User and Entity Behavior Analytics als Rettung, wenn der Angreifer schon im System ist

Autor
Lukas Loder
Veröffentlicht
09. Oktober 2018

Cyberkriminelle sind wahre Super-Brains und uns (leider) oftmals voraus. Der rasante Anstieg von Cyberattacken ist der beste Beweis dafür. Ihre Vorgehensweisen werden immer fortschrittlicher. Inzwischen verwenden sie auch häufig gültige Zugangsdaten, um an vertrauliche Daten zu gelangen. Bestehende Sicherheitslösungen am Perimeter können einem solchen Angriff immer weniger standhalten. Aber was hilft? Weiterentwickelte Lösungen zur Analyse von Verhaltensmustern, um Anomalien zu erkennen, sind der nächste Schritt im Bereich der IT Security – Stichwort User and Entity Behavior Analytics (UEBA). Dank UEBA können Angreifer selbst dann noch erkannt werden, wenn Angreifer schon im System drin sind. Klingt gut? Dann lesen Sie weiter! Wir sagen Ihnen, wie diese Technologie funktioniert und wie Sie UEBA selber nutzen können.

 

Für eine erfolgreiche Zusammenarbeit sind interne und externe Schnittstellen essenziell, ebenso wie die permanente Einführung neuer Systeme und Applikationen. Was die beiden Themen in punkto Cyber Security gemeinsam haben? Beide führen zu neuen Angriffsvektoren und stellen somit unweigerlich ein grösseres Risiko dar. Je grösser das Unternehmen, desto grösser ist der Mix aus Personen, Prozessen und Technologien. Dies kann eine echte Herausforderung darstellen, die es zu bewältigen gilt.

Cyber Security wird zur Staatsaufgabe

Das Thema ist inzwischen derart kritisch, dass auch auf staatlicher Ebene stärker durchgegriffen wird. Seit Mai 2018 ist die Europäische Datenschutz-Grundschutzverordnung (GDPR) in Kraft, welche regulatorische Vorgaben zur Reduzierung genau solcher Angriffsflächen gibt. Für eine optimale Umsetzung der GDPR-Grundlagen gilt es, diverse Bereiche der Sicherheit zu spezifizieren und sicherzustellen. Dazu gehören:

  • Access
  • Assurance
  • Detection
  • Response

 

Zur Reduktion der Angriffsfläche im Bereich von Access müssen Sie als Unternehmen zwingend wissen, welche Daten wo und wie geschützt werden müssen. So soll bereits auf Netzwerkebene sichergestellt werden, dass Personen nur eingeschränkten Zugriff auf Daten haben («Need-to-know-Prinzip»).

Im Bereich der Assurance gilt es sicherzustellen, dass die Daten im Netzwerk verschlüsselt unterwegs sind und nicht abgegriffen werden können. Diese Anforderungen sind oftmals in Firmen bereits durch bestehende Lösungen sichergestellt. Wo möglich ist zudem das Netzwerk segmentiert und der Zugriff auf kritische Ressourcen entsprechend geregelt.

Die Schwierigkeiten hingegen zeigen sich im Bereich der Detection. Immer mehr Angriffe werden mit gültigen Logindaten durchgeführt – ganz gleich, ob ein Benutzer in seinem Mail einen unsicheren Anhang öffnet oder ob ein interner Mitarbeiter böswillig handelt. In beiden Fällen werden gültige Credentials verwendet, um auf die Daten zuzugreifen.

User and Entity Behavior Analytics – Wo klassische Lösungen versagen

Die Lösung lautet in diesem Fall User and Entity Behavior Analytics – kurz UEBA. Mit einem solchen System wird das Verhalten jeder Entität und jedes Benutzers analysiert. Dabei werden Machine Learning Algorithmen verwendet, um Verhaltensmuster für jede Komponente zu erstellen. Einerseits werden dazu historische Daten eingesetzt, andererseits wird das eigene Verhalten mit dem Verhalten von anderen Entitäten in derselben Gruppe verglichen. Abweichungen gegenüber dem Standardverhalten gelten als Indiz für einen Vorfall und können entsprechend detektiert werden.

Wie Sie sich User and Entity Behavior Analytics zunutze machen können

Kennen Sie schon IntroSpect? Mit IntroSpect hat Aruba eine Lösung geschaffen, welche alle Benutzer und Entitäten im Netzwerk überwacht und ein darauf basierend Verhaltensmuster erstellt. Selbst kleinste Abweichungen zum normalen Verhalten können ein Risiko darstellen und werden daher mit einem Risikolevel bewertet. Das Risikolevel jeder Entität wird dabei neben Datenpaketen auch mit Logs von Security Appliances, Active Directory und weiteren sicherheitsrelevanten Logs angereichert und beurteilt. Eine so breite Basis an Daten zur Beurteilung eines Verhaltens ist auf dem Markt einzigartig. Dadurch hebt sich IntroSpect auch gegenüber bestehenden NTA- und UEBA-Lösungen ab.

Aruba IntroSpect setzt neue Standards

Durch eine solche Vorgehensweise können Angreifer erkannt werden, nachdem sie bereits in die interne Infrastruktur eingedrungen sind. Denn ein interner Angreifer fällt durch sein abnormales Verhalten auf und kann durch UEBA aufgedeckt werden – sei dies durch erstmaliges Login in ein System, verschiedene Scans oder auch übermässigen Datentransfer. Durch die erstellten Baselines pro Entität fallen solche Abweichungen auf und wirken sich auf das Risikolevel aus.

Aruba IntroSpect UEBA hilft zudem bei der Response auf einen Vorfall. So kann man pro Entität nachvollziehen, welche Aktivitäten durchgeführt wurden. Die Informationen und das Verhalten können systemübergreifend an einem zentralen Ort analysiert werden. Dies vereinfacht eine Analyse des Vorfalls deutlich, da nicht unterschiedliche Informationen aus den Systemen zusammengeführt werden müssen.

Im Speziellen unterstützt Aruba IntroSpect bei der Response mit der Interaktion zu Aruba ClearPass. Bei einem Vorfall kann eine entsprechende Entität direkt aus IntroSpect im ClearPass in Quarantäne gesetzt oder eine Neuanmeldung erzwungen werden. Durch diese schnelle und automatisierte Reaktion auf einen Vorfall können grössere Schäden und Verbreitungen proaktiv verhindert werden. Zu einer solchen Response Action wird der Security Analyst durch jeweilige Playbooks geleitet, bei der ihm die nötigen Daten gezeigt und die relevanten Fragen gestellt werden. Durch die Interaktion entwickeln sich die über 100 AI-Algorithmen weiter, wodurch die Qualität der Alarme stetig steigt.

UEBA ist Zukunft

Die Verteidigung gegen fortgeschrittene Cyberattacken wird zunehmend wichtiger. Die besten Präventions-Massnahmen bringen nichts, wenn Anomalien nicht erkannt und rechtzeitig abgewehrt werden.

Glücklicherweise gibt es heutzutage Lösungen wie eben Aruba IntroSpect, die UEBA einsetzen. Wir als Cyber Security-Experten empfehlen ganz klar diese neue Technologie. Downloaden Sie jetzt das Whitepaper von Aruba und erfahren Sie mehr darüber.

 

Aruba CISO Guide  UEBA

 

Wenn Sie wissen möchten, wie IntroSpect auch Ihre Cyber Defence erhöhen kann, kontaktieren Sie uns. Ich und meine Kollegen beraten Sie gerne!

Artikel teilen