UEBA – smarter Ansatz für bessere IT-Sicherheit
Autorin/Redakteur: Daniel Döring, Technical Director Security and Strategic Alliances bei Matrix42/gg
Zum Verhindern von Cyber-Angriffen verwenden viele Unternehmen White- und Blacklists. Diese helfen oftmals beim konsequenten Schutz der Systeme. Leider bringt die Führung dieser Listen aber einen sehr großen Aufwand für die IT-Abteilungen mit sich. Außerdem schränken sie den Betrieb stark ein. Deswegen ist es empfehlenswerter, auf User and Entity Behavior Analytics (UEBA) zu setzen.
Endpoint Security ist die zentrale Herausforderung für IT-Verantwortliche im Hinblick auf alle Formen von Cybercrime, denn 70 Prozent aller Angriffe erfolgen über Endgeräte. Die Problematik verschärft sich, nachdem die Zahl der Attacken stetig steigt. Angesichts dessen bedarf es umfassenden Schutzes, für die meist eine Reihe von Schritten und Komponenten – etwa VPN-Zugänge, URL-Filter oder Vulnerability Shields – nötig sind. Für ausgereifte Sicherheitsstandards im professionellen Anwenderumfeld wird darüber hinaus häufig auf Verfahren anhand von Positiv- und Negativlisten gesetzt. Die beiden Ansätze, die häufig in einem Atemzug genannt werden, verfolgen jeweils gegensätzliche Strategien und kommen so in unterschiedlichsten Bereichen zum Einsatz. Während sich in der Whitelist vertrauenswürdige Einträge befinden, aufgrund derer ein Zugang erlaubt wird, geht die Schwarze-Listen-Strategie umgekehrt heran: Lediglich als kritisch bewertete Software und Daten sind verboten. Ob schwarz oder weiß – einige mit beiden Methoden verbundene Probleme liegen auf der Hand: Dabei ist in erster Linie an den hohen Administrationsaufwand zu denken, denn das System muss manuell eingestellt und permanent feingetunt werden. Sonst laufen Unternehmen Gefahr, zu lax auf Angreifer zu reagieren. Wenn umgekehrt Zugänge zu engmaschig geblockt werden, resultiert daraus eine verminderte Betriebsfähigkeit.
UEBA: Automatisierung statt manueller Maßnahmen
Um das Dreigestirn aus maximaler Sicherheit, einem niedrigen Administrationsaufwand und einem bestmöglichen Betriebslevel zu ermöglichen, brauchen IT-Entscheider neue, smarte Lösungen. Am besten bringen sich Algorithmen per Machine Learning selbst bei, zwischen Gut und Böse zu unterscheiden. Denn daraus resultiert nicht nur ein sinkender manueller Aufwand. Ebenso wird das Sicherheitsniveau noch einmal bedeutend erhöht. Im Vordergrund steht dabei heute User and Entity Behavior Analytics (UEBA), die etwaige Sicherheitsvorfälle mithilfe intelligenter Analysen äußerst schnell erkennen. Muster lassen sich automatisiert bewerten und es erfolgt ein direkter Abgleich im Hinblick auf mögliche Anomalien. So setzt UEBA das Nutzerverhalten in Verbindung mit verschiedenen Faktoren. Dazu gehören beispielsweise IP-Adressen, Standorte oder Geräte. Aussagen über mögliche Sicherheitsvorfälle können erheblich schneller und differenzierter getroffen werden – ohne dass der User davon etwas merkt oder in seiner Produktivität gehemmt ist. Er ist geschützt und kann dennoch auf gewohnte Weise weiterarbeiten. Die Grundlage dafür sind schnelle Datenanalysen, die vollständig im Hintergrund ablaufen, und eine automatisierte Gefahrenerkennung.
Der Kern der Lösung: UEBA unterstützt effizient dabei, ungewöhnliche Prozesse aufzudecken – und das, ohne komplizierte vordefinierte Konfigurationsregeln. Somit lässt sich auch der Verwaltungsaufwand deutlich reduzieren. Nach Möglichkeit sollten dabei IT-Security-Prozesse und -Anwendungen integral verbunden werden. Um das Verhalten von Nutzeraktivitäten zu bemessen, braucht es etwa Data Monitoring Tools oder Anomaly-Detection-Lösungen, die Daten auswerten, sie mit Statistiken abgleichen und so ein abweichendes Verhalten identifizieren.
Möglich sind im Zusammenhang mit UEBA sowohl Szenario- als auch verhaltensbasierte Analysen. Im Idealfall werden beide verbunden. Der Vorteil szenariobasierter Analysen: Mit ihrer Hilfe lassen sich bekannte Bedrohungen in Echtzeit erkennen. Bei verhaltensbasierten Analysen hingegen erfolgt eine Reaktion auf Anomalien im Nutzerverhalten manuell. Da in der Kombination beider Verfahren sämtliche Daten zusammengeführt werden, erhöht sich deren Aussagekraft.
