Digitale Lösungen sind mittlerweile bei den meisten die Norm, daher sind Unternehmen zunehmend Cyber-Bedrohungen ausgesetzt. Obwohl die mit dem Zugriff auf eine Unternehmensanwendung verbundenen Risiken so speziell sein können, wie die Anwendung selbst, ist es doch unerlässlich, die zahlreichen Signale zu überwachen, die normalerweise Frühwarnungen für potenzielle Sicherheitsverletzungen liefern.
Ihre Webanwendung ist das Schaufenster zur Welt und die Schnittstelle, die Ihre Kunden (Benutzer oder Kunden) mit Ihrer Backend-Infrastruktur verbindet. Sie können nicht umhin, externen Nutzern die Interaktion mit Ihren IT-Systemen zu ermöglichen, aber Ihre Systeme sind dadurch auch verschiedenen Cyber-Bedrohungen ausgesetzt. Zum Glück gibt es verschiedene Anzeichen, die Sie auf mögliche Risiken aufmerksam machen können.
User and Event Behavior Analytics (UEBA) ist ein Ansatz der Cybersicherheit, der fortschrittliche Computertechnologien wie künstliche Intelligenz, maschinelles Lernen und Deep Learning einsetzt, um das normale Nutzerverhalten zu analysieren und in Modellen darzustellen.
Wenn das System ein anormales Verhalten ermittelt, z. B. wenn ein Endgerät versucht, mit einem externen Server zu kommunizieren, oder wenn starker Netzwerkverkehr außerhalb der Arbeitszeiten auftritt, kann es feststellen und anzeigen, ob es sich um eine verdächtige Anomalie handelt.
Böswillige Akteure verwenden häufig automatisierte Tools, die Webformulare schnell ausfüllen. Ein solches Verhalten kann darauf hindeuten, dass ein Brute-Force-Angriff oder ein anderer Angriff läuft, bei dem Passwörter erraten werden sollen, da diese Techniken darauf beruhen, Zahl und Geschwindigkeit der Zugriffsversuche zu maximieren.
Bei dieser Praxis werden automatisierte Tools für das schnelle Ausfüllen von Formulare verwendet. So kann ein Bot beispielsweise innerhalb kürzester Zeit mehrmals zur Registrierung verwendet werden. Angreifer nutzen möglicherweise automatisierte Tools, um eine große Anzahl von Kommentaren an einen bestimmten Blog zu senden, so dass dieser nicht mehr reagiert.
Online-Händler verlangen in der Regel, dass ihre Kunden vor dem Einkauf ein Konto einrichten. Zahlreiche Versuche, ohne die Eingabe von Kundendaten auf die Versandseite zu gelangen, können auf einen Angriffsversuch hindeuten.
Böswillige Akteure nutzen verschiedene bewährte Strategien, um die Anmeldedaten von Benutzern zu stehlen. Besonders berüchtigt sind Phishing-E-Mails. Benutzer zur Weitergabe ihrer vertraulichen Daten zu verleiten ist einfacher, als die Sicherheitslösungen zu umgehen, die einen unbefugten Zugriff verhindern.
Wenn Ihre Mitarbeiter verdächtige E-Mails erhalten, in denen sie aufgefordert werden, Kontodaten anzugeben oder Microsoft Office-, PDF- oder .exe-Anhänge zu öffnen, ist dies ein eindeutiges Zeichen für einen Infiltrationsversuch.
Bei manchen Webanwendungen müssen die Nutzer ihr Online-Konto mit Geld oder „Punkten“ aufladen, um bestimmte Dienste oder Funktionen nutzen zu können. Auffallend viele fehlgeschlagene Versuche, Online-Dienste aufzuladen, wie z. B. das Einfügen eines Gutscheincodes für eine Geschenkkarte, sind ein klares Signal für Versuche von Cyberkriminellen (in diesem Fall wollen sie einen funktionierenden Gutscheincode erraten).
Wenn legitime Nutzer Schwierigkeiten beim Zugriff auf ihre Webanwendungen oder Online-Profile haben, kann dies an langsamen Ladevorgängen oder Überlastungen des Netzwerks liegen. Wenn Anfragen nach dieser Art von Unterstützung stark zunehmen, kann dies bedeuten, dass ein Cyberangriff, z. B. ein Distributed Denial of Service (DDoS) im Anrollen ist.
APIs finden breite Verwendung in Webanwendungen und Microservices, um die Interaktion zwischen Softwarekomponenten zu erleichtern. Wenn Benutzer sich nicht oder nur schwer bei ihrer Anwendung anmelden können, kann dies daran liegen, dass ein DDOS-Angriff gegen die API-Gateways läuft oder der API-Authentifizierungsdienst ins Visier genommen wird.
