WHITEPAPER

Welche Angriffsfläche bieten Sie Credential Stuffing?

1Welche Angriffsfläche bieten Sie Credential Stuffing?

EinführungFür jedes Unternehmen mit Credential-Stuffing-Risiko hängt seine Fähigkeit zur effektiven Abwehr solcher Angriffe von mehr als nur dem ausgewählten Anbieter oder der Lösung ab. Dabei spielt auch die Gestaltung Ihrer Website eine entscheidende Rolle für die Effektivität jeder Sicherheitslösung.

Warum das so ist, erfahren Sie, indem Sie verstehen, wie diese Angriffe funktionieren und wie sie von Sicherheitslösungen abgewehrt werden. Credential-Stuffing-Angreifer validieren gestohlene Anmeldedaten automatisch mithilfe von Botnets. Um automatisierte Bots von legitimen menschlichen Nutzern zu unterscheiden, verwenden die modernen Technologien zur Bot-Erkennung JavaScript Injection zum Schutz von Webseiten und ein Mobile Software Development Kit (SDK) zum Schutz von APIs, die von nativen Apps verwendet werden. Je nachdem, wie Ihre Website aufgebaut ist und welche Clienttypen mit ihr interagieren, können Sie die Angriffsfläche möglicherweise nur unzureichend minimieren.

In diesem Whitepaper erläutern wir, was hinter der architektonischen Herausforderung steckt, die heutigen Bot-Management-Lösungen effektiv einzusetzen, und stellen die ideale Website-Architektur vor, um Credential-Stuffing-Angriffe erfolgreich abzuwehren. Außerdem sprechen wir über spezielle Zwischenlösungen zur Reduzierung Ihrer Angriffsfläche sowie über die Risiken und Einschränkungen der einzelnen Optionen.

So funktioniert Bot-ErkennungFür die Erkennung von Bots muss ermittelt werden, ob der Absender einer Anfrage menschlich ist. Einfache Bot-Erkennungstechniken untersuchen den Inhalt einer Anfrage, indem sie z. B. den Header genauer unter die Lupe nehmen. Gegen sehr ausgeklügelte Bots ist dieser Ansatz jedoch nicht zuverlässig, da Anfrageheader leicht gefälscht werden können. Erweiterte Bot-Erkennungstechniken nutzen JavaScript-Sicherheitsabfragen, Browser-Fingerprinting und die Analyse von Verhaltensanomalien.

Injizieren von JavaScript in eine BrowsersitzungDie meisten Bot-Erkennungstechniken fügen ein JavaScript-Code-Snippet in den HTML-Code einer Webseite ein, die im Browser eines Clients bereitgestellt wird. Das JavaScript-Code-Snippet wird ausgeführt, wenn der Browser den HTML-Code lädt. Es kann eine Vielzahl von Techniken anwenden, um Menschen von Bots zu unterscheiden.

Die am wenigsten ausgereifte Technik ist eine JavaScript-Sicherheitsabfrage, die prüft, ob die Anfrage von einem Browser stammt, der JavaScript ausführen kann. Eine JavaScript-Sicherheitsabfrage kann nützlich sein, um einfache Bots zu erkennen, die JavaScript nicht ausführen können.

Ein fortschrittlicheres Verfahren ist das Browser-Fingerprinting, das eine Vielzahl von Eigenschaften wie Browsertyp und -version, Bildschirmauflösung, installierte Plugins und installierte Schriftarten über den Browser sammelt. Eine Bot-Management-Lösung kann den Browser-Fingerabdruck auf Anomalien untersuchen, die darauf hindeuten, dass der Client ein Bot ist, der versucht, einen legitimen Browser zu imitieren.

Erweiterte Bot-Erkennungstechniken nutzen JavaScript-Sicherheitsabfragen, Browser-Fingerprinting und die Analyse von Verhaltensanomalien.

2Welche Angriffsfläche bieten Sie Credential Stuffing?

Bei der fortschrittlichsten Technik, die heutzutage verfügbar ist, handelt es sich um die Analyse von Verhaltensanomalien. Hierbei werden Verhaltensdaten von den Eingabegeräten des Clients erfasst – darunter Tastaturanschläge und Mausbewegungen auf einem Computer bzw. Touch-Ereignisse, Gyroskop-Messwerte und Beschleunigungsmesswerte auf einem mobilen Gerät. Diese Daten werden an die Bot-Management-Lösung zurückgegeben, die die Verhaltensmuster auf Abweichungen analysiert, die auf einen Bot hinweisen.

