Anzeige

Botnet

Eine neue, erhaltensbasierte Erkennungssoftware erkennt selbst geringe Abweichungen im Nutzerverhalten. Hintergrund: Der Diebstahl von Account-Informationen stellt eines der größten Risiken für Unternehmen dar. Häufig vertrauen sie statischen Sicherheitsregeln, der Begrenzung von Durchgangsraten und grundlegendem Botschutz.

Diese Methoden eignen sich zwar gut für die Abwehr von technischen Angriffen wie SQL-Injections oder Cross-Site-Scripting. Diese klassischen Schutzmechanismen lassen sich jedoch mit fortschrittlichen Tools relativ leicht austricksen und sind weniger effektiv gegen Angriffe wie so genannte Account Takeover (ATO), welche es auf die Logik von Benutzeranmeldungen abzielen. 

ATO-Angriffe sind schwer zu erkennen

Untersuchungen von Imperva haben ergeben, dass im Schnitt jede Webseite stündlich mit zwei Anmeldeversuchen von einer Botnet-gesteuerten IP-Adresse zu rechnen hat. Dies ist zwar eine sehr geringe Anzahl für einen Cyberangriff, doch laufen diese „low and slow“-Attacken meist unter dem Radar der Sicherheitsverantwortlichen. Viele Angriffe sind also durch die Verteilung der Angriffe auf einen längeren Zeitraum und verschiedene IP-Adressen maskiert und werden von traditionellen Sicherheitskontrollen als normaler Traffic registriert. Der Angriff wird so nicht als Bedrohung an IT-Administratoren gemeldet. Imperva hat die Anmeldeverfahren und daraus hervorgehenden Angriffsdaten untersucht und konnte mehrere solcher ATO-Botnets aufdecken, deren einziger Zweck darin besteht, Accounts per „low and slow“-Attacken zu übernehmen.

Verhaltensbasierte Erkennungssoftware gegen Botnet-Angriffe nutzen

Angreifer verwenden fortschrittliche Tools und eine breite Infrastruktur an Bots, die es ihnen ermöglichen, Angriffe durchzuführen und über einen langen Zeitraum unentdeckt zu bleiben. Doch fortschrittliche Sicherheitslösungen wie verhaltensbasierte Erkennungssoftware bieten einen effektiven Weg, auch Anomalien in Form wechselnder, unbekannter IP-Adressen aufzuspüren. Es gibt viele potenzielle Variablen, die verwendet werden, um das normale Verhalten von Nutzern zu definieren: zum Beispiel das Verhältnis von erfolgreichen versus fehlgeschlagenen Anmeldeversuchen, von schwachen versus starken Passwörtern, von Standard- versus Nicht-Standard-Benutzern. KI-gesteuerte Analyse-Tools können anhand dieser Informationen herausfinden, ob geleakte Anmeldeinformationen verwendet werden oder nicht-registrierte Benutzer auf Unternehmens-Seiten zugreifen wollen.

Die Sicherheitslösung muss also erkennen, ob es sich im gegebenen Kontext tatsächlich um einen Anmeldeversuch handelt, welcher Nutzer und welches Passwort verwendet wird und was das Ergebnis des Anmeldeversuches ist. Vorgängig muss die Lösung darauf trainiert werden, welche Standard-Benutzer es gibt, was schwache Passwörter sind, welche leaked Benutzerinformationen bekannt sind und auf welche Art und Weise die Anwender- und Passwortlisten aktualisiert werden können. Erst dann kann die Software lernen, was das normale Verhalten der Nutzer ist und Verhaltensanomalien erkennen, die auf ATOs hinweisen können. Die Lernphase und die Genauigkeit des erlernten Verhaltens werden durch die Datenmenge bestimmt, die für den Lernvorgang der Software zur Verfügung steht. Liegt für den maschinellen Lernprozess der Software bereits eine große Datenmenge für das Anmeldeverhalten eines Nutzers vor, welche entsprechend aggregiert werden kann, entwickelt das Programm ein zuverlässiges Erkennungsmodell für das Login-Verhalten der einzelnen Nutzer. So kann die Software erkennen ob geringe Abweichungen im Nutzerverhalten bei der Anmeldung vorliegen und beispielsweise oben beschriebene „low and slow“-Attacken an die IT-Abteilung als möglichen Cyberangriff melden.

www.imperva.com

Nadav Avital, Threat Analytics Manager
Nadav Avital
Threat Analytics Manager, Imperva
Als Manager in der Threat Research Group von Imperva und Experte für Web Application Security leitet Nadav Avital die Bemühungen zur Erfassung und Analyse von Hacking-Aktivitäten, zur Entwicklung neuer Sicherheitslösungen und zur Erforschung neuer Bedrohungen und Technologien und hat mehr als 10 Jahre Branchenerfahrung in der Codierung, der Erfindung von Sicherheitslösungen und der Entdeckung neuerSicherheitsbedrohungen. Er besitzt einen B. Sc. in Informatik vom Technion Institute of Technology.

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Hacker

Cyberkriminelle leiten immer mehr Gehaltszahlungen um

Proofpoint sieht einen dramatischen Anstieg im Bereich des genannten Payroll-Diversion-Betrugs. Allein die bei der US-Bundespolizei gemeldeten Fälle stiegen zwischen Januar 2018 und Juni 2019 um 815 Prozent. Bei dieser Betrugsform handelt es sich um eine Form…
Schlüsselloch

Windows XP Quellcode wurde angeblich geleaked

Einigen Medienberichten zufolge zirkuliert derzeit der Quellcode von Microsofts Windows XP frei zugänglich im Internet. Den Quellen zufolge erschien das knapp 43 Gigabyte große Datenpaket zunächst auf 4chan und wird derzeit über Torrents im Internet…
Ransomware

Maze-Ransomware jetzt noch gefährlicher

Seit fast eineinhalb Jahren treibt die Ransomware Maze ihr Unwesen. Bereits im Mai warnte das Sicherheitsunternehmens Sophos in einem Bericht vor den Machenschaften der Cyberkriminellen. Diese begnügen sich nicht damit, die Daten ihrer Opfer zu verschlüsseln,…
RDP

Hacker: Täglich millionenfache RDP-Angriffe auf Home-Offices

Die Sicherheitsexperten von ESET schlagen Alarm: Seit dem Corona-bedingten Umzug in das Home-Office hat sich die Anzahl der täglichen Hacker-Angriffe auf Remote-Desktop-Verbindungen (RDP) im DACH-Raum mehr als verzehnfacht. Allein im Juni 2020 verzeichnete…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!