Jede auf einem Endbenutzergerät installierte Anwendung, die auf das Internet zugreifen möchte, muss eine IP-Verbindung herstellen. Durch das Überwachen aller IP-Verbindungen kann der Kontaktaufbau mit verdächtigen IP-Adressen festgestellt werden. So kann ein böswilliger Akteur beispielsweise Daten stehlen und sie unbemerkt an externe Server senden.
Ein weiteres Beispiel ist die Kommunikation mit Command-and-Control-Servern (C2), um Malware herunterzuladen oder (bei Ransomware-Angriffen) Verschlüsselungscodes zu empfangen. Werden Verbindungen mit schädlichen IP-Adressen erkannt, ist das ein eindeutiger Hinweis auf einen Cyberangriff.
IP-Bereiche sind eine Reihe von IPs in einem vorgegebenen Bereich, die von einem bestimmten Dienst/böswilligen Akteur verwendet werden. Statt einer einzigen IP-Adresse nutzt ein Dienst auf diese Weise möglicherweise IP-Adressen in einem vorgegebenen Bereich. Das kann bedeuten, dass Sie ein bestimmtes Risiko eher mit einem bestimmten IP-Bereich als mit bestimmten einzelnen IPs zu assoziieren ist. So können böswillige Akteure, insbesondere APT- und Ransomware-Gruppen, beispielsweise bestimmte IP-Adressen innerhalb eines bestimmten Bereichs verwenden, um Malware zu verteilen, die anschließend mit ihrem Command-and-Control-Servern (C&C) kommuniziert.
Um dieses Problem zu beheben können die schädlichen IPs in einer Datenbank gespeichert werden, die mit einer Lösung für die Sicherheitsüberwachung verbunden ist. Die Lösung wird alle eingehenden/laufenden Verbindungen mit diesen IPs beenden, sobald sie entdeckt werden.
IPs haben Reputationen. Verschiedene Sicherheitsfirmen und staatliche Organisationen überwachen IPs und stufen ihre Sicherheit ein. IPs, die für das Verbreiten von Spam bekannt sind, erhalten eine niedrige Wertung oder werden sogar auf die schwarze Liste gesetzt. Ihr Unternehmen kann Listen zum Nachvollziehen der IP-Reputation verwenden und auf diese Weise verhindern, dass unseriöse IPs auf seine IT-Umgebungen zugreifen oder mit seinen Webanwendungen kommunizieren. Dies lässt sich in der Regel mit Web-Firewalls erledigen.
In der IT bezieht sich die Geschwindigkeit auf die Häufigkeit, mit der ein Ereignis auftritt. So kann ein Angreifer beispielsweise versuchen, sich innerhalb eines sehr kurzen Zeitraums mit derselben IP-Adresse bei verschiedenen Benutzerkonten anzumelden (wie im Falle von Passwort-Spraying-Angriffen).
Wenn ein Benutzer innerhalb kürzerer Zeit zu oft versucht, auf ein bestimmtes Konto zuzugreifen, könnte dies auf einen Brute-Force-Angriff hindeuten. War der Benutzer hingegen über längere Zeit inaktiv und versucht nun, sich anzumelden, ist das Einfordern mehrerer Validierungsfaktoren ratsam, z. B. das Beantworten von Sicherheitsfragen oder das Bestätigen eines Einmalpasscodes (OTP, One-Time-Passcode), der an die registrierte Telefonnummer oder E-Mail-Adresse des Benutzers gesendet wird.
Wenn sich ein Nutzer zum ersten Mal bei seinem Konto anmeldet, werden seine Geräteinformationen registriert. Zu diesen Informationen gehören der Gerätetyp, Art und Version des Betriebssystems, der Webbrowser und seine Version sowie die installierten Add-ons. Daher ist es äußerst verdächtig, wenn mehrere Versuche unternommen werden, auf ein und dasselbe Benutzerkonto von einem Gerät mit vollständig anderen Eigenschaften zuzugreifen.
Wenn ein Benutzer versucht, sich mit einem anderen Gerät oder Webbrowser oder von einem anderen Standort aus anzumelden, sollte dies als Signal für verdächtige Aktivitäten gewertet werden. IP-Informationen geben Aufschluss über all diese Faktoren und können zum Aufdecken derartiger Versuche verwendet werden.
Der Versuch, viele Konten mit falschen, sich wiederholenden Daten oder unter Verwendung von zufällig gewählten Buchstaben zu erstellen, gilt als Hinweis auf böswillige Handlungen.