Mobiles SDK für AppsJavaScript-Injection-basierte Techniken funktionieren auf browserbasierten Clients wie Desktop- und mobilen Browsern. Die meisten API-basierten Clients wie native Apps und andere automatisierte Dienste können jedoch kein JavaScript ausführen. Daher erhalten JavaScript-Injection-Techniken keine Antwort von diesen Clients. Ohne die richtige Antwort geht die Bot-Management-Lösung davon aus, dass der Client ein Bot ist, und ergreift entsprechende Maßnahmen.

Um diese Situation zu umgehen, stellen Bot-Management-Anbieter häufig ein mobiles SDK bereit, um die Bot-Erkennung in eine native App zu integrieren. Mit einem mobilen SDK können Apps die erforderlichen Daten in der App erfassen und zur Analyse an die Bot-Management-Lösung übertragen.

So funktioniert Ihre Website-ArchitekturModerne Websites sind äußerst komplex, bestehen teils aus Hunderten oder sogar Tausenden Webseiten und unterstützen verschiedenste Client- und Traffic-Arten. Darüber hinaus ist die Verantwortlichkeit für die Website oft über das gesamte Unternehmen verteilt. Um sich erfolgreich vor Credential Stuffing zu schützen, müssen Sie Ihre Website-Architektur kennen und wissen, wie Clients zwischen den verschiedenen Seiten und Login-Endpoints navigieren – nur dann können Sie Ihre Risiken ermitteln.

Was ist ein Endpoint?Bei einem Endpoint handelt es sich um eine separate URL, auf die ein Client zugreifen kann. Die Abwehr von Credential-Stuffing-Angriffen erfordert die Identifizierung und den Schutz der Transaktions-URLs, die die Anmeldedaten des Nutzers validieren. Beispielsweise kann die URL verwendet werden, um sich bei einem vorhandenen Konto anzumelden oder ein neues Konto zu erstellen. Jenseits von Credential Stuffing können zu den Endpoints, die geschützt werden müssen, URLs gehören, die Geschenkkartensalden überprüfen, nach Flügen suchen oder Produkte zu Warenkörben hinzufügen.

Identifizieren Sie alle EndpointsViele Unternehmen betreiben Websites mit mehreren Endpoints, die anfällig für Credential Stuffing sind. So kann ein Finanzdienstleistungsunternehmen beispielsweise Dienstleistungen für Privatanwender, kleine Unternehmen und Arbeitgeber anbieten, die jeweils über unterschiedliche Anmelde-Endpoints verfügen. Darüber hinaus kann jeder dieser Geschäftsbereiche über separate Endpoints für die Kontoanmeldung verfügen.

3Welche Angriffsfläche bieten Sie Credential Stuffing?

Ihr Unternehmen verfügt möglicherweise über sekundäre Endpoints, die nur wenigen IT- oder Bereichsmitarbeitern bekannt sind. Häufig sind veraltete Apps mit Endpoints verfügbar, von denen nur wenige wissen – ein hartnäckiger Angreifer kann sie jedoch durchaus ermitteln. Dazu können Endpoints gehören, die eine API, einen Einzelhandelskiosk oder einen Kundendienst-Chatbot bedienen.

Erkennen Sie, was geschützt werden mussDer erste Schritt bei der Planung einer Bot-Management-Implementierung besteht in der Bestandsaufnahme aller zu schützenden Elemente. Aufgrund der Größe und Komplexität moderner Websites ist dies jedoch oft eine schwierige Aufgabe. Beispiele:

• Die Verantwortlichen denken oft an die Seiten und nicht

unbedingt an die Endpoints, die geschützt werden müssen.

• Ein einzelner Anmelde-Endpoint wird häufig von mehreren

Seiten verwendet. So können Nutzer beispielsweise häufig

Anmeldeinformationen auf jeder beliebigen Seite eines

Onlineshops eingeben. Die Zugangsdaten werden jedoch

zur Validierung immer an denselben Anmelde-Endpoint

gesendet.

