Inhalt
Die Abwehr von Account-Takeover-Angriffen ist eine große Herausforderung, da die Bedrohungsakteure eine Vielzahl von Methoden anwenden können, um sie durchzuführen. Wie wir in dieser vierteiligen Artikelserie erörtert haben, erfordert ein solider Schutz gegen Account-Takeover-Betrug daher eine Vielzahl von Maßnahmen.
Im ersten Artikel wurden die Arten von ATO-Angriffen erörtert und kurz beschrieben, wie ATO-Versuche erkannt werden können. In Teil 2 haben wir uns mit der Multi-Faktor-Authentifizierung befasst und gezeigt, warum sie in der aktuellen Bedrohungslage so wichtig ist. In Teil 3 haben wir dann erörtert, wie Phishing-Angriffe abgewehrt werden können, die immer noch ein sehr beliebter Angriffsweg für ATO sind.
In diesem vierten und letzten Artikel befassen wir uns nun mit einem wichtigen, aber oft unterschätzten Instrument der ATO-Abwehr: der Ratenbegrenzung. Wir erörtern:
- Was Ratenbegrenzung ist
- Warum sie für den Schutz vor ATO wichtig ist
- Welche Funktionen zur Ratenbegrenzung in einer Web-Sicherheitslösung zu finden sind. (Viele Lösungen bieten Ratenbegrenzung an, aber nur wenige verfügen über umfassende Funktionen)
Was ist Ratenbegrenzung?
Eine robuste WAAP-Lösung (Web Application and API Protection) überwacht die Rate, mit der Clients Anfragen an die geschützte Backend-Umgebung senden. Wenn eine bestimmte Datenverkehrsquelle innerhalb eines bestimmten Zeitraums zu viele Anfragen sendet, kann diese Datenverkehrsquelle für eine bestimmte Zeitspanne für den weiteren Zugriff gesperrt werden.
Beachten Sie, dass sich diese Definition auf Verkehrsquellen und nicht nur auf IP-Adressen bezieht. Obwohl viele Web-Sicherheitslösungen nur eine IP-basierte Ratenbegrenzung bieten, ist dies für einen vollständigen Schutz gegen ATO-Betrug unzureichend. Mit diesem Ansatz werden Bedrohungsakteure, die IPs wechseln, nicht erkannt, obwohl dies heute eine gängige Praxis ist; Angreifer versuchen oft, ihre ATO-Kampagnen auf verschiedene Weise zu orchestrieren, um eine Entdeckung zu vermeiden. Mehr dazu weiter im Text.
Warum ist dies für den Schutz vor ATO wichtig?
Wir haben bereits erörtert, warum die Ratenbegrenzung ein wichtiger Bestandteil der modernen Web-Sicherheit ist. Es gibt eine Reihe von Web-Bedrohungen, die sich ohne diese Maßnahme nur schwer abwehren lassen, da die einzelnen Anfragen in der Regel harmlos erscheinen und daher keine anderen Methoden zur Erkennung von Bedrohungen aktivieren. Ein DDoS-Angriff kann beispielsweise aus scheinbar legitimen Anfragen bestehen, die in überwältigender Zahl gesendet werden, während sich ein Bestandsverweigerungsangriff als eine Menge potenzieller Kunden ausgeben kann, die mit einer E-Commerce- oder Reise-Website interagieren.
Mehrere Vektoren von ATO-Angriffen fallen in diese Kategorie. Bei einer beliebten Webanwendung kommt es beispielsweise häufig zu fehlgeschlagenen Anmeldeversuchen von legitimen Kunden. Daher könnte ein Brute-Force-Angriff zum Ausfüllen von Anmeldedaten leicht unbemerkt bleiben, wenn keine Ratenbegrenzung vorhanden ist. (Und selbst wenn eine Multi-Faktor-Authentifizierung vorhanden wäre und verhindern würde, dass einer der Anmeldeversuche erfolgreich ist, könnte ein groß angelegter „Credential-Stuffing“-Angriff immer noch als eine Form von DDoS wirken und die Leistung der Zielserver beeinträchtigen). Umgekehrt könnte die Anmelde-API durch eine Ratenbeschränkung von 10 Anfragen pro Minute mit einer automatischen Sperrfrist von einer Stunde geschützt werden. Ohne die Ratenbegrenzung könnten böswillige Akteure Tausende von Anfragen pro Stunde übermitteln, mit der Begrenzung nur zehn.
