Suchen

Wie funktioniert UEBA? Angriffserkennung mit UEBA

| Autor / Redakteur: Klaus Nemelka / Peter Schmitz

Während UBA (User Behavior Analytics, also die Analyse des Nutzerverhaltens) mittlerweile vielen Sicherheitsverantwortlichen ein Begriff ist, sehen sie sich nun vermehrt dem Ausdruck UEBA gegenübergestellt. Wie User and Entity Behavior Analytics funktioniert und wann der Einsatz von UEBA sinnvoll ist, erläutert dieser Beitrag

Firmen zum Thema

UEBA-Software ersetzt zwar keine Threat-Detection-Lösung, kann aber das Sicherheitspersonal effektiv alarmieren, wenn Aktivitäten auf einen potenziellen Angriff hinweisen.
UEBA-Software ersetzt zwar keine Threat-Detection-Lösung, kann aber das Sicherheitspersonal effektiv alarmieren, wenn Aktivitäten auf einen potenziellen Angriff hinweisen.
(Bild: gemeinfrei / Pixabay )

User and Entity Behavior Analytics (UEBA) erweitert den Ansatz, maschinelles Lernen und Deep Learning zur Modellierung des Verhaltens von Benutzern in Unternehmensnetzwerken einzusetzen, um damit „normales“ von „abnormalem“ Verhalten unterscheiden zu können, um eine weitere Ebene: Entitäten (oder Ereignisse), die keine Nutzer sind (wie z.B. Router, Server und Endpunkte), deren Verhalten aber ebenfalls Zeichen eines Cyberangriffs sein könnten.

Auf diese Weise sind UEBA-Lösungen leistungsfähiger als frühere UBA-Ansätze, da sie komplexe Angriffe über mehrere Benutzer, IT-Geräte und IP-Adressen hinweg erkennen können. Sie können die Zeit zur Erkennung von und Reaktion auf Cyberattacken drastisch verkürzen und Bedrohungen erkennen, die den herkömmlichen Lösungen entgehen, indem sie Transparenz und Kontext sowohl aus der Cloud als auch aus der lokalen Infrastruktur kombinieren.

Wie funktioniert UEBA?

Die Grundprinzipien von UEBA ähneln denen von UBA: Bei der Analyse des Benutzer- und Entitätsverhaltens werden zunächst Informationen über das normale Verhalten von Benutzern und Entitäten aus Systemprotokollen gesammelt. Diese Systeme wenden dann fortschrittliche Analysemethoden an, um die Daten zu analysieren und eine Referenzlinie des Nutzerverhaltens zu erstellen. Die UEBA-Software überwacht dann kontinuierlich das Verhalten der Entitäten und vergleicht es mit dem Ausgangsverhalten derselben oder ähnlicher Entitäten. Der Zweck dieser Analyse ist es, jedes abnormale Verhalten oder jede Abweichung von „normalen“ Mustern zu erkennen. Wenn ein bestimmter Benutzer beispielsweise regelmäßig täglich 10 MB an Dateien herunterlädt, dann aber plötzlich Gigabytes an Dateien, erkennt das System diese Anomalie und weist auf die potenzielle Sicherheitsbedrohung hin. Bei UEBA werden hierbei (im Gegensatz zu UBA) auch nicht-menschliche Prozesse und maschinelle Entitäten einbezogen.

Warum ist es aber sinnvoll, die Analyse über den Benutzer hinaus auszuweiten? Manche Angriffe sind durch eine bloße Betrachtung von Nutzeraktivitäten schwer oder gar nicht zu identifizieren. Betrachten wir einen Hacker, der nach dem Eindringen in das System seine Aktivitäten auf mehrere Benutzer ausweitet und sich lateral auf mehrere Maschinen bewegt. Die Einheit, die bei solchen (durchaus üblichen) Vorgehensweisen betrachtet werden muss, ist also nicht mehr das Konto eines kompromittierten Nutzers, sondern liegt auf der Maschinen-Ebene, die dann durch eine IP-Adresse identifiziert werden kann. Entsprechend sollte nach ungewöhnlichen Aktionen gesucht werden, bei denen das gemeinsame Element die IP-Adresse eines Arbeitsplatzrechners ist. Im Falle von Windows-Systemsoftware (etwa regsvr32 oder rundll32) kann auch die Software der Schlüssel zur Identifizierung auffälliger Aktionen sein.

