Bot-Management

Automatisierter Bot-Traffic kann negative Auswirkungen auf Ihre Webanwendung haben, unter anderem beeinträchtigte Verfügbarkeit, höhere Infrastrukturkosten, verzerrte Analysen und betrügerische Aktivitäten wie Kontoübernahmen. Unter Bot-Management versteht man alle Maßnahmen, um von Bots erzeugten Traffic zu identifizieren und unerwünschten Traffic zu blockieren. Wie umfangreich solche Maßnahmen ausgestaltet sein sollten hängt davon ab, in welchem Ausmaß böswillige Akteure finanzielle und politische Anreize erhalten, eine Webanwendung ins Visier zu nehmen. Je größer die Motivation für den Angriff auf eine Webanwendung, desto mehr investieren Angreifer in Techniken zur Umgehung der Erkennungverfahren, was fortschrittlichere Schutzvorkehrungen erfordert. Verfolgen Sie beim Bot-Management daher einen mehrstufigen Ansatz mit verschiedenen Tools, die an die Komplexität der Bot-Infrastruktur angepasst sind. Weitere Informationen zu den ersten Schritten finden Sie unter AWS Prescriptive Guidance für die Implementierung einer Bot-Kontrollstrategie.

Von gängigen und allgegenwärtigen Bots wie Scannern und Crawlern generierter Traffic kann serverseitig identifiziert und behandelt werden, indem die Anfragensignatur anhand von HTTP-Attributen wie IP, User-Agent-Header oder TLS-Fingerabdruck analysiert wird. Mit AWS WAF können Sie die folgenden signaturbasierten Regeln verwenden:

• Regeln zum Blockieren von HTTP-Floods (L7-DDoS-Angriffe), wie Ratenlimits, verwaltete IP-Reputations-Regelgruppen (IP-Reputationsliste von Amazon, IP-Liste von Anonymous usw.) und Regeln, die von der automatischen DDoS-Abwehr auf Anwendungsebene von Shield Advanced generiert werden.
• Eine von AWS WAF Bot Control verwaltete Regelgruppe, die zum Blockieren selbstidentifizierender Bots mit einer gemeinsamen Schutzebene oder mit hochzuverlässigen Bot-Signaturen konfiguriert ist. Diese Regelgruppe kann sehr detailliert konfiguriert werden, um das Management verschiedener Bot-Kategorien wie Http Library oder Scraping Framework zu unterscheiden. In diesem Blog finden Sie konkrete Beispiele für eine detaillierte Konfiguration von AWS WAF Bot Control mit Labels und Scope-down-Anweisungen.
• Verwaltete Regeln, die von Sicherheitsanbietern im AWS Marketplace bereitgestellt werden, wie Bot Protection Rules von F5 und Active Malicious Bots von ThreatSTOP.
   

Böswillige Akteure, die entsprechend motiviert sind, Traffic auf Ihre Website zu automatisieren (Verkauf von erbeuteten Inhalten, Weiterverkauf gestohlener Kreditkartendaten usw.), investieren mehr Zeit und Geld in die Umgehung von Erkennungsmechanismen (z. B. durch die Verwendung von IP-Adressen aus privaten Netzwerken, leistungsfähigen Frameworks zur Browserautomatisierung, CAPTCHA-Farmen usw.). Bei komplexen Bots ist die signaturbasierte Erkennung weniger effizient, sodass Sie fortschrittlichere und teurere Methoden zur Verhaltenserkennung einsetzen müssen.

Konfigurierte Regeln in AWS WAF können zusätzlich zum Block-, Zähl- oder Ratenlimit eine CAPTCHA-Aktion enthalten. Wenn eine Regel mit einer CAPTCHA-Aktion konfiguriert ist, müssen Benutzer ein Rätsel lösen, um zu beweisen, dass ein Mensch die Anfrage sendet. Löst ein Benutzer eine CAPTCHA-Abfrage erfolgreich, wird ein Token in seinem Browser platziert, um weitere Abfragen für die Dauer einer konfigurierbaren Immunitätszeit zu unterbinden. Weitere Informationen zu Best Practices für die CAPTCHA-Konfiguration.

Konfigurierte Regeln in AWS WAF können zusätzlich zum Block-, Zähl- oder Ratenlimit eine Challenge-Aktion enthalten. Wenn eine Regel mit einer Challenge-Aktion konfiguriert ist, muss der Browser eine „stille“ Aufgabe (interstitielle Challenge) lösen, bei der die Clientsitzung überprüfen muss, ob es sich um einen Browser und nicht um einen Bot handelt. Die Überprüfung läuft im Hintergrund, ohne dass der Endbenutzer involviert wird. Diese Methode eignet sich gut, um verdächtige Clients zu verifizieren, ohne die Endbenutzererfahrung mit einem CAPTCHA-Puzzle negativ zu beeinflussen. Löst ein Benutzer eine stille Aufgabe erfolgreich, wird ein Token in seinem Browser platziert, um zukünftige Challenge-Abfragen für die Dauer einer konfigurierbaren Immunitätszeit zu unterbinden. Weitere Informationen zu bewährten Methoden für die Challenge-Konfiguration.

