{"id":16605,"date":"2020-07-15T11:21:00","date_gmt":"2020-07-15T09:21:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=16605"},"modified":"2020-07-16T10:21:31","modified_gmt":"2020-07-16T08:21:31","slug":"ueba-smarter-ansatz-fuer-bessere-it-sicherheit","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=16605","title":{"rendered":"UEBA \u2013 smarter Ansatz f\u00fcr bessere IT-Sicherheit"},"content":{"rendered":"\n<p>Autorin\/Redakteur: <a href=\"https:\/\/www.matrix42.com\/de\/\">Daniel D\u00f6ring, Technical Director Security and Strategic Alliances bei Matrix42<\/a>\/gg<\/p>\n\n\n\n<p>Zum Verhindern von Cyber-Angriffen verwenden viele Unternehmen White- und Blacklists. Diese helfen oftmals beim konsequenten Schutz der Systeme. Leider bringt die F\u00fchrung dieser Listen aber einen sehr gro\u00dfen Aufwand f\u00fcr die IT-Abteilungen mit sich. Au\u00dferdem schr\u00e4nken sie den Betrieb stark ein. Deswegen ist es empfehlenswerter, auf User and Entity Behavior Analytics (UEBA) zu setzen.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"683\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/07\/20200309_Pic_Blog_Post_UEBA-1024x683.jpg\" alt=\"\" class=\"wp-image-16606\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/07\/20200309_Pic_Blog_Post_UEBA-1024x683.jpg 1024w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/07\/20200309_Pic_Blog_Post_UEBA-300x200.jpg 300w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/07\/20200309_Pic_Blog_Post_UEBA-768x512.jpg 768w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/07\/20200309_Pic_Blog_Post_UEBA.jpg 1200w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption>Grafik: Matrix42<\/figcaption><\/figure>\n\n\n\n<!--more-->\n\n\n\n<p>Endpoint Security ist die zentrale Herausforderung f\u00fcr IT-Verantwortliche im Hinblick auf alle Formen von Cybercrime, denn 70 Prozent aller Angriffe erfolgen \u00fcber Endger\u00e4te. Die Problematik versch\u00e4rft sich, nachdem die Zahl der Attacken stetig steigt. Angesichts dessen bedarf es umfassenden Schutzes, f\u00fcr die meist eine Reihe von Schritten und Komponenten \u2013 etwa VPN-Zug\u00e4nge, URL-Filter oder Vulnerability Shields \u2013 n\u00f6tig sind. F\u00fcr ausgereifte Sicherheitsstandards im professionellen Anwenderumfeld wird dar\u00fcber hinaus h\u00e4ufig auf Verfahren anhand von Positiv- und Negativlisten gesetzt. Die beiden Ans\u00e4tze, die h\u00e4ufig in einem Atemzug genannt werden, verfolgen jeweils gegens\u00e4tzliche Strategien und kommen so in unterschiedlichsten Bereichen zum Einsatz. W\u00e4hrend sich in der Whitelist vertrauensw\u00fcrdige Eintr\u00e4ge befinden, aufgrund derer ein Zugang erlaubt wird, geht die Schwarze-Listen-Strategie umgekehrt heran: Lediglich als kritisch bewertete Software und Daten sind verboten. Ob schwarz oder wei\u00df \u2013 einige mit beiden Methoden verbundene Probleme liegen auf der Hand: Dabei ist in erster Linie an den hohen Administrationsaufwand zu denken, denn das System muss manuell eingestellt und permanent feingetunt werden. Sonst laufen Unternehmen Gefahr, zu lax auf Angreifer zu reagieren. Wenn umgekehrt Zug\u00e4nge zu engmaschig geblockt werden, resultiert daraus eine verminderte Betriebsf\u00e4higkeit.