UEBA-Lösungen beinhalten dabei drei wesentliche Komponenten:

  • Datenanalyse: Hier werden Daten gesammelt, um das „normale“ Verhalten von Nutzern und Entitäten zu erkennen und ein Profil ihres normalen Verhaltens zu erstellen. Anschließend können statistische Modelle angewendet werden, um ungewöhnliches Verhalten zu erkennen und die Systemadministratoren zu alarmieren.
  • Datenintegration: Entscheidend ist die Fähigkeit, Daten aus verschiedenen Quellen, wie z.B. Protokolle, Daten zur Paketerfassung und andere Datensätze, mit bestehenden Sicherheitssystemen zu vergleichen.
  • Datenpräsentation: Die gewonnenen Ergebnisse müssen nachvollziehbar kommuniziert werden. Dies geschieht typischerweise durch Warnungen an die Sicherheitsverantwortlichen, entdecktes ungewöhnliches Verhalten (weiter) zu untersuchen.

Wann ist der Einsatz von UEBA sinnvoll?

Die zunehmende Verbreitung von UEBA fußt auf einer einfachen Erkenntnis: Präventive Maßnahmen reichen nicht mehr aus, um Unternehmenssysteme sicher zu halten. Web-Gateways, Firewalls, Intrusion-Prevention-Tools und verschlüsselte Verbindungssysteme wie VPNs sind nicht mehr in der Lage, Unternehmen vor Angriffen zu schützen. Hacker werden es immer irgendwann schaffen, den Perimeter zu überwinden und in die Systeme einzudringen. Entsprechend bedeutsam wird es dann, diese Angriffe rasch zu identifizieren. Der Nutzen von UEBA besteht also nicht darin, dass es Hacker oder Insider am Zugriff auf kritische Systeme hindert. Vielmehr können die UEBA-Systeme schnell erkennen, wenn dies geschehen ist, und die Sicherheitsverantwortlichen auf das Risiko aufmerksam machen.

Ob der Einsatz einer UEBA-Lösung für ein Unternehmen sinnvoll ist, hängt von mehreren Faktoren ab. So kann UEBA die Anfälligkeit für die häufigsten Arten von Cyberangriffen reduzieren, wie beispielsweise Phishing, Whaling, Social Engineering, Distributed Denial of Service (DDoS)-Angriffe, Malware oder Ransomware. Bei all diesen Szenarien kann UEBA schnell Warnungen ausgeben. Gleichwohl kann UEBA die bisher verwendeten Sicherheitslösungen nicht ersetzen, sondern stellt vielmehr eine Ergänzung dar, um die allgemeine Sicherheitslage des Unternehmens zu verbessern.

Entsprechend sollte UEBA immer in Kombination mit einer Lösung zur Perimeter-Überwachung eingesetzt werden. Diese sollte in der Lage sein, Metadaten von Perimeter-Technologien wie DNS, VPN und Web-Proxys zu analysieren, um Anzeichen für einen Angriff am Perimeter zu erkennen. Diese Perimeter-Aktivitäten müssen in Zusammenhang mit den wichtigsten Datenzugriffsaktivitäten eines Benutzers gesetzt werden, also auch Geolokalisation oder Zugehörigkeit zu einer Sicherheitsgruppe.

Auf diese Weise erhalten SOC-Analysten und Sicherheitsverantwortliche sauberere und aussagekräftigere Warnmeldungen. Ebenso wenig ist UEBA ein Ersatz für Cloud Access Security Blockers (CASB), eine Sicherheitsanwendung, die Unternehmen dabei hilft, die in der Cloud gespeicherten Daten zu verwalten und zu schützen. Gartner rät Unternehmen, eine „Goldilocks“-CASB-Lösung zu finden, also eine Lösung, die die richtigen Funktionen für SaaS-Anwendungen und Cloud-Infrastrukturen bietet, und diese in Kombination mit der UEBA einzusetzen.

Fazit

Zusammenfassend lässt sich also feststellen, dass UEBA-Software ein wesentlicher Teil einer umfassenden IT-Sicherheitsstrategie sein kann: Sie ersetzt zwar keine Threat Detection-Lösung, kann aber das Sicherheitspersonal effektiv alarmieren, wenn die Aktivitäten innerhalb einer Umgebung Anomalien aufweisen, die auf einen potenziellen Angriff hinweisen – von Insider-Bedrohungen über kompromittierte Konten und Brute-Force-Angriffe bis hin zum (illegitimen) Anlegen neuer Benutzer und Datenschutzverletzungen.

Über den Autor: Klaus Nemelka ist Technical Evangelist bei Varonis Systems.

(ID:46809202)