Suchen

User Behavior Analytics

Wie maschinelles Lernen die IT-Sicherheit bereichert

Seite: 3/3

Firmen zum Thema

Verhaltensbezogene Analyse in der Praxis

Das Grundprinzip von UBA-Lösungen ist einfach. Sie können einzelne IT-User anhand spezieller Charakteristika identifizieren. Dadurch ist eine UBA-Lösung in der Lage, auffällige Verhaltensmuster zu erkennen. Solche Auffälligkeiten können auf die Aktivitäten eines Hackers zurückzuführen sein, der sich die Zugangsdaten eines Users verschafft hat.

Ein UBA-System wertet eine Vielzahl von Daten aus, um solche ungewöhnlichen Verhaltensmuster zu entdecken. Hierzu zählen neben dem Kontext, wann und von welchem Ort aus sich ein User einloggt, auch die Bildschirmauflösung und das Betriebssystem des Endgeräts.

Weitere Parameter sind unter anderem die Applikationen, die ein User regelmäßig verwendet, die genutzten Protokolle und die Geschwindigkeit bei Eingaben über die Tastatur. Mit solchen Informationen können herkömmliche IT-Sicherheits-Tools wenig anfangen. UBA-Systeme sind dank maschinellen Lernens jedoch in der Lage, daraus nutzbare Erkenntnisse zu gewinnen.

Angriffe von Insidern abwehren

Eine Analyse der Verhaltensmuster von IT-Nutzern lässt sich nicht nur dazu verwenden, Angriffe von externen Hackern abzuwehren. UBA-Systeme machen auch unzulässige Aktivitäten eigener Mitarbeitern („Insidern“) transparent.

Ein Beispiel: Wenn Beschäftigte ein Unternehmen verlassen, nehmen sie in vielen Fällen vertrauliche Geschäftsunterlagen mit, die sie auch im neuen Job verwenden können: Kundendaten, Preislisten, Strategiepapiere oder Source Code. Oft speichern Mitarbeiter solche Informationen auf einem USB-Stick.

Ist diese Aktivität im Zusammenhang mit einem Nutzerprofil als „ungewöhnlich“ klassifiziert, erfasst ein UBA-System Details, etwa wann welche Daten von welchem Systems aus auf den Stick kopiert wurden, und informiert die IT-Sicherheitsfachleute des Unternehmens. Diese können dann eine Überprüfung des Vorgangs durchführen und der Personalabteilung Beweismaterial zur Verfügung stellen.

Daniel Bagó
Daniel Bagó
(Bild: BalaBit)

Letztlich lässt sich durch die Kombination von Maschinenlernen und IT-Security das Sicherheitsniveau in Unternehmen und Organisationen deutlich erhöhen, und das ohne Beeinträchtigung der Geschäftstätigkeit. So lassen sich beispielsweise kompromittierte Accounts identifizieren, während die Zahl der Fehlalarme deutlich sinkt.

* Daniel Bagó ist Product Marketing Manager bei BalaBit.

(ID:43712379)