UEBA und seine Rolle bei der Reaktion auf Vorfälle verstehen

von

Die Bedeutung von UEBA im Bereich der Cybersicherheit

Sicherheitsvorfälle im digitalen Raum nehmen stetig zu. User and Entity Behavior Analytics (UEBA) ist eine Technologie, die Unternehmen dabei unterstützt, diese Vorfälle zu identifizieren und angemessen darauf zu reagieren.

Früher als User Behavior Analytics (UBA) bekannt, ist UEBA eine Cybersicherheitslösung, die ausgefeilte Analysen nutzt, um das typische Verhalten von Benutzern (Menschen) und Entitäten (vernetzte Geräte und Server) in einer Organisation zu verstehen. Ziel ist es, verdächtige Aktivitäten in Echtzeit zu erkennen und darauf zu reagieren.

UEBA alarmiert Sicherheitsanalysten bei riskanten Abweichungen und verdächtigen Verhaltensweisen, die auf folgende Bedrohungen hindeuten können:

  • Seitliche Bewegungen im Netzwerk
  • Missbrauch von Konten mit erweiterten Rechten
  • Eskalation von Berechtigungen
  • Kompromittierung von Zugangsdaten
  • Interne Bedrohungen

Darüber hinaus bewertet UEBA das Bedrohungsniveau und liefert eine Risikoeinschätzung, um eine adäquate Reaktion zu ermöglichen.

Im Folgenden wird erläutert, wie UEBA funktioniert, warum Unternehmen auf UEBA umsteigen, die Hauptkomponenten von UEBA, die Rolle von UEBA bei der Reaktion auf Vorfälle und bewährte Praktiken für UEBA.

Funktionsweise der Benutzer- und Entitätsverhaltensanalyse

UEBA beginnt mit der Sammlung von Informationen über das normale Verhalten von Personen und Maschinen in einer Organisation. Diese Daten stammen aus verschiedenen Quellen wie Data Lakes, Data Warehouses oder SIEM-Systemen.

Anschließend werden diese Daten mit fortschrittlichen Analysemethoden verarbeitet, um eine Basislinie von Verhaltensmustern zu erstellen und zu definieren. Dies umfasst: Anmeldeorte der Mitarbeiter, Berechtigungsstufen, häufig verwendete Dateien und Server, Zugriffszeiten und -häufigkeit sowie verwendete Geräte.

UEBA überwacht kontinuierlich Benutzer- und Entitätsaktivitäten, vergleicht diese mit dem etablierten Standardverhalten und identifiziert Aktionen, die potenziell zu einem Angriff führen könnten.

UEBA kann zwischen normalen Benutzeraktivitäten und einem tatsächlichen Angriff unterscheiden. Selbst wenn ein Hacker die Zugangsdaten eines Mitarbeiters erlangt, kann er dessen typische Aktivitäten und Verhaltensweisen nicht vollständig imitieren.

Die drei Hauptkomponenten einer UEBA-Lösung

Datenanalyse: UEBA erfasst und organisiert Benutzer- und Entitätsdaten, um ein Standardprofil für das typische Verhalten jedes Benutzers zu erstellen. Statistische Modelle werden formuliert und angewendet, um anomale Aktivitäten zu erkennen und das Sicherheitsteam zu alarmieren.

Datenintegration: Um die Widerstandsfähigkeit des Systems zu erhöhen, vergleicht UEBA Daten aus verschiedenen Quellen, darunter Systemprotokolle, Daten zur Paketerfassung und Datensätze, die von bestehenden Sicherheitssystemen erfasst wurden.

Datenpräsentation: Dieser Prozess beinhaltet die Kommunikation der Ergebnisse des UEBA-Systems und der entsprechenden Reaktionen. In der Regel wird eine Anfrage an die Sicherheitsanalysten gesendet, um ungewöhnliches Verhalten zu untersuchen.

Die Rolle von UEBA in der Reaktion auf Sicherheitsvorfälle

User and Entity Behavior Analytics nutzt maschinelles Lernen und Deep Learning, um das übliche Verhalten von Benutzern und Maschinen in einem Unternehmen zu analysieren und zu überwachen.

Wenn eine Abweichung von diesem etablierten Muster erkannt wird, führt UEBA eine Analyse durch, um festzustellen, ob das ungewöhnliche Verhalten eine echte Bedrohung darstellt.

UEBA sammelt Daten aus verschiedenen Protokollquellen wie Datenbanken, Windows AD, VPN, Proxys, Badge-Systemen, Dateien und Endpunkten, um diese Analyse durchzuführen. Durch die Kombination dieser Daten mit dem erlernten Verhaltensmuster kann UEBA eine umfassende Risikobewertung erstellen und einen detaillierten Bericht an die Sicherheitsanalysten senden.

