-Adresse zu rechnen hat. Dies ist zwar eine sehr geringe Anzahl für einen Cyberangriff, doch laufen diese „low and slow“-Attacken meist unter dem Radar der Sicherheitsverantwortlichen. Viele Angriffe sind also durch die Verteilung der Angriffe auf einen längeren Zeitraum und verschiedene IP-Adressen maskiert und werden von traditionellen Sicherheitskontrollen als normaler Traffic registriert. Der Angriff wird so nicht als Bedrohung an IT-Administratoren gemeldet. Imperva hat die Anmeldeverfahren und daraus hervorgehenden Angriffsdaten untersucht und konnte mehrere solcher ATO-Botnets aufdecken, deren einziger Zweck darin besteht, Accounts per „low and slow“-Attacken zu übernehmen.

Verhaltensbasierte Erkennungssoftware gegen Botnet-Angriffe nutzen

Angreifer verwenden fortschrittliche Tools und eine breite Infrastruktur an Bots, die es ihnen ermöglichen, Angriffe durchzuführen und über einen langen Zeitraum unentdeckt zu bleiben. Doch fortschrittliche Sicherheitslösungen wie verhaltensbasierte Erkennungssoftware bieten einen effektiven Weg, auch Anomalien in Form wechselnder, unbekannter IP-Adressen aufzuspüren. Es gibt viele potenzielle Variablen, die verwendet werden, um das normale Verhalten von Nutzern zu definieren: zum Beispiel das Verhältnis von erfolgreichen versus fehlgeschlagenen Anmeldeversuchen, von schwachen versus starken Passwörtern, von Standard- versus Nicht-Standard-Benutzern. KI-gesteuerte Analyse-Tools können anhand dieser Informationen herausfinden, ob geleakte Anmeldeinformationen verwendet werden oder nicht-registrierte Benutzer auf Unternehmens-Seiten zugreifen wollen.

Die Sicherheitslösung muss also erkennen, ob es sich im gegebenen Kontext tatsächlich um einen Anmeldeversuch handelt, welcher Nutzer und welches Passwort verwendet wird und was das Ergebnis des Anmeldeversuches ist. Vorgängig muss die Lösung darauf trainiert werden, welche Standard-Benutzer es gibt, was schwache Passwörter sind, welche leaked Benutzerinformationen bekannt sind und auf welche Art und Weise die Anwender- und Passwortlisten aktualisiert werden können. Erst dann kann die Software lernen, was das normale Verhalten der Nutzer ist und Verhaltensanomalien erkennen, die auf ATOs hinweisen können. Die Lernphase und die Genauigkeit des erlernten Verhaltens werden durch die Datenmenge bestimmt, die für den Lernvorgang der Software zur Verfügung steht. Liegt für den maschinellen Lernprozess der Software bereits eine große Datenmenge für das Anmeldeverhalten eines Nutzers vor, welche entsprechend aggregiert werden kann, entwickelt das Programm ein zuverlässiges Erkennungsmodell für das Login-Verhalten der einzelnen Nutzer. So kann die Software erkennen ob geringe Abweichungen im Nutzerverhalten bei der Anmeldung vorliegen und beispielsweise oben beschriebene „low and slow“-Attacken an die IT-Abteilung als möglichen Cyberangriff melden.

www.imperva.com

Nadav Avital, Threat Analytics Manager
Nadav Avital
Threat Analytics Manager, Imperva
Als Manager in der Threat Research Group von Imperva und Experte für Web Application Security leitet Nadav Avital die Bemühungen zur Erfassung und Analyse von Hacking-Aktivitäten, zur Entwicklung neuer Sicherheitslösungen und zur Erforschung neuer Bedrohungen und Technologien und hat mehr als 10 Jahre Branchenerfahrung in der Codierung, der Erfindung von Sicherheitslösungen und der Entdeckung neuerSicherheitsbedrohungen. Er besitzt einen B. Sc. in Informatik vom Technion Institute of Technology.
GRID LIST
Robert Hinzer

Wie Unternehmen gegen Ransomware vorgehen können

Auch wenn das Thema Ransomware in den vergangenen Wochen überwiegend aus den Schlagzeilen…
Malware

Emotet hält Deutschland in Atem

Check Point Research, die Threat Intelligence-Abteilung von Check Point Software…
Cybergefahren in Produktionsumgebungen

Cyber-Gefahren für Produktionsumgebungen

Ein kürzlicher Malware-Befall des Industrie-Giganten Rheinmetall rückt Cyberrisiken in…
Smart Office

Sind Smart Offices sicher?

Check Point Software Technologies Ltd. (NASDAQ: CHKP) hebt die Transformation und…
Tb W190 H80 Crop Int 5c4191ce91e5342d8e46ea25524df323

Streaming: Ein Cybersicherheitsrisiko

Es ist mittlerweile eine Tatsache: Die rasante Entwicklung der Streaming-Technologien…
Cyber Attack

Angreifer nutzen verstärkt TCP Reflection für Flooding-Attacken

Im Laufe des Jahres 2019 haben das Threat Research Center (TRC) und das Emergency…