Ihr System kann die technischen Informationen eines Geräts abrufen, mit dem ein Benutzer auf Ihre Webanwendung zugreift. Die technischen Daten eines Browsers werden auch „Fingerprinting“ (Fingerabdrücke) genannt und können dazu dienen, einen einzelnen Nutzer unter Millionen herauszufinden. In der Regel liefert jeder Browser-Fingerabdruck die folgenden Informationen:
Browsertyp (TOR-Browser, Chrome, Firefox, Opera)
Version des Browsers
Installierte Plug-Ins
Im Browser verwendetes Design
Browser-Konfigurationen/Einstellungen
Lokale Datenbank des Browsers
Daten des HTTP-Headers
Cookies (aktiviert oder nicht)
Die technischen Spezifikationen und Browser-Informationen eines Geräts können einen Benutzer eindeutig identifizieren und helfen, Konten vor unbefugtem Zugriff zu schützen. Zu diesen Daten gehört unter anderem folgendes:
Im System installierte Schriftarten
Gerätetyp (Tablet, Laptop, Smartphone, Workstation)
Art des Betriebssystems (Windows, Android, iOS)
Tastatur-Layout
CPU- und GPU-Informationen
Installierte Anwendungen
Zeitzone
Installierte Sprache (Englisch, Französisch, Arabisch, Deutsch)
Wenn Zugriffsversuche von einem Gerät aus getätigt werden, dessen Einstellungen von der Historie des Benutzers abweichen, kann man böswillige Aktivitäten vermuten.
Wenn ein Benutzer versucht, sich von einem ungewöhnlichen Ort aus bei seinem Konto anzumelden, könnte man dies als Warnung werten. Es ist zum Beispiel unwahrscheinlich, dass ein kanadischer Nutzer, der zu Hause eingeloggt war, fünf Stunden später versucht, von China aus auf sein Bankkonto zuzugreifen.
Der Standort des Nutzers ist für sensible Anwendungen, wie beispielsweise im Finanz- und medizinischen Bereich, von entscheidender Bedeutung. Ein in den USA ansässiger Nutzer, dessen Konto einen Anmeldeversuch aus Russland anzeigt, ist wahrscheinlich das Opfer eines versuchten Cyberangriffs, selbst es zeitlich machbar wäre.
Wenn ein Benutzer sehr schnell durch eine Anwendung oder Website navigiert, ist er wahrscheinlich nicht dazu berechtigt oder verfolgt böse Absichten. Stellen Sie sich zum Beispiel ein LinkedIn-Konto mit wenigen Kontakten vor, das eine große Anzahl anderer Profile besucht. Ein solch ungewöhnliches Verhalten kann auf einen Angreifer mit einem automatisierten Tool hindeuten, der Daten der LinkedIn-Datenbank abgrast.
In den heutigen IT-Umgebungen gibt es lokale und Cloud-Umgebungen. Es ist unerlässlich, alle diese digitalen Interaktionen in solchen hybriden Umgebungen zu überwachen, um Schwankungen der Netzwerkaktivitäten zu erkennen, die auf einen potenziellen Cyberangriff hindeuten können.
Lösungen für die Netzwerkerkennung und -reaktion (Network Detection and Response, NDR) erstellen beispielsweise ein Modell der Netzwerkaktivität unter Normalbedingungen und gleichen dies mit der laufenden Netzwerkaktivität ab. Wenn anormale Aktivitäten erkannt werden, wird der IT-Administrator über eine Warnmeldung informiert.
Wenn auf Webkonten mit anonymen Netzwerken wie TOR und I2P zugegriffen wird, ist dies als verdächtig einzustufen. Diese Netzwerke können die IP-Adresse des verbundenen Nutzers und den digitalen Fingerabdruck seines Webbrowsers effizient verbergen, und vielleicht hat der Nutzer gute Gründe, vollständige Anonymität zu wahren.
So können beispielsweise böswillige Insider das TOR-Netzwerk nutzen, um ihre IP-Adresse zu verbergen, wenn sie sensible arbeitsrelevante Daten an Adressen außerhalb des Unternehmensnetzwerks versenden. Andererseits nutzen böswillige Akteure (vor allem APT- und Ransomware-Betreiber), anonyme TOR- und I2P-Netzwerke, um Angriffsanweisungen an ihre in entfernte Zielnetzwerke eingespeiste Malware zu senden.
Die Fähigkeit, Bots zu erkennen, ist von entscheidender Bedeutung, um Angriffe auf Ihre Website, auf mobile Anwendungen und APIs zu vermeiden. Böswillige Akteure verwenden Bots, um automatisiert anzugreifen, zum Beispiel mit Brute-Force- und DDoS-Attacken. Es gibt verschiedene Möglichkeiten, um Bot-Traffic im legitimen Verkehr ausfindig zu machen. Hier sind einige Verhaltensweisen und Merkmale von Bots:
Besuch von extrem vielen Seiten innerhalb eines kurzen Zeitraums
Eine hohe Absprungrate: Ein Bot besucht wahrscheinlich auf einer Website nur eine Seite und verschwindet dann wieder
Auffallend hohe oder niedrige Sitzungsraten
Böswillige Akteure greifen sensible Anwendungen (wie z. B. Online-Banking-Anwendungen) mit Emulatoren an. Ein Emulator ist eine Software, die Android- und Apple-Geräte nachahmt. Obwohl sie im Vergleich zu echten Mobilgeräten langsamer läuft, kann sie selbst optimal geschützte Systeme täuschen.
