BalaBit Blindspotter

Sicherheit durch Verhaltensanalyse

| Redakteur: Peter Schmitz

Blindspotter analysiert in Echtzeit das Verhalten von IT-Nutzern (User Behavior Analytics, UBA). Das Tool untersucht die Aktivitäten der Benutzer und identifiziert alle verdächtigen Vorkommnisse auf IT-Systemen.
Blindspotter analysiert in Echtzeit das Verhalten von IT-Nutzern (User Behavior Analytics, UBA). Das Tool untersucht die Aktivitäten der Benutzer und identifiziert alle verdächtigen Vorkommnisse auf IT-Systemen. (Bild: BalaBit)

Sicherheitstools erkennen Netzwerkangriffe normalerweise durch vorher definierte Regeln oder festgelegte Suchmuster. Blindspotter von BalaBit geht jetzt mit der Analyse des Anwenderverhaltens und der intelligenten Erkennung von Verhaltensanomalien interessante, neue Wege.

Mit Blindspotter lassen sich alle Aktionen von IT-Nutzern in Echtzeit nachverfolgen und visualisieren. Unternehmen erhalten damit einen detaillierten Überblick, was sich wirklich in ihren Netzwerken abspielt. Es werden dabei nutzerbezogene Ereignisse („Events“) und Anwenderaktionen im Rahmen einer Session erfasst und untersucht – und zwar in Echtzeit bzw. nahezu in Echtzeit. Anschließend vergleicht Blindspotter diese Aktionen mit den normalen Aktivitäten des Nutzers oder seiner Kollegen, um außergewöhnliche Verhaltensmuster zu identifizieren. Das können beispielsweise Login-Vorgänge von Administratoren außerhalb der Arbeitszeiten sein.

Blindspotter ist sogar in der Lage, verdächtige Aktionen bis hinab auf die Ebene der eingegebenen Systembefehle zu erkennen. Verwendet ein Administrator beispielsweise plötzlich Kommandos, auf die er im Normalfall nicht zurückgreift, informiert Blindspotter das IT-Sicherheitsteam. Die Lösung kann auch umgehend nach Erkennen einer potenziellen Gefahr automatisch Gegenmaßnahmen einleiten, um schädlichen Auswirkungen jeder Bedrohung in engen Grenzen zu halten.

Identifizierung gekaperter User-Accounts

Die Aktivitäten eines Angreifers, der sich Zugang zu einem Nutzerkonto verschafft hat, unterscheiden sich in erheblichem Maße von denen des rechtmäßigen Users. So versuchen Hacker in der Regel, sich einen Überblick über das IT-System und das Unternehmensnetz zu verschaffen. Er greift beispielsweise auf andere IT-Systeme zu, um darüber Zugang zu weiteren IT-Diensten zu erhalten, oder er lädt große Mengen von Daten herunter, die für ihn von Wert sind. Blindspotter erkennt solche anormalen Vorgänge und alarmiert die zuständigen IT-Sicherheitsfachleute.

Schutz vor dem Missbrauch privilegierter Zugriffsrechte

Mithilfe von Blindspotter lassen sich auch Nutzer identifizieren, die erweiterte Zugriffsrechte dazu missbrauchen, um Unternehmensdaten zu entwenden oder um auf Geschäftsdaten zuzugreifen beziehungsweise Informationen zu kopieren, die für ihre beruflichen Aufgaben nicht relevant sind. Auf diese Weise verhindert das Tool Datendiebstähle durch interne User.

Absicherung von automatisierten System-Accounts

Automatisierte System-Accounts werden von Administratoren oft eingerichtet, um regelmäßig anstehende Standardaufgaben durchzuführen. Dazu gehört das Sichern von Datenbanken, aber auch der Neustart von Services außerhalb der Arbeitszeiten. Automatisierte System-Accounts sind eine Arbeitserleichterung für Administratoren. Allerdings nutzen viele Systemverwalter ihre eigenen Zugangsdaten, wenn sie solche Accounts einrichten. Das ist ein Sicherheitsrisiko. Denn wenn ein solches Script gehackt wird, fallen dem Angreifer nicht nur die Login-Daten des Administrators in die Hände, sondern er erhält auch Zugriff auf alle IT-Dienste, die der IT-Fachmann verwaltet. Blindspotter ist in der Lage, zwischen Accounts zu differenzieren, die tatsächlich von Scripts für automatisierte Administrationsaufgaben genutzt werden oder aber von Menschen.

Analyse von Bildschirminhalten

In Verbindung mit der Shell Control Box (SCB), BalaBits Appliance für das Monitoring der Aktivitäten privilegierter IT-Nutzer, kann Blindspotter Bildschirminhalte untersuchen. Das gilt für eingegebene Befehle, Programme, die gestartet werden und Textinformationen, die auf dem Display erscheinen. Auf diese Weise lassen sich Anomalien erkennen, die auf eine APT oder den Missbrauch von privilegierten Nutzerrechten hinweisen.

Zoltán Györkő, CEO von BalaBit, kommentiert die Markteinführung von Blindspotter: „Es ist eine Tatsache, dass die meisten Unternehmen und Organisationen mit Sicherheitsbedrohungen konfrontiert sind, die innerhalb des Perimeters angesiedelt sind. Dies kann ein Cyber-Krimineller sein, der sich Zugang zu einem internen Account verschafft hat oder ein Insider, der es auf den Diebstahl von Unternehmensdaten abgesehen hat. In der Vergangenheit war es extrem schwer, solche Angriffe zu erkennen. Blindspotter schließt diese Sicherheitslücke und bietet einen umfassenden Schutz für unternehmenskritische Daten, ohne dass die Geschäftsaktivitäten dadurch beeinträchtigt werden.“

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43504307 / Intrusion-Detection und -Prevention)