• Das für die Verwaltung eines Endpoints verantwortliche Team ist oft nicht das Team, das die

Seiten erstellt, die den Endpoint verwenden. Beispielsweise werden native Apps oft von einem

anderen Team entwickelt, das nicht mit dem Team zusammenarbeitet, das für die Entwicklung

von Webseiten für Desktopnutzer verantwortlich ist.

• Für die Sicherung eines bestimmten Endpoints müssen alle Möglichkeiten ermittelt werden,

wie ein Client darauf zugreifen kann. Anschließend müssen diese Seiten ausreichend geschützt

werden. Ohne enge Koordination zwischen allen Beteiligten bleiben oft Lücken, über die sich

ungeschützte Endpoints erreichen lassen.

Gestalten Sie den passenden Schutz für mehrere ClienttypenJe nach den Anforderungen des Unternehmens können Websites mit verschiedenen Clienttypen interagieren. Dazu gehören:

• Von Menschen genutzte Clients, die Desktop-, Laptop- oder mobile Browser verwenden

• Von Menschen genutzte Clients, die die nativen Apps eines Unternehmens verwenden

• Automatisierte Services von Drittanbietern wie Finanzanbieter sowie Vertriebs- und

Buchungspartner

Die Architektur für alle Clienttypen erfordert möglicherweise einen erheblichen Aufwand durch Ihr Unternehmen.

Der erste Schritt bei der Planung einer Bot-Management-Implementierung besteht in der Bestandsaufnahme aller zu schützenden Elemente.

4Welche Angriffsfläche bieten Sie Credential Stuffing?

Der richtige Endpoint für jeden VerbrauchertypWenn Sie die Angriffsfläche für Credential Stuffing minimieren möchten, müssen Sie den richtigen Clients den richtigen Zugriff bereitstellen – aber nicht mehr als nötig. Verschiedene Arten von Website-Nutzern haben auch unterschiedliche Anforderungen. Bankkunden müssen beispielsweise Salden und Kontoauszüge anzeigen, Finanztransaktionen ausführen und ihre Nutzerprofile aktualisieren.

Ein Finanzaggregator, der von diesem Nutzer eingesetzt wird, benötigt jedoch nur Zugriff, um Kontostände zu prüfen. Durch die Ermittlung der unterschiedlichen Anforderungen verschiedener Verbrauchertypen – und die Erstellung unterschiedlicher Endpoints, die jeweils angemessene Datenzugriffs- und Funktionsebenen bieten – schaffen Unternehmen Sicherheitsvorteile, die über jede Bot-Management-Lösung hinausgehen.

Beschränkungen mobiler SDKsMobile SDKs unterstützen Ihr Unternehmen zwar dabei, die APIs zu schützen, die Ihre nativen Apps bereitstellen, dieser Ansatz unterliegt aber auch Beschränkungen. Betrachten Sie zunächst den Lebenszyklus Ihrer Anwendung. Wenn Sie Schutz für Ihre Webseiten aktivieren, kostet das in der Regel wesentlich weniger Zeit, als eine App upzugraden und Softwareentwicklungs- und Testressourcen einzubinden. Darüber hinaus muss Ihr Unternehmen alle Endnutzer auf die neueste Version der App aktualisieren, bevor die Bot-Abwehr aktiviert werden kann. Mobile SDKs können jedoch nicht dazu beitragen, APIs zu schützen, die für den Zugriff durch automatisierte Drittanbieterdienste entwickelt wurden. Diese Services nutzen per Definition Bots und andere automatisierte Tools. Fortschrittliche Bot-Erkennungstechniken wie Browser-Fingerprinting und die Analyse von Verhaltensanomalien können nur dabei helfen, zwischen Menschen und Bots zu unterscheiden, nicht zwischen guten und bösen Bots.

Hybrid-URLsHybrid-URLs sind Endpoints, die für verschiedene Clienttypen entwickelt wurden und daher für jede Bot-Management-Lösung eine Herausforderung darstellen. Je nach Art der beteiligten Clients besteht die Möglichkeit, einen Endpoint durch Bot-Erkennung zu schützen, die durch eine Kombination aus JavaScript-Injection für browserbasierte Clients und einem mobilen SDK für native Apps implementiert wird. Ein Endpoint, der nur für den Traffic von echten Nutzern über Browser und die nativen Apps eines Unternehmens entwickelt wurde, kann beispielsweise durch eine Bot-Management-Lösung vollständig geschützt werden.

