10 Fragen, die Sie einem Bot-Mitigation-Anbieter stellen sollten

Sie vermuten, dass Sie ein Bot-Problem haben. Vielleicht sind Ihre Infrastrukturkosten aufgrund von Datenverkehrsspitzen gestiegen, es kommt zu einer hohen Account-Übernahmerate (ATO) oder jemand knackt Ihre Geschenkkarten und stiehlt Ihr geistiges Eigentum. Wer genauer hinsieht, wird höchstwahrscheinlich auch auf ein Betrugsproblem stoßen sowie auf einen jüngsten Rückgang der Markenbewertungen und der Kundentreue. Sie haben versucht, das Problem mithilfe von Ratenbegrenzung, IP- und Geoblocking, Reputation, Fingerprinting, CAPTCHA und Multi-Faktor-Authentifizierung (MFA) selbst zu lösen, aber es wurde zu einem endlosen Kampf zwischen der Verwaltung mehrerer Lösungen, dem Versuch, den Angreifern immer einen Schritt voraus zu sein, und dem Umgang mit frustrierten Kunden, die ihren Einkauf nicht abschließen konnten.

Jetzt haben Sie beschlossen, professionelle Hilfe in Anspruch zu nehmen und sich etwas Zeit zurückzuholen. Sie haben die Auswahl auf einige wenige Anbieter eingegrenzt und werden ihnen einige Fragen stellen. Aber welche Fragen?

Hier sind einige gute Beispiele, die Ihnen einen Eindruck davon vermitteln können, ob die Lösung des Bot-Mitigation-Anbieters für Ihre Umgebung geeignet ist.

1. Wie geht der Anbieter mit der Umrüstung von Angreifern um?

Wenn der wahrgenommene Wert Ihrer Kundenkonten hoch ist, werden Angreifer wahrscheinlich nicht so schnell aufgeben, sondern immer wieder neue Mittel einsetzen und es erneut versuchen. Dies ist grundlegende Angreiferökonomie und daher Ihre wichtigste Frage. Wenn eine Sicherheitsmaßnahme ergriffen wird, werden hartnäckige Angreifer mit verschiedenen Methoden, Tools und sogar KI umrüsten, um die Abwehrmaßnahmen zu umgehen. Opfer von Credential Stuffing sagen, dass der Kampf gegen Bots und Automatisierung allein wie ein Maulwurfspiel ist. Sie bezahlen einen Dienst dafür, dieses Spiel für Sie zu spielen. Fragen Sie also, wie sie damit umgehen.

2. Erhöht der Anbieter die Kundenreibung dramatisch?

CAPTCHA und MFA erhöhen den Aufwand für Ihre Kunden erheblich. Die menschliche Fehlerquote liegt zwischen 15 % und 50 % und führt zu einer hohen Zahl abgebrochener Einkäufe und einer geringeren Benutzerzufriedenheit. Und Ihr Kunde kommt möglicherweise nie wieder, selbst nach einer einzigen negativen Benutzererfahrung.

Ehrlich gesagt: Denken Sie sorgfältig über Anbieter nach, die auf Gegenmaßnahmen setzen, von denen bekannt ist, dass sie zu Reibungen führen. Diese Abwehrmaßnahmen sind nicht nur frustrierend für die Benutzer, Angreifer schaffen es oft auch, sie zu umgehen. Betrüger können Tools und menschliche Arbeitskraft zum Lösen von CAPTCHAs nutzen und können sogar kompromittierte PII ausnutzen, um sich als Kontoinhaber auszugeben und Telefonleitungen zu Konten zu verlegen, die unter ihrer Kontrolle stehen, um MFA-Anfragen abzuschließen.

3. Wie geht der Dienst mit Fehlalarmen um?

Ein falsch-positives Ergebnis liegt für einen Anbieter vor, wenn er einen echten Menschen als Bot markiert. Ein falsch-negatives Ergebnis liegt vor, wenn sie einen Bot als menschlich markieren.

Bei der Bot-Abwehr gibt es beides. Seien Sie misstrauisch gegenüber Anbietern, die das Gegenteil behaupten. Ein Anbieter sollte jedoch sehr schnell auf das Problem falscher Positivergebnisse reagieren. Das heißt, Sie sollten in der Lage sein, Kontakt mit ihm aufzunehmen, sich zu beschweren und die Feststellung des falsch positiven Ergebnisses klären zu lassen.

4. Wie passt sich der Dienst an, wenn ein Angreifer die Erkennung umgeht?

Es wird fortgeschrittene Angreifer geben, die versuchen, die Erkennung zu umgehen, und denen es sogar gelingt, so ein falsches negatives Ergebnis zu erzielen. Ein Anbieter von Bot-Mitigation-Lösungen muss so vorgehen, als ob ein erfahrener Angreifer sämtliche Gegenmaßnahmen umgehend umgehen würde. Wenn dies geschieht, bemerken Sie es möglicherweise erst, wenn Sie die Nebeneffekte (Kontoübernahme, Betrug, verzerrte Geschäftsanalysen usw.) sehen. Dann müssen Sie Ihren Anbieter kontaktieren und gemeinsam mit ihm eine Lösung für die Problembehebung finden.