<\/p>\n\n\n\n<p><strong>UEBA: Automatisierung statt manueller Ma\u00dfnahmen<\/strong><\/p>\n\n\n\n<p>Um das Dreigestirn aus maximaler Sicherheit, einem niedrigen Administrationsaufwand und einem bestm\u00f6glichen Betriebslevel zu erm\u00f6glichen, brauchen IT-Entscheider neue, smarte L\u00f6sungen. Am besten bringen sich Algorithmen per Machine Learning selbst bei, zwischen Gut und B\u00f6se zu unterscheiden. Denn daraus resultiert nicht nur ein sinkender manueller Aufwand. Ebenso wird das Sicherheitsniveau noch einmal bedeutend erh\u00f6ht. Im Vordergrund steht dabei heute User and Entity Behavior Analytics (UEBA), die etwaige Sicherheitsvorf\u00e4lle mithilfe intelligenter Analysen \u00e4u\u00dferst schnell erkennen. Muster lassen sich automatisiert bewerten und es erfolgt ein direkter Abgleich im Hinblick auf m\u00f6gliche Anomalien. So setzt UEBA das Nutzerverhalten in Verbindung mit verschiedenen Faktoren. Dazu geh\u00f6ren beispielsweise IP-Adressen, Standorte oder Ger\u00e4te. Aussagen \u00fcber m\u00f6gliche Sicherheitsvorf\u00e4lle k\u00f6nnen erheblich schneller und differenzierter getroffen werden \u2013 ohne dass der User davon etwas merkt oder in seiner Produktivit\u00e4t gehemmt ist. Er ist gesch\u00fctzt und kann dennoch auf gewohnte Weise weiterarbeiten. Die Grundlage daf\u00fcr sind schnelle Datenanalysen, die vollst\u00e4ndig im Hintergrund ablaufen, und eine automatisierte Gefahrenerkennung.<\/p>\n\n\n\n<p>Der Kern der L\u00f6sung: UEBA unterst\u00fctzt effizient dabei, ungew\u00f6hnliche Prozesse aufzudecken \u2013 und das, ohne komplizierte vordefinierte Konfigurationsregeln. Somit l\u00e4sst sich auch der Verwaltungsaufwand deutlich reduzieren. Nach M\u00f6glichkeit sollten dabei IT-Security-Prozesse und -Anwendungen integral verbunden werden. Um das Verhalten von Nutzeraktivit\u00e4ten zu bemessen, braucht es etwa Data Monitoring Tools oder Anomaly-Detection-L\u00f6sungen, die Daten auswerten, sie mit Statistiken abgleichen und so ein abweichendes Verhalten identifizieren.<\/p>\n\n\n\n<p>M\u00f6glich sind im Zusammenhang mit UEBA sowohl Szenario- als auch verhaltensbasierte Analysen. Im Idealfall werden beide verbunden. Der Vorteil szenariobasierter Analysen: Mit ihrer Hilfe lassen sich bekannte Bedrohungen in Echtzeit erkennen. Bei verhaltensbasierten Analysen hingegen erfolgt eine Reaktion auf Anomalien im Nutzerverhalten manuell. Da in der Kombination beider Verfahren s\u00e4mtliche Daten zusammengef\u00fchrt werden, erh\u00f6ht sich deren Aussagekraft.<\/p>\n\n\n\n<!--nextpage-->\n\n\n\n<p><strong>Ad-hoc-Reaktion auf Anomalien<\/strong><\/p>\n\n\n\n<p>Ein Hauptvorteil in Verbindung mit UEBA liegt in der hohen Breitenwirkung. Denn in die Mustererkennung lassen sich alle denkbaren Varianten von Angriffen einbeziehen. Dazu geh\u00f6ren neben Malware-Attacken von au\u00dfen, die das Ziel verfolgen, Daten zu entwenden oder Systeme lahmzulegen, auch interne Bedrohungen. H\u00e4ufig sind es schlie\u00dflich die eigenen Mitarbeiter, die Sicherheitsl\u00fccken \u00f6ffnen. Meist passiert das versehentlich, mitunter gehen Bedrohungen jedoch auch aktiv von Akteuren aus dem Unternehmen aus. Zu denken ist an aktuelle oder ehemalige Mitarbeiter, Dienstleister oder Partner. Manche von ihnen haben weitreichende Zugriffe auf interne Systeme und sind so beispielsweise in der Lage, sensible Dokumente zu entwenden. Eine automatisierte Endpoint Protection ist wesentlich schneller in der Lage, solche Aktivit\u00e4ten zu erkennen und in Echtzeit einen Riegel vorzuschieben.