User Behavior Analytics

Wie maschinelles Lernen die IT-Sicherheit bereichert

| Autor / Redakteur: Daniel Bagó* / Stephan Augsten

Rechner und Maschinen erkennen Muster und Trends

Deutlich weiter gehen vorhandene Lösungen im Bereich des maschinellen Lernens. Sie sind beispielsweise in der Lage, mit relativ hoher Genauigkeit Trends und Muster in Datenbeständen zu erkennen. Dank der Fähigkeit, Daten zu sortieren und zu Clustern zusammenzufassen, können solche Algorithmen bis zu einem gewissen Grad künftige Ereignisse vorhersagen.

Dabei kommen vor allem zwei Technologien zum Einsatz:

Überwachtes maschinelles Lernen, wenn Ereignisse (Events) bekannten Kategorien zugeordnet werden sollen, und dies anhand von Beispielen „echter“ Events.

Nicht überwachtes maschinelles Lernen, wenn keine Beispiele vorhanden sind und daher die entsprechenden Kategorien nicht bekannt sind. Das ist beispielsweise beim Sortieren von Daten anhand von Ähnlichkeiten oder Unterschieden der Fall.

Ein ausgezeichnetes Beispiel für überwachtes Maschinenlernen sind die Produkt-Empfehlungssysteme von Web-Shops wie Amazon und eBay. Sie analysieren die Kaufhistorie eines Nutzers und dessen Suchaktivitäten im Shop oder die Aktionen von Kunden mit einem ähnlichen Profil.

Auf Grundlage dieser Daten listet das System Empfehlungen auf: Fans von Science-Fiction-Romanen amerikanischer Autoren werden auf Neuerscheinungen in diesem Bereich hingewiesen, Liebhaber klassischer Literatur erhalten Informationen über neue Editionen bestimmter Werke.

Maschinelles Lernen hält Einzug in die IT-Sicherheitstechnik

Doch nicht nur in Online-Shops oder bei Suchmaschinen lässt sich maschinelles Lernen einsetzen. Mittlerweile gibt es Ansätze, diese Technologie auch im Bereich IT-Security zu verwenden. Der Hintergrund ist ein neuer Trend. Er stellt das Monitoring des Verhaltens von Nutzern in den Vordergrund, nicht die Überwachung von IT-Systemen und die Kontrolle des Zugangs zu IT-Ressourcen.

IT-Sicherheitsanwendungen, die auf Kontrollfunktionen spezialisiert sind, weisen eine hohe Effektivität auf, wenn sie es mit bekannten Gefahren zu tun bekommen. Dazu gehören Computerviren und Schadsoftware, von deren Existenz IT-Security-Unternehmen und deren Lösungen Kenntnis haben. Dagegen sind solche Lösungen gegen die weit verbreiteten Advanced Persistent Threats (APT) so gut wir wirkungslos.

Bei einer typischen APT-Attacke nutzt der Angreifer eine Zero-Day-Schwachstelle, um einen Keylogger auf dem System des Opfers zu installieren. Gelingt dies, kann der Cyber-Kriminelle Tastatureingaben aufzeichnen und beispielweise Account-Daten ausspähen. Auf diese Weise erhält der Angreifer Zugang zu IT-Systemen im Unternehmensnetz und kann verwertbare Informationen entwenden.

Selbst SIEM-Lösungen (Security Incident and Event Management) sind nicht in der Lage, solche Zero-Day-Angriffe abzuwehren. Derartige Attacken lassen sich somit de facto nicht erkennen und wirkungsvoll unterbinden. Aus diesem Grund haben IT-Security-Unternehmen wie BalaBit damit begonnen, Ansätze auf Basis einer Verhaltensanalyse (User Behavior Analytics, UBA) zu entwickeln.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43712379 / Hacker und Insider)