Bestimmte Angriffe können nicht mit Hilfe von Filtertechnologien wie White Lists, gewichteten Listen und Black Lists erkannt werden, da die bösartige Art dieser Abfragen nicht im Inhalt enthalten ist. Es spielen vielmehr andere Faktoren eine Rolle, wie z. B. die Frequenz (Anzahl der Abfragen), der Ursprung (die vorhergehende Seite oder der „Referrer“) oder ein sehr spezielles Szenario, das mit einer bösartigen Abfrage einhergeht.
So können z. B. Versuche, ein Passwort für einen Link herauszufinden, bei dem eine Authentifizierung erforderlich ist, nicht mit Hilfe von konventionellen Filtern ermittelt werden (kein Angriffschema in der Abfrage, das von einer White List autorisiert werden kann, die dem Anwender nach der Authentifizierung ein Weiterverbindung erlaubt). Um eine abnormale Abfragefrequenz zu ermitteln, wird ein einfaches Szenario verwendet (siehe Abb. unten).
Wenn das bösartige Verhalten einmal entdeckt ist, können einige vordefinierte Reaktionen (Blockierung, Slowdown, Rerouting, Ausführung eines Skripts) aktiviert werden, um effektive Gegenmaßnahmen gegen die Angriffe einzuleiten.
Die Definition der Regeln wird von zwei speziellen Funktionen dieses Analysemoduls ergänzt:
1. Die Definition einer White List speziell für nur einen Teil der Site („Force URI“).
2. Force Browsing der Benutzer.
Die eingeschränkte White List ist in Bezug auf die Nutzung des Systems interessant, da sie einen Kompromiss zwischen einer Erhöhung des Sicherheitslevels und der Verwaltung des gesamten Systems darstellt. Dabei wird eine Liste der autorisierten URIs verwendet, die in einer Lernphase eingestellt werden.
Dieser Lernmechanismus wird auch für die Implementierung von Forced Browsing verwendet, was nützlich ist, wenn Sie möchten, dass die Benutzer über eine spezielle Seite zur Website gelangen sollen, unabhängig davon, welcher Link verwendet wird (Ergebnis einer Suchmaschine, Favoriten).
Mit Hilfe dieser drei Funktionen (Regeldefinition, Definition einer speziellen White Liste für einen Teil der Site, Forced Browsing innerhalb der Applikation) bietet unser User Behaviour Tool ein komplettes Paket, um die Gefährdung der Applikationen vor sich ständig ändernden diversen Risiken effektiv zu schützen, nicht zu vergessen die einfache Integration mit den anderen Sicherheitsfunktionen unseres rWeb-Produkts.
User Behaviour Tool
| FUNKTIONEN |
VORTEILE |
Regeldefinition
(“Regeln”) |
Ermittelt bösartiges Verhalten von kontextabhängigen Faktoren (Häufigkeit, Navigationsverhalten, Korrelation zwischen Abfragen) |
Eingeschränkte White List
(“Force URI”) |
Richtet eine White List (autorisierter URIs) für einen Teil der Site ein, ohne dass eine komplette White List (für die gesamte Applikation) verwaltet werden muss. |
Forced browsing
(“Forced Browsing”) |
Überprüft das Navigationsverhalten der Benutzer und zwingt diese bestimmte vorgeschriebene Seiten zu passieren. |