Daher ist die Ratenbegrenzung ein wichtiger Bestandteil der ATO-Verteidigung. Sie kann einige Bedrohungen blockieren, die andernfalls unentdeckt bleiben würden, und kann sogar die Auswirkungen erfolgloser Angriffe abmildern.
Funktionen zur Ratenbegrenzung, auf die Sie bei einer Web-Sicherheitslösung achten sollten
Viele Web-Sicherheitslösungen bieten Funktionen zur Ratenbegrenzung. Einige von ihnen haben wir bereits vorgestellt, zum Beispiel in unserem Artikel über die Ratenbegrenzungsfunktionen der wichtigsten Cloud-Anbieter.
Die meisten Lösungen, die heute angeboten werden, enthalten jedoch nicht alle Funktionen, die für einen robusten Schutz vor ATO-Angriffen erforderlich sind. Wenn Sie Lösungen vergleichen, sollten Sie auf die wichtigsten Funktionen achten.
Flexible Reaktionsmöglichkeiten. Wenn eine Richtlinie zur Ratenbegrenzung verletzt wird, sollte die Sicherheitslösung eine Reihe von Reaktionsmöglichkeiten bieten. Neben der Blockierung des Verletzers gibt es weitere nützliche Optionen: Überprüfung, ob es sich bei dem Benutzer um einen Menschen handelt, Durchlassen der Anfrage bei gleichzeitiger Kennzeichnung der Antwort in den Protokollen, Durchlassen bei gleichzeitiger Kennzeichnung der Anfrage für die Echtzeitüberwachung, Durchlassen bei Hinzufügung eines Headers für den Upstream-Server zur Verarbeitung, Rückgabe von benutzerdefinierten Codes an den Client und andere.
Granulare Richtliniendurchsetzung. Sobald eine Richtlinie zur Ratenbegrenzung konfiguriert ist, sollten Administratoren festlegen können, wo sie durchgesetzt werden soll. Ein Administrator sollte in der Lage sein, sie global durchzusetzen, ihre Durchsetzung auf einen einzelnen Pfad oder eine URL zu beschränken oder eine beliebige Skala dazwischen zu wählen. Außerdem sollten Administratoren in der Lage sein, Situationen festzulegen, in denen die Richtlinie umgangen wird, z. B. wenn eine Verkehrsquelle auf einer Whitelist steht oder die Anfragen bestimmte Merkmale aufweisen (bestimmte Header, Cookies, Argumente usw.).
Einfach zu verwalten. Administratoren sollten in der Lage sein, Richtlinien zur Ratenbegrenzung einfach zu konfigurieren, sie zu aktivieren/deaktivieren und sie bei Bedarf in den Nur-Bericht-Modus zu versetzen (bei dem Verstöße protokolliert und gemeldet werden, aber keine Reaktionen ausgelöst werden).
Konsistente Identifizierung der Verkehrsquelle. Die meisten Sicherheitslösungen begrenzen den Datenverkehr je nach IP-Adresse, aber wie bereits erwähnt, kann dies durch einfaches Wechseln der IP-Adressen umgangen werden (was Hacker häufig tun). Eine robuste Lösung ist in der Lage, eindeutige Clients zu verfolgen und die Rate zu begrenzen, auch wenn sie die IP-Adresse wechseln.