Cyberkriminelle verwenden Emulatoren, die den Code einer Zielanwendung rekonstruieren (Reverse engineering), um zu verstehen, wie er sich in einer Produktionsumgebung verhält. Das Erkennen von Emulatoren ist für den Schutz sensibler Anwendungen von entscheidender Bedeutung, insbesondere wenn es um Bankgeschäfte oder Kryptowährungs-Wallets geht.
Die Fähigkeit, wiederholt fehlgeschlagene Anmeldeversuche zu erkennen, ist entscheidend für den Schutz von IT-Systemen. Das reine Wissen, dass gerade ein Angreifer versucht, sich bei Ihrem System oder Ihrer Anwendung anzumelden, genügt jedoch nicht, um den Angriff zu verhindern. Mit Audit-Protokollen lässt sich untersuchen, ob der Angreifer einen Computer innerhalb Ihrer Domäne verwendet oder ob ein externes Gerät den Angriff ausführt.
Ein Unternehmen kann benutzerdefinierte Prädikatoren verwenden, um Bedrohungen zu erkennen, bevor sie vor der Tür des Unternehmens stehen.
Benutzerdefinierte Bedrohungsprädikatoren sind zum Beispiel:
Der Einsatz von KI und Technologien des Maschinenlernens zur Überwachung des Netzwerkverkehrs und zur Erkennung anormaler Aktivitäten in Echtzeit
Erstellen eines Basismodells für den regulären Netzwerkverkehr und Abgleich mit dem aktiven Verkehr. Auf diese Weise kann ein Unternehmen Abweichungen rasch erkennen und automatisch oder manuell reagieren, sobald es die automatischen Warnmeldungen von den Lösungen für die Netzwerküberwachung erhalten hat.
Mit Datenbankextraktion ist die Extraktion von Daten aus verschiedenen Datenbanken in Ihrer IT-Umgebung gemeint. Datenextraktionen können Sie unter anderem zur Unterstützung von Entscheidungsprozessen durchführen, z. B. bei der Entwicklung Ihres nächsten Marketingplans, indem Sie Daten wie die Vertriebshistorie, Kundenbindung und -ansprache sowie Rückmeldungen von Anbietern aus unterschiedlichen Datenbanken sammeln und kombinieren.
Datenbankextraktionen können jedoch auch ein Warnsignal sein, wenn sie außerhalb der geplanten Zeiten auftreten. Erfahrene Cyberkriminelle könnten beispielsweise versuchen, außerhalb der Arbeitszeiten Informationen aus verschiedenen Datenbanken zu stehlen und sie an einem Ort zusammenführen, um sie später außerhalb des Zielnetzwerks zu übermitteln.
Die Dateiüberwachung ist ein Sicherheitsverfahren, mit dem verschiedene Dateien in IT-Systemen überwacht werden, z. B. Datenbank-, Anwendungs- und Betriebssystemdateien. Beim Feststellen einer Modifikation, die auf eine manipulative Malware hinweisen könnte, wird eine Warnung ausgegeben.
Jedes Mal, wenn eine neue API im System ergänzt wird, muss sie auf Sicherheitslücken und Probleme überprüft werden, die zu Leistungseinbußen führen können.
Das Überwachen der API-Aktivität ist von entscheidender Bedeutung. Dies gilt insbesondere für APIs, die kritische Funktionen wie das Autorisieren und Authentifizieren ausführen. Nicht funktionierende APIs können teuer werden: Ein Serverausfall erzeugt Kosten von durchschnittlich 301.000 bis 400.000 US-Dollar pro Stunde.
Der Einsatz von Sicherheitslösungen ist wichtig, um so viele verschiedene Angriffssignale wie möglich erkennen zu können. Wirkliche Effektivität zeigen diese Lösungen nur dann, wenn Sie bei der Erkennung von verdächtigem Verhalten die KI und das ML nutzen. Zudem müssen sie in der Lage sein, eine zusätzliche Authentifizierung anzufordern oder eine Sitzung zu beenden, wenn ein riskantes Verhalten oder Signale mit hohem Risiko auftreten. Außerdem muss eine erweiterte Überwachung die gesamte Customer Journey abdecken und nicht nur punktuell die Anmeldung.
Starten Sie jetzt
Kontaktieren Sie uns
Erfahren Sie, wie Ping Sie dabei unterstützen kann, sichere Mitarbeiter- und Kundenerlebnisse in einer sich schnell entwickelnden digitalen Welt zu schaffen.
Kostenlose Demo anfordern