Neues Threat-Intelligence-Framework zielt auf Bot-getriebene Business-Logic-Angriffe

Cyber Security News

Ein neu eingeführtes Open-Source-Framework für Bedrohungsdaten und Wissen, das von Mitre ATT&CK inspiriert wurde, soll Anwendern helfen, automatisierte Business-Logic-Angriffe, die von Bots verübt werden, zu erkennen und abzuwehren.

Das Framework mit dem Namen BLADE, einem Akronym für Business Logic Attack Definition Framework, richtet sich speziell an Szenarien, in denen Bots legitime Webanwendungen und API-fähige Dienste ausnutzen – und zwar so, wie sie vorgesehen waren, aber für bösartige Zwecke wie Credential Stuffing und Account Takeover, Data Scraping, Verbreitung von Desinformationen im Internet, Anzeigenbetrug und mehr.

Ein klassisches Beispiel ist der Grinch-Bot, der zahlreiche Turnschuhe, Videospielkonsolen, Veranstaltungstickets und andere beliebte Artikel von Online-Händlern aufkauft, damit sie zu einem höheren Preis weiterverkauft werden können. Es wird kein anfälliger Code gehackt, und kein Mitarbeiter wird gephisht oder mit Malware infiziert – dennoch können diese Bots eine Menge verärgerter, unzufriedener Kunden erzeugen und den Gewinn eines Unternehmens schädigen.

Das BLADE-Framework, das diese Woche von der Bot-Management-Firma Netacea offiziell vorgestellt wurde, wurde entwickelt, um ein universelleres Verständnis der verschiedenen Bot-getriebenen Business-Logic-Angriffe zu entwickeln, die derzeit Unternehmen in allen Branchen bedrohen. Dazu gehören auch die Taktiken und Techniken, die bei solchen Angriffen zum Einsatz kommen, damit Unternehmen wissen, wie sie sich am besten dagegen wehren und sie entschärfen können.

Laut Matthew Gracey-McMinn, Leiter der Bedrohungsforschung bei Netacea, füllt BLADE eine Lücke, die Mitre ATT&CK und frühere Frameworks nicht abgedeckt haben.

“Traditionell hatten wir eine Menge Frameworks, um zu verstehen, wie ein traditioneller technischer Cyberangriff funktioniert”, sagte Gracey-McMinn. “Aber niemand hatte das Gleiche aus Sicht der Geschäftslogik.” Und das stellt ein Problem dar, weil solche Angriffe “wirklich begonnen haben, in den Vordergrund zu rücken.”

Oft, so Gracey-McMinn, werden die Bedingungen, die Anwendungen und Websites anfällig für Business-Logic-Attacken machen, eher von Web-Entwicklungsteams als von Sicherheitsexperten angegangen – denn “es ist kein Ausnutzen einer Code-Schwachstelle, es ist kein technischer Angriff.” Und doch sind diese Business-Logic-Angriffe zu einem echten Sicherheitsproblem geworden, weil sie “Unternehmen immer mehr kosten.”

Adam Pennington, Direktor von Mitre ATT&CK, lobte die Bemühungen. “Wir glauben, dass diese Art der Organisation von Wissen einen Wert hat, und deshalb haben wir versucht, offen zu sein, wie wir ATT&CK selbst geschaffen haben und wie wir darüber denken. Wir haben einige großartige Arbeiten in ATT&CK-ähnlichen Frameworks gesehen, die dem hier ähneln”, sagte er.

“ATT&CK konzentriert sich auf Verhaltensweisen, die bei einer Reihe von realen Angreifern in freier Wildbahn beobachtet wurden, wobei der Schwerpunkt derzeit auf Aktivitäten gegen Unternehmensnetzwerke, mobile Geräte und industrielle Kontrollsysteme liegt”, so Pennington weiter. “Es gibt eine Vielzahl von Aktivitäten, die möglich sind, aber noch nie zuvor in freier Wildbahn gesehen wurden oder aus anderen Gründen außerhalb unserer Reichweite liegen, so dass andere in der Lage sein könnten, Lücken zu füllen. Wir wünschen ihnen viel Erfolg und freuen uns darauf zu sehen, wie sich diese Arbeit entwickelt.”

Die Informationen und Erkenntnisse innerhalb des BLADE-Frameworks werden tool-agnostisch bleiben und sich eher auf die verwendeten Methoden konzentrieren. “Der Angreifer kann sein Tool sehr leicht ändern, aber die Methodik hinter dem Tool zu ändern, ist eine viel größere Herausforderung, also helfen wir gemeinsam, die Eintrittsbarriere zu erhöhen”, erklärte Gracey-Mcminn.

