User Behavior Analytics

Wie maschinelles Lernen die IT-Sicherheit bereichert

| Autor / Redakteur: Daniel Bagó* / Stephan Augsten

Verhaltensbezogene Analyse in der Praxis

Das Grundprinzip von UBA-Lösungen ist einfach. Sie können einzelne IT-User anhand spezieller Charakteristika identifizieren. Dadurch ist eine UBA-Lösung in der Lage, auffällige Verhaltensmuster zu erkennen. Solche Auffälligkeiten können auf die Aktivitäten eines Hackers zurückzuführen sein, der sich die Zugangsdaten eines Users verschafft hat.

Ein UBA-System wertet eine Vielzahl von Daten aus, um solche ungewöhnlichen Verhaltensmuster zu entdecken. Hierzu zählen neben dem Kontext, wann und von welchem Ort aus sich ein User einloggt, auch die Bildschirmauflösung und das Betriebssystem des Endgeräts.

Weitere Parameter sind unter anderem die Applikationen, die ein User regelmäßig verwendet, die genutzten Protokolle und die Geschwindigkeit bei Eingaben über die Tastatur. Mit solchen Informationen können herkömmliche IT-Sicherheits-Tools wenig anfangen. UBA-Systeme sind dank maschinellen Lernens jedoch in der Lage, daraus nutzbare Erkenntnisse zu gewinnen.

Angriffe von Insidern abwehren

Eine Analyse der Verhaltensmuster von IT-Nutzern lässt sich nicht nur dazu verwenden, Angriffe von externen Hackern abzuwehren. UBA-Systeme machen auch unzulässige Aktivitäten eigener Mitarbeitern („Insidern“) transparent.

Ein Beispiel: Wenn Beschäftigte ein Unternehmen verlassen, nehmen sie in vielen Fällen vertrauliche Geschäftsunterlagen mit, die sie auch im neuen Job verwenden können: Kundendaten, Preislisten, Strategiepapiere oder Source Code. Oft speichern Mitarbeiter solche Informationen auf einem USB-Stick.

Ist diese Aktivität im Zusammenhang mit einem Nutzerprofil als „ungewöhnlich“ klassifiziert, erfasst ein UBA-System Details, etwa wann welche Daten von welchem Systems aus auf den Stick kopiert wurden, und informiert die IT-Sicherheitsfachleute des Unternehmens. Diese können dann eine Überprüfung des Vorgangs durchführen und der Personalabteilung Beweismaterial zur Verfügung stellen.

Daniel Bagó
Daniel Bagó (Bild: BalaBit)

Letztlich lässt sich durch die Kombination von Maschinenlernen und IT-Security das Sicherheitsniveau in Unternehmen und Organisationen deutlich erhöhen, und das ohne Beeinträchtigung der Geschäftstätigkeit. So lassen sich beispielsweise kompromittierte Accounts identifizieren, während die Zahl der Fehlalarme deutlich sinkt.

* Daniel Bagó ist Product Marketing Manager bei BalaBit.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43712379 / Hacker und Insider)