Was versteht man unter Bot-Management?

Bei so vielen legitimen wie bösartigen Bots in zahlreichen Anwendungen stellt sich die Frage, wie man bösartige Bots stoppen kann, ohne die Arbeit der legitimen Bots zu beeinträchtigen. AppSec-Teams können zwar aufmerksam ihre Logs überwachen, um Traffic-Spitzen zu entdecken, bei denen es sich wahrscheinlich um Bot-Angriffe handelt, aber ohne die richtigen Tools ist es schwierig herauszufinden, ob der Traffic von legitimen oder bösartigen Bots stammt. Zudem können firmeninterne Bot-Management-Ansätze Sicherheitslücken aufweisen, da ausgeklügelte Bots menschliche Nutzer täuschend echt nachahmen. Um diesen Nachteilen zu begegnen, wurde Bot-Management-Software ins Leben gerufen.

Dabei handelt es sich um eine Art von Layer-7-Sicherheitssoftware, die Unternehmen einsetzen können, um ihre Anwendungen vor bösartigem Bot-Traffic zu schützen. Sie bietet Erkennungs-, Abwehr- und Monitoring-Funktionen zum Schutz digitaler Ressourcen und zur Aufrechterhaltung einer sicheren Onlineumgebung.

Bot-Erkennung – so funktioniert’s

Bei der Bot-Erkennung geht es darum, Bots von menschlichen Nutzern einer Website zu unterscheiden und zwischen legitimen und bösartigen Bot-Aktivitäten zu differenzieren. Dies stellt sicherlich für jede Bot-Management-Software die größte Herausforderung dar, denn raffinierte Bots sind in der Lage, von Menschen ausgehenden Traffic fast 1:1 nachzuahmen. Im Folgenden erfahren Sie, welche Methoden Bot-Management-Software nutzt, um Bots zu erkennen.

Derzeitige Bot-Erkennungsmethoden

Bot-Management-Software nutzt eine Vielzahl von Erkennungsmethoden, die gegebenenfalls auch zwischen legitimem und bösartigem Traffic unterscheiden können. Mitunter kommt auch eine Kombination verschiedener Methoden zum Einsatz, um etwaige Sicherheitslücken, die durch den separaten Einsatz einzelner Methoden entstehen, zu vermeiden:

CAPTCHA 

CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) ist eine gängige Bot-Erkennungsmethode, bei der Nutzer Aufgaben lösen müssen, um zu beweisen, dass sie Menschen und keine Maschinen sind. Üblicherweise handelt es sich dabei um Aufgaben wie das Erkennen verzerrter Zeichen, das Lösen von Rätseln oder das Auswählen bestimmter Bilder. Einfache Bots haben Schwierigkeiten, diese Aufgaben zu bewältigen, während Menschen sie problemlos lösen können.

Verhaltensanalyse

Diese Methode analysiert Verhaltensmuster, um zwischen menschlichen Nutzern und Bots zu unterscheiden. Sie konzentriert sich auf ungewöhnliche oder verdächtige Aktivitäten wie schnelle Seitenaufrufe, homogene Browsing- oder ungewöhnliche Klickmuster, die bei Bots tendenziell zu beobachten sind. Zur Verhaltensanalyse zählen ggf. auch Faktoren wie Sitzungsdauer, Mausbewegungen, Tippgeschwindigkeit, Navigationsmuster etc.

IP-Analyse 

Bei der IP-Analyse werden die IP-Adressen zurückverfolgt und analysiert, die hinter eingehenden Anfragen stecken. So lassen sich verdächtige IP-Adressen oder IP-Adressbereiche identifizieren, die für böswillige Aktivitäten bekannt sind oder ein Bot-ähnliches Verhalten aufweisen. Um Anfragen von verdächtigen IPs zu erfassen bzw. zu blockieren, kommen häufig IP-Reputationsdatenbanken oder Blacklists zum Einsatz.

User-Agent-Analyse

Die User-Agent-Analyse untersucht die im HTTP Request Header enthaltene User-Agent-Zeichenkette, um die Client-Software oder das Gerät zu ermitteln, das für den Zugriff auf die Website oder Anwendung verwendet wird. Bot-Traffic kann eindeutige oder identifizierbare User-Agent-Muster aufweisen, die es Erkennungssystemen erleichtern, Anfragen von bekannten Bot User Agents zu kennzeichnen bzw. abnormale oder verdächtige User Agents zu identifizieren.