Eine weitere Möglichkeit, ein AWS-WAF-Token zu erwerben, ist die Verwendung der AWS-WAF-Anwendungsintegrations-SDKs. Die SDKs müssen in Ihren Client-Anwendungen programmiert werden, aber sie können ein besseres Kundenerlebnis bieten, sie können kostenlos verwendet werden und sie können mit Browsern verwendet werden, die JavaScript ausführen, oder nativ in Android- oder iOS-Mobilanwendungen. Die SDK-Integration ist in Fällen hilfreich, in denen Challenge- oder CAPTCHA-Regelaktionen keine Option sind, z. B. Single Page Applications. AWS WAF bietet zwei Ebenen der Integration von Client-Anwendungen:

• SDKs zur intelligenten Bedrohungsintegration – Diese sind so konzipiert, dass sie mit intelligenten Regeln zur Bedrohungsabwehr funktionieren. Sie verifizieren die Client-Anwendung und ermöglichen die Erfassung und Verwaltung von AWS-Token. Sie funktionieren ähnlich wie die AWS-WAF-Challenge-Regelaktion.
• JS-API zur CAPTCHA-Integration – Diese APIs verifizieren Endbenutzer mit einem maßgeschneiderten CAPTCHA-Puzzle, das Kunden in ihrer Anwendung verwalten. Dies ähnelt der Funktionalität, die von der AWS-WAF-CAPTCHA-Regelaktion bereitgestellt wird, bietet jedoch zusätzliche Kontrolle über die Platzierung und das Verhalten der Rätsel. Dieses Feature ist für JavaScript-Anwendungen verfügbar.

AWS WAF bietet eine Reihe von verwalteten Regeln, die darauf ausgerichtet sind, betrügerische Aktivitäten in Anmelde- oder Registrierungsabläufen zu erkennen. Die Kontoübernahme ist eine illegale Online-Aktivität, bei der sich der Angreifer unbefugten Zugriff auf das Konto eines Benutzers verschafft, indem er entweder gestohlene Anmeldeinformationen verwendet oder das Passwort des Opfers durch eine Reihe von Versuchen errät. Sie können Kontoübernahmeversuche überwachen und behandeln, indem Sie die verwaltete Regel AWS WAF Fraud Control Account Takeover Prevention (ATP) implementieren. ATP überwacht für jede Benutzersitzung die Häufigkeit und Anzahl der Anmeldeversuche, einschließlich fehlgeschlagener Versuche, um auf Passwort- oder Benutzernamen-Traversal zu prüfen. Darüber hinaus überprüft ATP die Kombination von Benutzernamen und Passwörtern anhand einer Datenbank mit gestohlenen Anmeldeinformationen, die regelmäßig aktualisiert wird, sobald neue, durchgesickerte Anmeldeinformationen im Darknet gefunden werden.

Kontoerstellungsbetrug ist eine illegale Online-Aktivität, bei der ein Angreifer versucht, ein oder mehrere gefälschte Konten zu erstellen. Angreifer nutzen gefälschte Konten für betrügerische Aktivitäten wie den Missbrauch von Werbe- und Anmeldeboni, um sich als eine andere Person auszugeben und für Cyberangriffe wie Phishing. Sie können betrügerische Kontoerstellungsversuche überwachen und behandeln, indem Sie die verwaltete Regel AWS WAF Fraud Control Account Creation Fraud Prevention (ACFP) implementieren. ACFP überwacht für jede Benutzersitzung die Verwendung kompromittierter Anmeldeinformationen, den IP-Risiko-Score, die Client-Interaktivität mit der Seite, erkannte Automatisierungsframeworks oder inkonsistentes Browserverhalten und die häufige Verwendung derselben Informationen zur Erstellung mehrerer Konten (wie Telefonnummer/Anschrift/E-Mail-Adresse) usw.

Um alle Funktionen der verschiedenen verwalteten Fraud Control-Regeln nutzen zu können, müssen Sie Ihrer Anwendung ein clientseitiges SDK hinzufügen, um das Verhalten auf Sitzungsebene zu verfolgen.