In anderen Fällen kann es jedoch für ein Unternehmen unmöglich sein, die verfügbare Angriffsfläche vollständig zu minimieren, ohne die Website neu zu gestalten. So lassen sich mit mobilen SDKs beispielsweise keine APIs schützen, die sowohl von nativen Apps als auch von automatisierten Drittanbieterdiensten verwendet werden.

Fortschrittliche Bot-Erkennungstechniken wie Browser-Fingerprinting und die Analyse von Verhaltensanomalien können nur dabei helfen, zwischen Menschen und Bots zu unterscheiden, nicht zwischen guten und bösen Bots.

5Welche Angriffsfläche bieten Sie Credential Stuffing?

Credential-Stuffing-Abwehr – Zwischenlösungen und RisikenCredential Stuffing ist ein komplexes Problem – zum einen, weil Bots ausgeklügelt sind, und zum anderen, weil die Website-Architektur den Schutz beeinträchtigen kann. Je nach den Anforderungen Ihres Unternehmens und Ihrer Website ist eine zu 100 Prozent effektive Lösung zwar theoretisch möglich, wahrscheinlich aber nicht praktikabel. Für Ihre Credential-Stuffing-Abwehrstrategie müssen Sie also das richtige Gleichgewicht zwischen dem Sicherheitsrisiko auf der einen Seite und den Auswirkungen und Kosten sowie dem Zeitrahmen von Änderungen an Ihrem Unternehmen, Ihren Websites und Apps auf der anderen Seite finden.

Option 1: Abstimmen der Website-Architektur auf verschiedene ClienttypenWenn Ihr Ziel darin besteht, die Angriffsfläche zu minimieren, dann muss die Website-Architektur bei der idealen Lösung an verschiedene Clienttypen angepasst werden. Einige Unternehmen haben dies bereits in verschiedenem Maße umgesetzt. Andere müssen möglicherweise ihre Website neu gestalten, um dies zu erreichen. So können Sie z. B. vorhandene Endpoints auf separate URLs aufteilen und damit Ihre Angriffsfläche reduzieren, indem der Transaktions-URL-Traffic genau kontrolliert wird.

Sie können Ihre Clients beispielsweise wie folgt nach URL segmentieren:

URL 1: Nutzer mit Desktop-, Laptop- und mobilen Browsern

URL 2: Native Apps

URL 3: Automatisierte Drittanbieterservices wie Branchenaggregatoren und Partner

Mit diesem Ansatz können Sie eine geeignete Bot-Erkennung auf URL 1 und URL 2 anwenden und für andere Verbrauchertypen URL 3 erzwingen. Sie können die Analyse von Verhaltensanomalien zwar nicht zum Schutz von URL 3 verwenden, aber Sie können die Daten und Anwendungsfunktionen steuern, die den Nutzern zur Verfügung stehen.

Vorteile Nachteile

Geringstmögliches Risiko Kann schnell zu übermäßigem Aufwand führen und betrifft oft zu viele Bereiche der Website oder Organisation

Kleinste Angriffsfläche Möglicherweise zu störend für den Betrieb, wenn die Website-Verfügbarkeit Priorität hat

6Welche Angriffsfläche bieten Sie Credential Stuffing?

Option 2: Hinzufügen nativer Apps zu einer ZulassungslisteEndpoints, die sowohl browserbasierte als auch native Apps unterstützen, können durch eine Bot-Management-Lösung geschützt werden, die sowohl JavaScript-Injection als auch ein mobiles SDK bietet. Einige Unternehmen sind jedoch möglicherweise nicht bereit, ihre Apps mit dem mobilen SDK eines Anbieters zu aktualisieren – oder sie möchten sich zumindest noch Zeit damit lassen.

Die Integration Ihrer Apps in das Anbieter-SDK und die Aktualisierung Ihrer gesamten Nutzerbasis können ein erhebliches Unterfangen sein. Daher könnten Sie als Zwischenlösung JavaScript-basierte Injection auf dem Endpoint für browserbasierte Clients bereitstellen und Ihre Apps über Code im Anfrageheader zur Zulassungsliste hinzufügen – z. B. über Feldwerte (wie User Agent) oder die Feldreihenfolge im Header.

