:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Wie funktioniert UEBA? Angriffserkennung mit UEBA
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/113400/113460/65.png "Varonis_Horizontal.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Während UBA (User Behavior Analytics, also die Analyse des Nutzerverhaltens) mittlerweile vielen Sicherheitsverantwortlichen ein Begriff ist, sehen sie sich nun vermehrt dem Ausdruck UEBA gegenübergestellt. Wie User and Entity Behavior Analytics funktioniert und wann der Einsatz von UEBA sinnvoll ist, erläutert dieser Beitrag
User and Entity Behavior Analytics (UEBA) erweitert den Ansatz, maschinelles Lernen und Deep Learning zur Modellierung des Verhaltens von Benutzern in Unternehmensnetzwerken einzusetzen, um damit „normales“ von „abnormalem“ Verhalten unterscheiden zu können, um eine weitere Ebene: Entitäten (oder Ereignisse), die keine Nutzer sind (wie z.B. Router, Server und Endpunkte), deren Verhalten aber ebenfalls Zeichen eines Cyberangriffs sein könnten.
Auf diese Weise sind UEBA-Lösungen leistungsfähiger als frühere UBA-Ansätze, da sie komplexe Angriffe über mehrere Benutzer, IT-Geräte und IP-Adressen hinweg erkennen können. Sie können die Zeit zur Erkennung von und Reaktion auf Cyberattacken drastisch verkürzen und Bedrohungen erkennen, die den herkömmlichen Lösungen entgehen, indem sie Transparenz und Kontext sowohl aus der Cloud als auch aus der lokalen Infrastruktur kombinieren.
Wie funktioniert UEBA?
Die Grundprinzipien von UEBA ähneln denen von UBA: Bei der Analyse des Benutzer- und Entitätsverhaltens werden zunächst Informationen über das normale Verhalten von Benutzern und Entitäten aus Systemprotokollen gesammelt. Diese Systeme wenden dann fortschrittliche Analysemethoden an, um die Daten zu analysieren und eine Referenzlinie des Nutzerverhaltens zu erstellen. Die UEBA-Software überwacht dann kontinuierlich das Verhalten der Entitäten und vergleicht es mit dem Ausgangsverhalten derselben oder ähnlicher Entitäten. Der Zweck dieser Analyse ist es, jedes abnormale Verhalten oder jede Abweichung von „normalen“ Mustern zu erkennen. Wenn ein bestimmter Benutzer beispielsweise regelmäßig täglich 10 MB an Dateien herunterlädt, dann aber plötzlich Gigabytes an Dateien, erkennt das System diese Anomalie und weist auf die potenzielle Sicherheitsbedrohung hin. Bei UEBA werden hierbei (im Gegensatz zu UBA) auch nicht-menschliche Prozesse und maschinelle Entitäten einbezogen.
Warum ist es aber sinnvoll, die Analyse über den Benutzer hinaus auszuweiten? Manche Angriffe sind durch eine bloße Betrachtung von Nutzeraktivitäten schwer oder gar nicht zu identifizieren. Betrachten wir einen Hacker, der nach dem Eindringen in das System seine Aktivitäten auf mehrere Benutzer ausweitet und sich lateral auf mehrere Maschinen bewegt. Die Einheit, die bei solchen (durchaus üblichen) Vorgehensweisen betrachtet werden muss, ist also nicht mehr das Konto eines kompromittierten Nutzers, sondern liegt auf der Maschinen-Ebene, die dann durch eine IP-Adresse identifiziert werden kann. Entsprechend sollte nach ungewöhnlichen Aktionen gesucht werden, bei denen das gemeinsame Element die IP-Adresse eines Arbeitsplatzrechners ist. Im Falle von Windows-Systemsoftware (etwa regsvr32 oder rundll32) kann auch die Software der Schlüssel zur Identifizierung auffälliger Aktionen sein.
UEBA-Lösungen beinhalten dabei drei wesentliche Komponenten:
- Datenanalyse: Hier werden Daten gesammelt, um das „normale“ Verhalten von Nutzern und Entitäten zu erkennen und ein Profil ihres normalen Verhaltens zu erstellen. Anschließend können statistische Modelle angewendet werden, um ungewöhnliches Verhalten zu erkennen und die Systemadministratoren zu alarmieren.
- Datenintegration: Entscheidend ist die Fähigkeit, Daten aus verschiedenen Quellen, wie z.B. Protokolle, Daten zur Paketerfassung und andere Datensätze, mit bestehenden Sicherheitssystemen zu vergleichen.