<\/p>\n\n\n\n<p>Selbst Zero-Day-Exploits lassen sich mithilfe von UEBA deutlich effektiver abwenden. Denn durch fehleranf\u00e4llige Codes ausgel\u00f6ste und binnen k\u00fcrzester Zeit erfolgende Angriffe werden mitunter erst zu sp\u00e4t erkannt. Dem steuert UEBA entgegen. Es wird ad hoc deutlich, wenn eine ungew\u00f6hnliche Zahl oder Art an Zugriffen erfolgt. Somit sind Manipulationen schneller registrierbar. Auf die Alerts k\u00f6nnen Entwickler z\u00fcgige Patches oder Updates folgen lassen. Diese schlie\u00dfen Sicherheitsl\u00fccken in vielen F\u00e4llen, bevor der Schaden gro\u00df wird.&nbsp;In vielen F\u00e4llen funktioniert das sogar vollst\u00e4ndig automatisiert und s\u00e4mtliche Prozesse laufen im Hintergrund ab. Die Software f\u00fchrt bei einem Sicherheitsvorfalll ohne manuelles Zutun weitere Aktionen aus oder informiert andere Anwendungen \u00fcber den Non-Compliant-Status. In allen anderen F\u00e4llen gilt: Sind Workflows f\u00fcr den Ereignisfall bereits festgelegt, so ist es f\u00fcr IT-Mitarbeiter meist ein Leichtes, z\u00fcgig nach Plan zu reagieren und Bedrohungen effektiv abzuwenden.<\/p>\n\n\n\n<p><strong>In aller K\u00fcrze<\/strong><\/p>\n\n\n\n<p>UEBA sorgen f\u00fcr smarte IT Security ohne unangenehme Zusatzger\u00e4usche. Damit ist ein H\u00f6chstma\u00df an Sicherheit zu gew\u00e4hrleisten \u2013 in Verbindung mit einem st\u00f6rungsfrei weiterlaufenden Betrieb. Administratoren k\u00f6nnen ihr manuelles Eingreifen erheblich reduzieren und sich auf wichtige Aufgaben konzentrieren. Dabei ist ein anderer, positiver Nebeneffekt zu verzeichnen: Die IT Security kommt weg von ihrem Ruf, ein \u201enotwendiges \u00dcbel\u201c zu sein. Sie agiert intelligent im Hintergrund und verschafft Usern den notwendigen Schutz, ohne dass diese unter Restriktionen zu leiden h\u00e4tten.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Um Cyberangriffe zu unterbinden, setzen Unternehmen oft auf Whitelist- und Blacklist-Verfahren. Damit gelingt es in vielen F\u00e4llen, Systeme konsequent zu sch\u00fctzen. Jedoch ist der Preis hoch: Denn zum einen bedeutet die Listenf\u00fchrung einen immensen Aufwand f\u00fcr die IT-Abteilung, zum anderen ist der operative Betrieb eingeschr\u00e4nkt. Besser funktioniert ein intelligenter Ansatz mit User and Entity Behavior Analytics (UEBA).<\/p>\n","protected":false},"author":3,"featured_media":16606,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[2064,2206,5938,4648,9716,5880],"class_list":["post-16605","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-analyse","tag-automatisierung","tag-blacklist","tag-matrix42","tag-ueba","tag-whitelist"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/16605","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=16605"}],"version-history":[{"count":3,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/16605\/revisions"}],"predecessor-version":[{"id":16811,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/16605\/revisions\/16811"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/16606"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=16605"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=16605"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=16605"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}