Vorteile Nachteile

Einfach umzusetzen Funktioniert nur, bis ein Angreifer ermittelt hat, dass Sie Ihre App zur Zulassungsliste hinzugefügt haben

Unterbrechungsfrei Relativ einfach für Angreifer, Ihre Apps zu spoofen und den Schutz zu umgehen

Option 3: Zulassungsliste bekannter automatisierter DrittanbieterdiensteWenn Sie über Client-Traffic (Browser- oder API-basiert) und eine begrenzte, bekannte Gruppe automatisierter Drittanbieterdienste verfügen, die alle auf denselben Endpoint zugreifen, können Sie die automatisierten Drittanbieterdienste zulassen. Eine Bank könnte beispielsweise die IP-Adressen für einen beliebten Finanzaggregator wie Intuit Mint zulassen. Diese Dienste werden in der Regel von einem bekannten IP-Adressraum aus betrieben, sodass es für Angreifer schwierig ist, diese zu spoofen. Alle automatisierten Drittanbieter, die nicht ausdrücklich zugelassen sind, werden als Bots behandelt.

Vorteile Nachteile

Einfach umzusetzen Jeder einzelne Drittanbieter muss manuell hinzugefügt werden.

IP-Adressen lassen sich mit HTTP-/HTTPS-Protokollen relativ schwer spoofen.

Drittanbieter auf der Zulassungsliste verfügen weiter über vollen Zugriff auf dieselben Daten und Funktionen wie ein Nutzer.

Nur möglich, wenn alle Dienste von Drittanbietern bekannt sind und die Anzahl begrenzt ist.

7Welche Angriffsfläche bieten Sie Credential Stuffing?

Akamai stellt sichere digitale Erlebnisse für die größten Unternehmen der Welt bereit. Die Intelligent Edge Platform umgibt alles – vom Unternehmen bis zur Cloud –, damit unsere Kunden und ihre Unternehmen schnell, intelligent und sicher agieren können. Führende Marken weltweit setzen auf die agilen Lösungen von Akamai, um die Performance ihrer Multi-Cloud-Architekturen zu optimieren. Akamai bietet Schutz vor Angriffen und Bedrohungen, beschleunigt Entscheidungen und Anwendungen und liefert herausragende Online-Erlebnisse. Das Akamai-Portfolio für Website- und Anwendungsperformance, Cloudsicherheit, Unternehmenszugriff und Videobereitstellung wird durch einen herausragenden Kundenservice, Analysen und Rund-um-die-Uhr-Überwachung ergänzt. Warum weltweit führende Unternehmen auf Akamai vertrauen, erfahren Sie unter www.akamai.com, im Blog blogs.akamai.com oder auf Twitter unter @Akamai. Unsere globalen Standorte finden Sie unter www.akamai.com/locations. Veröffentlicht: Juli 2020.

Nächster Schritt: Untersuchen Sie Ihre Endpoint-Architektur, Risiken und OptionenWenn Ihr Unternehmen keine exklusiven URLs für jeden Clienttyp (Webbrowser, native Apps und automatisierte Drittanbieterdienste) verwendet, ist es wichtig, Ihre Webarchitektur zu untersuchen.

Der erste Schritt besteht darin, Ihre aktuelle Angriffsfläche, das Risikoniveau und Ihre Optionen zu ermitteln. Die branchenführenden Credential-Stuffing-Sicherheitsexperten von Akamai können eine umfassende Analyse durchführen und ein Playbook für Ihre Credential-Stuffing-Abwehrstrategie entwickeln. So lernen Sie Ihre Website-Architektur im Detail kennen und erfahren, wie sie sich auf die Implementierung einer Bot-Erkennungslösung auswirkt. Dies umfasst unter anderem Folgendes:

1. Identifizierung von Transaktions-URLs, die Schutz vor Credential Stuffing benötigen, sowie aller

HTML-Formulareinstiegspunkte, die Anfragen an die URLs senden

2. Kategorisierung dieser URLs nach Verbrauchertyp

3. Identifizierung von Hybrid-URLs und Empfehlung einer Neustrukturierung des URL-Clients

4. Identifizierung und Beurteilung bekannter technischer Komplikationen

5. Abgleich der Ziel- und Richtlinienstruktur, um die entsprechende Schutzstrategie nach URL-

Clienttyp zu bestimmen

6. Entwicklung eines Playbooks zur Erkennung von Credential-Stuffing-Angriffen und

Identifizierung der nächsten Schritte zu einem Implementierungsplan für die Bot-Erkennung