Behavior Analytics zur Vermeidung von Sicherheitsverstößen (Advertorial)

Analysieren und Lernen ist die bessere Methode

| Autor / Redakteur: Matthias Maier / Advertorial

Klassische Sicherheitsmethoden, wie Firewalls und Virenschutz, sind immernoch dominant.
Klassische Sicherheitsmethoden, wie Firewalls und Virenschutz, sind immernoch dominant. (Bild: Splunk)

Viele Banken und Kreditkartenunternehmen setzen bereits seit Jahren auf das Potenzial von Behavior Analytics. Doch das gilt leider noch nicht für andere Branchen – obwohl mittlerweile jeder Experte verstanden hat, dass Sicherheitsverstöße unvermeidbar sind und immer häufiger eine zentrale Bedrohung für ganze Geschäftsmodelle darstellen. Klassische Security-Maßnahmen und Ansätze reichen dabei nicht mehr aus.

IDC Studie: Traditionelle Sicherheitsmethoden dominieren immer noch

Eine Studie von IDC im Auftrag von Splunk hat ergeben, dass IT-Verantwortliche in den eigenen Reihen die größte Herausforderung in Punkto Sicherheit sehen. Verstöße durch unbedachte Handlungen von Mitarbeitern – und doch analysieren nur etwa 12 Prozent der befragten Unternehmen Benutzerverhalten, um Auffälligkeiten zu erkennen. Rund ein Drittel nutzt keine grundlegenden Verfahren, mit denen sich Verstöße gegen die Sicherheitsrichtlinien erkennen lassen. Erschreckend: 40 Prozent wissen nicht einmal, wonach sie bei der Analyse von Benutzeraktivitäten suchen müssten. Ein weiteres Problem scheint das Personal zu sein: Fast jedes zweite Unternehmen (40 Prozent) gab an, dass sie niemanden haben, der sich dieser Aufgabe annehmen kann. Weitere 36 Prozent wissen nicht einmal, wie der Normalzustand in den Abteilungen aussieht.

Europaweit sind 400 Unternehmen in Europa befragt worden. Das Ziel: einen Überblick über Technologien, Prozesse und Mitarbeiter zu erhalten, die gegen Cyber-Angriffe bei europäischen Firmen eingesetzt werden. Zusammenfassend lässt sich sagen: Traditionelle Sicherheitsmethoden wie Firewalls und Virenschutz dominieren. Zwei Drittel setzen auf Identitäts- und Zugriffsverwaltung. Bei knapp jedem fünften Unternehmen (20 Prozent) laufen forensische Systeme oder Systeme zur Untersuchung von Vorfällen oder Tools zur Sicherheitsanalyse. Und auch wenn mit 54 Prozent die knappe Mehrheit der Befragten Lösungen für Sicherheitsinformations- und Ereignismanagement (SIEM) einsetzen, werden diese meist nur als reaktive Technologie zur Berichterstattung implementiert.

Fazit der IDC-Analysten: Es muss ein ausgewogeneres Sicherheitskonzept her, dessen Fokus eher auf Erkennen und aktivem Eingreifen liegt und mit dem sich Benutzerverhalten in Echtzeit beobachten lässt. Nur so können Aktionen rechtzeitig gestoppt werden, bevor ein Schaden verursacht wird.

Lernen, erkennen, handeln

Behavior Analytics, wie es Unternehmen aus der Finanzwelt nutzen, ist hier eine Methode, um Abweichungen im Verhalten von Mitarbeitern rechtzeitig zu erkennen. Damit das funktioniert, muss das System zunächst eine Menge lernen: Jede digitale Aktivität – sei es Zugriff auf Programme, Nutzung verschiedener Anwendungen oder wer mit wem kommuniziert– generiert einen Eventeintrag. Alle Daten werden konsolidiert, gespeichert und analysiert und bilden ein Normalverhalten ab. Weicht ein Verhalten von der Norm ab, wird dies erkannt. Pro Benutzer in einem Unternehmen kann es sich um rund 20.000 Datenpunkte handeln, die die kleinen und großen Zusammenhänge im IT-Alltag des Unternehmens darstellen.

Darüber hinaus enthalten aktuelle Lösungen wie Splunk Enterprise oder Splunk User Behavior Analytics (UBA) sogenannte Threat Modelle – Modellierungen, wie eine Gefahr aussehen könnte. Der Vorteil: Abweichungen und Anomalien können zuverlässig und vor allem rechtzeitig entdeckt und gemeldet werden. Dazu zählen beispielsweise ein bisher nie vom Mitarbeiter genutztes Gerät oder auch die geografische Position. Wer morgens in München seine E-Mails abfragt, kann nicht fünf Stunden später in Asien sein und von dort auf das Firmennetzwerk zugreifen. In diesem Fall könnte der Zugriff umgehend gesperrt werden.

Technologie ist nicht alles

Trotz aller Technik ist ein Sicherheitsverantwortlicher im Security Operation Center (SOC) weiterhin unverzichtbar. Denn wenn der Zugriff auf das Firmennetz immer automatisch gesperrt würde, kann das auch Konsequenzen haben, sofern es vielleicht gar nicht notwendig war. Der Vorteil der Lösungen für die Mitarbeiter im SOC zeigt sich daher vor allem in der Konsolidierung von Informationen und deren Darstellung mit weiterem Kontext. Darauf basierend lassen sich Entscheidungen wesentlich effizienter und in kürzerer Zeit treffen. Da neben der E-Mail-Adresse auch die Telefonnummer oder der Abteilungsname der Angestellten direkt mit vorliegt, kann der Sicherheitsbeauftragte sich im Zweifelsfall per Anruf rückversichern, ob der Alarm stimmt – und prüfen, ob der betroffene Mitarbeiter gerade wirklich von China aus auf die Unternehmensdaten zugreift.

Angesichts der umfangreichen Erfassung von Daten erfordert auch das Thema Datenschutz und Vertraulichkeit in Unternehmen eine hohe Aufmerksamkeit. Der Betriebsrat muss eingebunden werden, und über Vereinbarungen zur Zweckbindung der Daten lassen sich entsprechende Befürchtungen entkräften. Ausführliche Informationen gibt es in der gemeinsamen „Orientierungshilfe Protokollierung“ der Datenschutzbeauftragten von Bund und Ländern.

Die IT-Sicherheit dreht sich im Kreis. Für jede geschlossene Sicherheitslücke tut sich an anderer Stelle eine neue auf. Damit zeigt sich zugleich, dass die herkömmliche, rein Signatur- und Regel-basierte Herangehensweise an ihre Grenzen gekommen ist. Tools zu Behavior Analytics wie von Splunk können hier helfen, die IT rechtzeitig zu informieren und so möglichst schnelle Handlung zu ermöglichen – damit sich im Idealfall ein Cyberangriff schon im Ansatz erkennen und neutralisieren lässt und sich der Kreis zügig wieder schließt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44295472 / Monitoring und KI)