Das BLADE-Framework kategorisiert Business-Logic-Angriffstechniken in sechs Stufen – Ressourcenentwicklung, Aufklärung, Umgehung der Verteidigung, Angriffsvorbereitung, Angriffsausführung und Ausnutzung nach dem Angriff. Jede Technik (bisher gibt es insgesamt 25) wird dann weiter in Untertechniken unterteilt. Die Kategorie “Umgehung der Verteidigung” umfasst zum Beispiel die Techniken CAPTCHA-Umgehung, menschliche Emulation, Proxying und Smokescreening. Die Emulation von Menschen umfasst vier Untertechniken: Emulation von Geräte-Fingerabdrücken, Erzeugung von gefälschter Glaubwürdigkeit, Mausnutzung und Emulation von Benutzeragenten.

[Blocked Image: https://www.scmagazine.com/wp-content/uploads/2021/06/thumbnail_Matthew-Gracey-McMinn.Netacea-300x300.jpg]Matthew Gracey-McMinn, Netacea

Gracey-McMinn sagte, dass das BLADE-Entwicklungsteam mit dem Wachstum des Projekts Kill Chains für jede der Business-Logic-Angriffsmethoden sowie zusätzliche Tipps zur Erkennung und Eindämmung hinzufügen wird. “Es geht wirklich darum, Verteidigern zu helfen, das Problem granularer zu verstehen, damit sie informiertere Schritte unternehmen können und hoffentlich einen besseren Return on Investment in Bezug auf Zeit und Ressourcen im Umgang mit diesen Angreifern erhalten”, sagte er.

Und da BLADE Open-Source ist, wird eine Reihe von Mitwirkenden das Framework im Laufe der Zeit erweitern und verändern, wenn sich die Bedrohungen weiterentwickeln. BLADE hat bereits Beiträge von einflussreichen Organisationen wie Adidas, Gartner und ReliaQuest erhalten. Auch große Gesundheitsunternehmen, Telekommunikationsfirmen und Strafverfolgungsbehörden haben das Framework anonym geprüft, so Grace-McMinn.

Michael Daniel, CEO der Cyber Threat Alliance, sagte, dass die Bildung neuer Bedrohungs-Frameworks mit Vor- und Nachteilen verbunden ist.

“Generell gilt, dass vereinbarte Frameworks und Datenformate den Austausch von Bedrohungsdaten deutlich erleichtern”, so Daniel. “Solche Frameworks können den Umfang, die Skalierung und die Geschwindigkeit des Austauschs erhöhen, da Standardformate viel einfacher zu automatisieren sind. Der Schlüssel liegt jedoch darin, eine breite Einigung über die Standards und Frameworks zu erzielen. Viele Unternehmen verwenden so genannte Open-Source-Frameworks, aber was sie wirklich meinen, ist öffentlich, im Gegensatz dazu, dass sie es wie ein Geschäftsgeheimnis behandeln. Das Ergebnis ist, dass in vielen Fällen das Problem nicht der Mangel an Standards ist, sondern dass es zu viele von ihnen gibt.”

Kunal Anand, Chief Technology Officer bei der Datenbank-Sicherheitsfirma Imperva, die ebenfalls Bot-Schutz anbietet, sagte, dass BLADE oberflächlich betrachtet “ein guter Versuch zu sein scheint, die Bot-Community zusammenzubringen, um Bedrohungsakteure und Bot-Angriffszyklen zu vereiteln”, betonte aber, dass es wichtig sei, dass das Framework herstellerneutral bleibe.

Auf die Frage, welche der Bot-getriebenen Business-Logic-Angriffe im Moment die größte Sorge bereiten, nannte Gracey-McMinn Account-Übernahmen. “Wenn Sie irgendeine Art von Benutzer-Login-Portal haben, sind Sie dem Risiko von Account-Takeovers ausgesetzt. Es betrifft Streaming, es betrifft E-Commerce. Selbst wenn es sich nur um eine Website handelt, die einen Newsletter anbietet – einige dieser Dinge sind für Angreifer von Wert, denn wenn sie in ein Konto eindringen, werden Benutzernamen und E-Mails oft an anderer Stelle wiederverwendet, so dass sie an anderer Stelle eingesetzt werden können. Man bekommt also dieses Credential Stuffing auf so ziemlich jeder einzelnen Login-Seite im Internet.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com