- Datenpräsentation: Die gewonnenen Ergebnisse müssen nachvollziehbar kommuniziert werden. Dies geschieht typischerweise durch Warnungen an die Sicherheitsverantwortlichen, entdecktes ungewöhnliches Verhalten (weiter) zu untersuchen.
Wann ist der Einsatz von UEBA sinnvoll?
Die zunehmende Verbreitung von UEBA fußt auf einer einfachen Erkenntnis: Präventive Maßnahmen reichen nicht mehr aus, um Unternehmenssysteme sicher zu halten. Web-Gateways, Firewalls, Intrusion-Prevention-Tools und verschlüsselte Verbindungssysteme wie VPNs sind nicht mehr in der Lage, Unternehmen vor Angriffen zu schützen. Hacker werden es immer irgendwann schaffen, den Perimeter zu überwinden und in die Systeme einzudringen. Entsprechend bedeutsam wird es dann, diese Angriffe rasch zu identifizieren. Der Nutzen von UEBA besteht also nicht darin, dass es Hacker oder Insider am Zugriff auf kritische Systeme hindert. Vielmehr können die UEBA-Systeme schnell erkennen, wenn dies geschehen ist, und die Sicherheitsverantwortlichen auf das Risiko aufmerksam machen.
Ob der Einsatz einer UEBA-Lösung für ein Unternehmen sinnvoll ist, hängt von mehreren Faktoren ab. So kann UEBA die Anfälligkeit für die häufigsten Arten von Cyberangriffen reduzieren, wie beispielsweise Phishing, Whaling, Social Engineering, Distributed Denial of Service (DDoS)-Angriffe, Malware oder Ransomware. Bei all diesen Szenarien kann UEBA schnell Warnungen ausgeben. Gleichwohl kann UEBA die bisher verwendeten Sicherheitslösungen nicht ersetzen, sondern stellt vielmehr eine Ergänzung dar, um die allgemeine Sicherheitslage des Unternehmens zu verbessern.
Entsprechend sollte UEBA immer in Kombination mit einer Lösung zur Perimeter-Überwachung eingesetzt werden. Diese sollte in der Lage sein, Metadaten von Perimeter-Technologien wie DNS, VPN und Web-Proxys zu analysieren, um Anzeichen für einen Angriff am Perimeter zu erkennen. Diese Perimeter-Aktivitäten müssen in Zusammenhang mit den wichtigsten Datenzugriffsaktivitäten eines Benutzers gesetzt werden, also auch Geolokalisation oder Zugehörigkeit zu einer Sicherheitsgruppe.
Auf diese Weise erhalten SOC-Analysten und Sicherheitsverantwortliche sauberere und aussagekräftigere Warnmeldungen. Ebenso wenig ist UEBA ein Ersatz für Cloud Access Security Blockers (CASB), eine Sicherheitsanwendung, die Unternehmen dabei hilft, die in der Cloud gespeicherten Daten zu verwalten und zu schützen. Gartner rät Unternehmen, eine „Goldilocks“-CASB-Lösung zu finden, also eine Lösung, die die richtigen Funktionen für SaaS-Anwendungen und Cloud-Infrastrukturen bietet, und diese in Kombination mit der UEBA einzusetzen.
Fazit
Zusammenfassend lässt sich also feststellen, dass UEBA-Software ein wesentlicher Teil einer umfassenden IT-Sicherheitsstrategie sein kann: Sie ersetzt zwar keine Threat Detection-Lösung, kann aber das Sicherheitspersonal effektiv alarmieren, wenn die Aktivitäten innerhalb einer Umgebung Anomalien aufweisen, die auf einen potenziellen Angriff hinweisen – von Insider-Bedrohungen über kompromittierte Konten und Brute-Force-Angriffe bis hin zum (illegitimen) Anlegen neuer Benutzer und Datenschutzverletzungen.
Über den Autor: Klaus Nemelka ist Technical Evangelist bei Varonis Systems.
(ID:46809202)
:quality(80)/p7i.vogel.de/wcms/7e/7d/7e7d83e85dc852ee2382bffbad35be17/0109631878.jpeg "Einfach zu bedienen: Vipre präsentiert eine Lösung für Endpoint Detection and Response (EDR), die für kleine und mittelständische Unternehmen entwickelt wurde. (Bild: Nina Lawrenson/peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/2a/fa2a8da5c4735cabe7299dc45eefd755/0109023920.jpeg "Die Cloud eröffnet nicht nur Mitarbeitern, sondern auch Cyberkriminellen neue Wege in die Unternehmenssysteme. (Bild: Yingyaipumi - stock.adobe.com)")