Die Regelgruppe „Bot Control“, konfiguriert mit der Schutzstufe „Targeted Bots“, bietet eine leistungsfähige Bot-Erkennung und -Abwehr, indem sie auf Basis von Informationen ein normales Traffic-Muster etabliert. Bot Control für gezielte Bots verwendet Browser-Fingerprinting-Techniken und clientseitige JavaScript-Abfragemethoden, um Ihre Anwendung vor fortschrittlichen Bots zu schützen, die menschliche Traffic-Muster nachahmen und aktiv versuchen, der Erkennung zu entgehen. Die gezielten AWS WAF-Kontrollen für Bots bieten auch prädiktive ML-Technologie zur Abwehr von verteilten, proxy-basierten Angriffen. Die verwaltete Bot-Control-Regelgruppe von AWS WAF verwendet eine automatische ML-Analyse der Website-Verkehrsstatistiken, um anomales Verhalten zu erkennen, das auf verteilte, koordinierte Bot-Aktivitäten hinweist.

Zu diesen Optionen gehören die dynamische Ratenbegrenzung, Herausforderungsaktionen und die Möglichkeit, auf der Grundlage von Kennzeichnungen und Vertrauenswerten zu sperren. In diesem Vortrag und in diesem Blog können Sie mehr über diese neue Funktion erfahren.

Auf Anwendungsebene können Sie eigene Signale verwenden, um abnormales Verhalten der Anwendung zu definieren und zu erkennen. Sie können beispielsweise vorgeben, dass Benutzer in einer bestimmten Reihenfolge durch die Anwendung navigieren müssen, oder dass es aufgrund der registrierten Adresse unwahrscheinlich ist, dass ein Benutzer bestimmte Waren aus/nach bestimmten Ländern bestellt. Mit solchen Signalen und AWS WAF können Sie Ihr Antwortverhalten automatisieren, indem Sie beispielsweise Anfragen von IPs mit verdächtigem Verhalten auf Anwendungsebene blockieren oder mittels CAPTCHA absichern. Schauen Sie sich die Beispiele in dieser AWS-Lösung an, um sich mit dem Konzept der WAF-Automatisierung auf der Grundlage von Anwendungssignalen vertraut zu machen.

Einige komplexere Automatisierungen:

• Verarbeiten von Hochrisikoereignissen, die von Cognito während des Anmelde-/Anmeldevorgangs ausgelöst wurden.
• Verarbeiten von Hochrisikoereignissen, die von Fraud Detector identifiziert wurden. Fraud Detector nutzt Machine Learning (ML) und 20 Jahre Erfahrung von Amazon Web Services (AWS) und Amazon.com bei der Betrugserkennung, um potenzielle betrügerische Verhaltensmuster von Menschen und Bots in Echtzeit zu identifizieren. Fraud Detector ermöglicht die Erkennung von Betrug durch die Analyse des Benutzerverhaltens auf Anwendungsebene. Dabei werden Ihre eigenen historischen Betrugsdaten verwendet, um benutzerdefinierte ML-Modelle zur Betrugserkennung zu trainieren, zu testen und bereitzustellen, die auf Ihren Anwendungsfall zugeschnitten sind.

Eine zusätzliche Schutzebene kann von Sicherheitsanbietern im AWS Marketplace bereitgestellt werden, die auf erweiterte Bot-Erkennung spezialisiert sind. Zu den Anbietern gehören DataDome, Distill Networks, PerimeterX, Cequence, Kasada undImperva.

Beachten Sie, dass jeder Sicherheitsanbieter unterschiedliche Stärken in Bezug auf branchenspezifische Schutzmaßnahmen, Funktionen und Kosten hat. Im Allgemeinen kann eine Anwendung, die CloudFront verwendet, Anbieterlösungen auf eine von zwei Arten integrieren:

• Eine SaaS-Reverse-Proxy-basierte Lösung, die zwischen CloudFront und Ihrem Ursprung angesiedelt ist.
• Eine global replizierte Bot Mitigation API, die von Lambda@Edge für jede eingehende Anfrage aufgerufen werden kann (d. h. sie wird für das Viewer-Anforderungsereignis konfiguriert), um zu entscheiden, wie mit der Anfrage umgegangen werden soll.

• AWS re:Inforce 2024 – Demos zu Regelgruppen für die Bot-Erkennung von AWS WAF

• AWS re:Inforce 2024 – So nutzt Catch Group AWS WAF Bot Control auf ihrer E-Commerce-Plattform
• AWS re:Inforce 2022 – Erweiterte Schutzmaßnahmen gegen Bots mit AWS WAF
• The Routing Loop – Schützen Sie Ihre Anwendungen vor Bot-Traffic
• Fallbeispiel OLX
• Verwenden Sie AWS WAF CAPTCHA, um Ihre Anwendung vor typischem Bot-Traffic zu schützen
• Bewährte Methoden für die intelligente Bedrohungsabwehr
• AWS-WAF-Bereitstellungspartner finden
• Betrugsprävention und Bot-Kontrolle mit AWS WAF – AWS Online Tech Talks
  
• Verwendung der intelligenten Bedrohungsabwehr von AWS WAF mit ursprungsübergreifendem API-Zugriff
• Kasada schlägt Bots mit ihren eigenen Waffen: So erkennen und beseitigen Sie Bot-Angriffe