Wie gehen Sie mit diesem Prozess um? Wie erfolgt die Reaktion des Anbieters und wie lange dauert die Bearbeitung?

5. Wie geht der Anbieter mit manuellem (von Menschen verursachtem) Betrug um?

Wenn Ihr Anbieter besonders gut darin ist, Automatisierung (Bots) fernzuhalten, wird ein sehr, sehr entschlossener und geschickter Angreifer die Anmeldeinformationen manuell in echte Browser eingeben, um die Abwehrmaßnahmen gegen Automatisierung zu umgehen, was möglicherweise zu einer Kontoübernahme (Account Takeover, ATO) und Betrug führen kann. Tatsächlich kann ein Wert von lediglich 10 US-Dollar hinter einer sicheren Anmeldung ausreichen, um einen professionellen Angreifer zu motivieren. Viele Dienste erkennen dies nicht (da Menschen keine Bots sind).

Der Verkäufer muss in der Lage sein, zu erkennen, ob es sich bei einem Menschen um einen vertrauenswürdigen Kunden oder einen Betrüger handelt.

Kann ihr Dienst böswillige Absichten erkennen? Durch genaue Erkennung kann zwischen einem Bot, einem Angreifer, der mithilfe ausgefeilter Tools und KI menschliches Verhalten nachahmt oder vorführt, und einem echten Kunden unterschieden werden. Anschließend können die am besten geeigneten Maßnahmen ergriffen werden, ohne die Aufklärungsbemühungen des Angreifers zu unterstützen oder das Kundenerlebnis zu beeinträchtigen. 

6. Wenn ein Kunde umgangen wird, wie verhindert der Anbieter, dass diese Umgehung Auswirkungen auf alle anderen Kunden hat?

In vielen Fällen sollten für jeden Kunden benutzerdefinierte Richtlinien zur Erkennung und Schadensbegrenzung bereitgestellt werden. Auf diese Weise kann ein Angreifer, der seine Werkzeuge so weit umrüstet, dass er die Gegenmaßnahmen auf einer Site umgehen kann, nicht automatisch dieses Playbook verwenden, um auf Ihre Site zu gelangen. Jeder Kunde soll vor einer Umrüstung auf andere Kunden geschützt werden.

Bestimmte Branchen wie das Bank- und Finanzdienstleistungsgewerbe ziehen die motiviertesten und erfahrensten Cyberkriminellen an. Die wirksamsten Lösungen zur Bot-Abwehr erkennen die Techniken der Angreifer anhand ähnlicher Angriffsprofile und Risikooberflächen, um automatisch geeignete Gegenmaßnahmen zu ergreifen. Darüber hinaus können KI-Modelle anhand historischer Betrugsaufzeichnungen weiter trainiert werden, um die Wirksamkeit zu maximieren.

7. Wenn ein Angreifer eine Abwehrmaßnahme umgeht, hat der Dienst dann immer noch Einblick in den Angriff?

Es kommt sehr häufig vor, dass ein Dienst blind ist, nachdem ein Angreifer die Abwehrmaßnahmen umgangen hat. Wenn der Anbieter die Daten, die er zur Erkennung verwendet, abschwächt, geht die Erkennung verloren, wenn ein Angreifer diese Abschwächung umgeht. Wenn sie beispielsweise die IP blockieren und der Angreifer die Blockierung umgeht (global verteilt), verliert der Anbieter möglicherweise die Übersicht und weiß nicht, wie schlimm der Angriff wirklich ist.

Ein Beispiel für ein ordnungsgemäß funktionierendes System ist, wenn 10.000 Anmeldungen eingehen und zunächst alle in Ordnung zu sein scheinen, weil die Verhaltensanalyse im für Menschen richtigen Bereich liegt. Später stellt sich jedoch heraus, dass sich alle 10.000 identisch verhalten haben, was bedeutet, dass die Anmeldungen automatisiert waren.

Die wirksamsten Lösungen zur Bot-Abwehr erfassen und analysieren kontinuierlich verschiedene Telemetriesignale von Geräten, Netzwerken, Umgebungen und Verhaltensweisen, um die Sichtbarkeit zu maximieren und Anomalien präzise zu identifizieren. Dies wiederum verbessert die Wirksamkeit von Closed-Loop-KI-Modellen und liefert dem Security Operations Center (SOC) des Anbieters wichtige Erkenntnisse.

8. Wie schwierig ist die Bereitstellung und Wartung der Lösung?

Muss der Benutzer oder Administrator benutzerdefinierte Endpunktsoftware installieren oder erfolgt der Schutz automatisch? Wenn keine Endpunktpräsenz vorhanden ist, wie erkennt der Anbieter gerootete Mobilgeräte? Wie erkennt es Angriffe mithilfe der neuesten Sicherheitstools und Daten aus dem Dark Web? Was ist mit APIs?