Flexible Optionen für die Definition von „Clients“. In der Regel wird die Ratenbegrenzung auf einzelne Clients, d. h. einzelne Anforderer, angewendet. In manchen Situationen werden Administratoren jedoch eine Ratenbegrenzung nach anderen Kriterien vornehmen wollen. Eine umfassende Sicherheitslösung sollte eine Ratenbegrenzung nach geografischen Merkmalen, Sitzungs-IDs (deren Zusammensetzung der Administrator festlegen können sollte), Benutzer-IDs, Headern, Cookies, Argumenten und mehr unterstützen.
Ereignisbasierte Ratenbegrenzung. Es reicht nicht aus, dass eine Lösung exzessive Anfragen von Clients beschränkt. Oftmals möchte ein Administrator stattdessen die Rate der zulässigen Ereignisse begrenzen. So ist beispielsweise ein Client, der sich bei einer Webanwendung anmeldet und dann innerhalb einer Stunde mehrmals ASNs ändert, extrem anormal und sollte eine Art von Reaktion auslösen, selbst wenn die Anzahl der Anfragen angemessen ist. Admins sollten Ereignisse mit Ratenbegrenzung nach einer Vielzahl von Kriterien definieren können: jede Kombination von Headern, Cookies, Argumenten usw.
Automatische Sperrung. Viele Sicherheitslösungen bieten einfache Ratenbegrenzungen, die sich wie folgt zusammenfassen lassen: „Wenn ein Client zu viele Anfragen stellt, blockiere sie für eine bestimmte Zeit“. Dies ist in manchen Situationen nützlich, aber insgesamt unzureichend.
Nehmen wir an, der Zugriff auf ein Anmeldeformular ist auf vier Anfragen pro Minute begrenzt. Ein Angreifer versucht, die Anmeldung zu erzwingen, und sendet eine Anfrage pro Sekunde. Die ersten vier Anfragen werden zugelassen, während die nächsten 56 Anfragen blockiert werden. Nach Ablauf der Minute wird das Ratenlimit jedoch zurückgesetzt, und der Angreifer kann weitere vier Versuche starten, bevor er erneut vorübergehend blockiert wird. Dieser Zyklus kann so lange fortgesetzt werden, wie der Angreifer es wünscht. Die Ratenbegrenzung verhindert den Angriff nicht, sondern verlangsamt ihn lediglich von 60 Versuchen pro Minute auf vier Versuche pro Minute.
Eine gute Sicherheitslösung bietet Autobanning: eine zweite Verteidigungsschicht, die auf der Auslösung von Richtlinien zur Ratenbegrenzung basiert. Administratoren sollten in der Lage sein, die Lösung so zu konfigurieren, dass ein Client, der mehrmals gegen ein Ratenlimit verstößt, automatisch gesperrt wird und alle seine Anfragen für eine bestimmte Zeitspanne abgelehnt werden.
Fazit
In der aktuellen Bedrohungslage ist die Ratenbegrenzung eine entscheidende Fähigkeit für einen wirksamen Schutz. Sie kann viele Bedrohungen erkennen, die andere Sicherheitstechnologien umgehen können.
Die Ratenbegrenzung ist besonders wichtig, um ATO-Versuche zu vereiteln, da ATO-Angriffe oft aus einer Reihe von einzelnen Anfragen bestehen, die ansonsten harmlos erscheinen. Viele Sicherheitslösungen behaupten zwar, eine Ratenbegrenzung zu bieten, aber viele von ihnen sind nicht voll funktionsfähig und können nicht die Flexibilität und den vollständigen Schutz bieten, die heute notwendig sind.
Link11 bietet eine Cloud-native, vollständig verwaltete WAAP-Plattform, die eine erweiterte Ratenbegrenzung mit allen oben beschriebenen Funktionen und mehr beinhaltet. Es handelt sich um eine vollständige Web-Sicherheitslösung, die nicht nur Ratenbegrenzung, sondern auch WAF der nächsten Generation, DDoS-Schutz, Bot-Management, API-Sicherheit und mehr bietet.
Share this post