Ein Beispiel: UEBA kann feststellen, dass ein Mitarbeiter sich zum ersten Mal über VPN aus Afrika anmeldet. Obwohl dies ungewöhnlich ist, bedeutet es nicht zwangsläufig eine Bedrohung. Der Mitarbeiter könnte sich auf Reisen befinden. Wenn derselbe Mitarbeiter jedoch, der in der Personalabteilung tätig ist, plötzlich auf das Finanz-Subnetz zugreift, wird diese Aktivität als verdächtig eingestuft und das Sicherheitsteam wird alarmiert.

Hier ein weiteres Beispiel:

Ein Angestellter eines Krankenhauses, Harry, benötigt dringend Geld. Er wartet, bis alle das Büro verlassen haben und lädt dann um 19:00 Uhr sensible Patientendaten auf ein USB-Gerät, um diese auf dem Schwarzmarkt zu verkaufen.

Das Krankenhaus nutzt jedoch eine UEBA-Lösung, die das Verhalten aller Benutzer und Geräte im Netzwerk überwacht.

Obwohl Harry die Erlaubnis hat, auf Patientendaten zuzugreifen, erhöht das UEBA-System seinen Risikowert, sobald es eine Abweichung von seinen üblichen Arbeitszeiten (9:00 bis 17:00 Uhr) und seinen typischen Aktivitäten (Anzeigen, Erstellen und Bearbeiten von Patientenakten) feststellt.

Als Harry um 19:00 Uhr versucht, auf die Daten zuzugreifen, erkennt das System Muster- und Zeitabweichungen und weist ihm eine Risikobewertung zu.

Das UEBA-System kann so konfiguriert werden, dass es entweder nur eine Warnung an das Sicherheitsteam sendet, um eine weitere Untersuchung einzuleiten, oder dass es sofort Maßnahmen ergreift, z.B. die Netzwerkverbindung für diesen Mitarbeiter automatisch aufgrund eines potenziellen Cyberangriffs trennt.

Ist eine UEBA-Lösung notwendig?

Eine UEBA-Lösung ist für Unternehmen unerlässlich, da Cyberangriffe immer ausgefeilter werden und schwerer zu erkennen sind. Dies gilt besonders für Bedrohungen, die von innen kommen.

Laut aktuellen Cybersicherheitsstatistiken sind mehr als 34% der Unternehmen weltweit von internen Bedrohungen betroffen. Zudem geben 85% der Unternehmen an, dass es schwierig ist, die tatsächlichen Kosten eines Insider-Angriffs zu quantifizieren.

Daher setzen Sicherheitsteams zunehmend auf modernere Erkennungs- und Incident-Response-Strategien (IR). Um ihre Sicherheitssysteme zu stärken, integrieren sie Technologien wie User and Entity Behavior Analytics (UEBA) in bestehende SIEM-Systeme und andere Legacy-Präventionsmethoden.

UEBA bietet im Vergleich zu anderen herkömmlichen Sicherheitslösungen ein effektiveres System zur Erkennung interner Bedrohungen. Es überwacht nicht nur anomales menschliches Verhalten, sondern auch verdächtige seitliche Bewegungen und Aktivitäten in Cloud-Diensten, Mobilgeräten und IoT-Geräten.

Ein hochentwickeltes UEBA-System sammelt Daten aus verschiedenen Protokollquellen und erstellt detaillierte Berichte für das Sicherheitsteam. Dies spart dem Sicherheitsteam die Zeit, unzählige Protokolle manuell zu durchsuchen, um die Auswirkungen eines Angriffs zu ermitteln.

Hier einige Anwendungsbeispiele für UEBA:

Top 6 Anwendungsfälle für UEBA

#1. UEBA erkennt den Missbrauch von Insiderrechten, wenn Benutzer riskante Aktivitäten außerhalb des normalen Verhaltens zeigen.

#2. UEBA aggregiert verdächtige Informationen aus verschiedenen Quellen, um eine Risikobewertung zu erstellen.

#3. UEBA reduziert Fehlalarme und priorisiert Sicherheitsvorfälle, um eine Ermüdung der Sicherheitsteams zu vermeiden und ihnen zu ermöglichen, sich auf hochriskante Alarme zu konzentrieren.

#4. UEBA verhindert Datenverlust und Datenexfiltration, indem es Warnungen ausgibt, wenn vertrauliche Daten innerhalb oder außerhalb des Netzwerks verschoben werden.

#5. UEBA hilft, laterale Bewegungen von Hackern zu erkennen, die möglicherweise Anmeldedaten von Mitarbeitern gestohlen haben.

#6. UEBA bietet automatisierte Reaktionsmechanismen, die es Sicherheitsteams ermöglichen, in Echtzeit auf Sicherheitsvorfälle zu reagieren.