Es ist hilfreich, wenn Ihr Team 5 der 9 relevanten Funktionen in JavaScript erfindet und Ihre Lösungen über Clouds und Architekturen hinweg laufen und nahtlos angepasste Schutzmechanismen bereitstellen, die die Sichtbarkeit und Sicherheitswirksamkeit maximieren, ohne Reibungsverluste im Anwendungsentwicklungszyklus oder beim Kundenerlebnis zu verursachen.

9. Welche Arten von Anomalien erkennt der Anbieter?

Angreifer nutzen ständig Bots, Automatisierung und kompromittierte Anmeldeinformationen, um ihre Bemühungen zu unterstützen. Ihr Endziel ist der finanzielle Gewinn. Einfache Schadensbegrenzungsmaßnahmen reichen nicht aus. Angreifer verwenden beispielsweise IP-Adressen erneut, im Durchschnitt jedoch nur 2,2 Mal. Oftmals werden sie nur einmal am Tag oder einmal in der Woche verwendet! Dadurch wird die IP-Sperre weitgehend wirkungslos.

Mithilfe von Automatisierungstools lassen sich maßgeschneiderte Angriffe konstruieren, die Ratenbegrenzungen umgehen. CAPTCHA-Solver und Web-Stack-Emulationen können Header- und Umgebungsprüfungen vortäuschen und skriptfähige Consumer-Browser sowie Anti-Fingerprinting-Tools können Fingerprinting und sogar Verhaltensanalysen überwinden. Es ist wirklich ein Wettrüsten.

Angreifer investieren typischerweise entlang von vier Vektoren:

• Spoofing des Netzwerkverkehrs
• Emulation einer Vielzahl gültiger Geräte und Browser
• Verwendung gestohlener Anmeldeinformationen, PII und synthetischer Identitäten
• Nachahmung und Darstellung tatsächlichen menschlichen Verhaltens

Neben der IP-Adresse gibt es über hundert Client-Signale. Ein guter Dienst nutzt eine Vielzahl von Signalen und KI, um umsetzbare Erkenntnisse zu liefern und anormales Verhalten zu erkennen, das auf Betrug hindeutet – darunter Kopier- und Einfügeaktivitäten, Bildschirmumschaltung, ungewöhnliche Bildschirmnutzung, Geräteaffinität, Umgebungs-Spoofing und Versuche zur Anonymisierung der Identität –, anstatt sich auf IP-Blockierung, Signaturen und Fingerabdrücke zu verlassen.

10. Wie schnell kann der Anbieter eine Änderung vornehmen?

Wenn der Angreifer seine aktuellen Gegenmaßnahmen umstellt, wie schnell wird der Anbieter seine Maßnahmen umsetzen? Sind es Stunden oder Tage? Verlangt der Anbieter einen Aufpreis, wenn es sich um einen hochentwickelten, hartnäckigen Angreifer handelt und mehrere Gegenmaßnahmen oder Konsultationen mit dem SOC erforderlich sind?

Es gibt noch weitere Fragen, die für jeden Anbieter unbedingt notwendig sind. Dinge wie Bereitstellungsmodelle (gibt es eine Cloud-Option?) und Kostenmodelle (sauberer Datenverkehr oder Abrechnung nach Stunden?). Und natürlich sollten Sie die Service Level Agreements (SLA) der einzelnen Anbieter vergleichen. Aber diese Fragen wollten Sie wahrscheinlich sowieso stellen (oder?).

Ja, dieser Artikel ist leicht voreingenommen, da F5 der führende Anbieter von Anwendungssicherheit ist. Aber denken Sie an die Hunderte von Kunden, mit denen wir gesprochen haben und die sich für uns entschieden haben. Dies sind Fragen, die sie gestellt haben, und wir hoffen, dass sie Ihnen helfen, selbst wenn Sie sich am Ende für einen anderen Anbieter zur Bot-Abwehr entscheiden. Denn Angreifer machen keine Unterschiede zwischen Cloud, Architektur, CDN oder den Organigrammen Ihres Sicherheits- und Betrugsbekämpfungsteams. Hinter Ihren Apps steckt Geld und genau dort greifen Kriminelle an.

Nächste Schritte

Die wertvollsten Marken der Welt, darunter Finanzinstitute, Einzelhändler, Fluggesellschaften und Hotelketten, nutzen bereits Bot-Abwehrlösungen von F5, um ihre Apps, Kunden und ihr Unternehmen zu schützen.

F5 stoppt konsequent mehr Bots und Automatisierung als andere Anbieter. Dies reduziert Betrug und betriebliche Komplexität, während gleichzeitig der Umsatz steigt und das Kundenerlebnis verbessert wird.

Sagen Sie uns Bescheid, wenn Sie es selbst sehen möchten.

Teile dieses Beitrags basieren auf zuvor veröffentlichten Inhalten, die aktualisiert wurden, um die aktuellen Angebote von F5 widerzuspiegeln.