Maschinelles Lernen und KI-basierte Ansätze

Mithilfe von maschinellem Lernen und künstlicher Intelligenz (KI) lassen sich Modelle trainieren, die Muster und Eigenschaften von Bots erkennen können. Diese Modelle sind in der Lage, aus großen Datenmengen zu lernen und können Anomalien oder Bot-ähnliches Verhalten aus Kombinationen von Anfrage-Headern, Nutzerinteraktionen, Mausbewegungen oder Navigationsmustern erkennen.

Geräte-Fingerprinting

Beim Geräte-Fingerprinting werden gerätespezifische Informationen wie Browserattribute, Informationen zum Betriebssystem, Bildschirmauflösung, installierte Plugins oder Zeitzoneneinstellungen gesammelt und analysiert. Diese gerätespezifischen Attribute können helfen, mit Bots assoziierte verdächtige oder einzigartige Gerätekonfigurationen zu identifizieren.

JavaScript Challenges

JavaScript Challenges sind zusätzliche Aufgaben oder Prüfungen, die die clientseitige Ausführung von JavaScript Code erfordern. Manche Bots haben Schwierigkeiten, JavaScript korrekt zu interpretieren und auszuführen, wohingegen die meisten modernen Webbrowser imstande sind, JavaScript Challenges problemlos zu meistern.

Ein ausgefeilter Bot mag in der Lage sein, eine oder mehrere dieser Erkennungsmethoden zu umgehen, aber durch die Kombination dieser Methoden im Rahmen der übergeordneten Bot-Management-Strategie eines Unternehmens lässt sich die große Mehrheit des bösartigen Bot-Traffics bei seinen Anwendungen erkennen.

Abwehr

Sobald ein Bot entdeckt wird, muss er abgewehrt werden. Darunter versteht man das Herausfiltern bösartiger Bots aus dem normalen Traffic, um mögliche Angriffe zu verhindern. Dies lässt sich durch eine direkte Blockierung der IP-Adressen erreichen, von denen die Bots ausgehen, oder durch die Weiterleitung des Bot-Traffics an einen anderen Teil der Anwendung, um sicherzustellen, dass Fehlalarme nicht zu Umsatzeinbußen führen oder erwünschte Aktionen verhindern. Die meisten Bot-Management-Produkte ermöglichen auch die Anwendung differenzierter Regeln, einschließlich Rate-Limiting-Regeln und Kombinationen von Regeln, die vor der Blockierung erfüllt sein müssen. Auf diese Weise können Unternehmen zuverlässigere Entscheidungen treffen und sicherstellen, dass legitimer Traffic nicht durch Blockierungsentscheidungen beeinträchtigt wird.

Monitoring

Unter Monitoring versteht man Bot-Management-Tools, die Einblicke in Bot-Aktivitäten in Ihrer Anwendung liefern. Dabei erhalten Sie umfassende Informationen über Bot-Traffic, -Trends, -Typen und andere Details, die Ihre Anwendungssicherheitsspezialisten nutzen können, um Traffic besser zu verstehen. Das Monitoring ist häufig ein Ansatzpunkt für weitreichende Sicherheitsmaßnahmen wie Block-/Allow-Listen und Bot-Richtlinien.

Bot-Management schützt Anwendungen vor schädlichen Bots. Gleichzeitig werden legitime Bots auf intelligente Weise erkannt und zugelassen. Seine Erkennungs-, Abwehr- und Monitoring-Funktionen ermöglichen es Unternehmen, ihre Umgebung abzusichern und Einblicke in ihren Anwendungs-Traffic zu gewinnen.

Automatisiertes Bot-Management

Die Fastly Next-Gen WAF bietet integrierte Bot-Management-Funktionen, um Ihre Anwendungen vor bösartigen Bots zu schützen und gleichzeitig legitime Bots zuzulassen. Verhindern Sie, dass bösartige Bots Aktionen gegen Ihre Websites und APIs durchführen, indem Sie sie identifizieren und unschädlich machen, bevor sie sich negativ auf Ihren Gewinn oder das Nutzererlebnis auswirken können. Erfahren Sie mehr über die Fastly Next-Gen WAF und ihre Bot-Management-Funktionen.