Wie UEBA UBA und Legacy-Sicherheitssysteme wie SIEM verbessert

UEBA ersetzt keine anderen Sicherheitssysteme, sondern stellt eine signifikante Verbesserung dar, die in Kombination mit anderen Lösungen eine effektivere Cybersicherheit ermöglicht. UEBA unterscheidet sich von der Benutzerverhaltensanalyse (UBA) durch die Einbeziehung von „Entitäten“ und „Ereignissen“ wie Servern, Routern und Endpunkten.

Eine UEBA-Lösung ist umfassender als UBA, da sie nicht-menschliche Prozesse und Maschineneinheiten überwacht, um Bedrohungen genauer zu identifizieren.

SIEM (Security Information and Event Management) ist ein herkömmliches Sicherheitssystem. Ältere SIEM-Systeme sind oft nicht in der Lage, ausgefeilte Bedrohungen selbstständig zu erkennen, da sie nicht für die Echtzeitüberwachung ausgelegt sind. Hacker vermeiden oft einmalige Angriffe und setzen stattdessen auf eine Kette von raffinierten Angriffen, die von herkömmlichen Bedrohungserkennungstools wie SIEM wochen- oder sogar monatelang unentdeckt bleiben können.

Eine hochentwickelte UEBA-Lösung adressiert diese Einschränkung. UEBA-Systeme analysieren Daten, die von SIEM-Systemen gespeichert werden und arbeiten zusammen, um Bedrohungen in Echtzeit zu überwachen. So wird eine schnelle Reaktion auf Sicherheitsvorfälle möglich.

Durch die Kombination von UEBA- und SIEM-Tools können Unternehmen Bedrohungen deutlich effektiver erkennen, analysieren, Schwachstellen schnell beheben und Angriffe abwehren.

Bewährte Praktiken für die Analyse des Benutzer- und Entitätsverhaltens

Hier sind fünf bewährte Praktiken für die Analyse des Benutzerverhaltens, die Ihnen helfen, eine solide Basislinie für das Benutzerverhalten zu erstellen:

#1. Anwendungsfälle definieren: Legen Sie fest, welche Anwendungsfälle Ihre UEBA-Lösung identifizieren soll. Dies kann die Erkennung von Missbrauch von privilegierten Konten, kompromittierten Anmeldedaten oder internen Bedrohungen sein. Durch die Definition von Anwendungsfällen können Sie entscheiden, welche Daten überwacht werden müssen.

#2. Datenquellen bestimmen: Je mehr Datentypen Ihre UEBA-Systeme verarbeiten können, desto genauer wird die Basislinie. Einige Datenquellen sind Systemprotokolle oder Personaldaten wie Leistungsbeurteilungen der Mitarbeiter.

#3. Verhaltensweisen basierend auf den gesammelten Daten definieren: Dazu gehören die Arbeitszeiten der Mitarbeiter, verwendete Anwendungen und Geräte sowie der Tipprhythmus. Diese Daten helfen, potenzielle Gründe für Fehlalarme zu verstehen.

#4. Eine Zeitspanne für die Erstellung der Basislinie festlegen: Bei der Festlegung der Dauer Ihrer Basislinienperiode müssen die Sicherheitsziele Ihres Unternehmens und die Aktivitäten der Benutzer berücksichtigt werden.

Die Basislinienperiode sollte weder zu kurz noch zu lang sein. Wenn die Dauer zu kurz ist, werden möglicherweise nicht alle relevanten Informationen erfasst, was zu einer hohen Rate falsch positiver Ergebnisse führt. Eine zu lange Erfassungsdauer kann dazu führen, dass bösartige Aktivitäten als normal eingestuft werden.

#5. Aktualisieren Sie Ihre Basisdaten regelmäßig: Da sich das Verhalten von Benutzern und Entitäten ständig ändert, müssen Sie Ihre Basisdaten möglicherweise regelmäßig neu erstellen. Mitarbeiter können befördert werden und ihre Aufgaben, Projekte, Privilegien und Aktivitäten ändern. UEBA-Systeme können so konfiguriert werden, dass sie Daten automatisch erfassen und die Basisdaten anpassen, wenn Änderungen auftreten.

Fazit

In einer zunehmend technologieabhängigen Welt werden Cybersicherheitsbedrohungen immer komplexer. Große Unternehmen müssen ihre Systeme, die sensible Daten ihrer Kunden und ihre eigenen Daten enthalten, schützen, um großflächige Sicherheitsverletzungen zu vermeiden. UEBA bietet ein Echtzeit-System zur Reaktion auf Vorfälle, das Angriffe verhindern kann.

Weitere Artikel:

  1. Was ist es und seine Rolle in der Cloud-Sicherheit?
  2. Die 9 besten Tools zur Reaktion auf Sicherheitsvorfälle für kleine bis große Unternehmen
  3. Die Rolle von Datenstrukturen bei der Entwicklung von Software
  4. So verwenden Sie den Linux-Befehl top (und verstehen Sie seine Ausgabe)