Sicherheitsverletzungen werden in der digitalen Welt immer häufiger. UEBA hilft Organisationen, diese Vorfälle zu erkennen und darauf zu reagieren.
User and Entity Behavior Analytics (UEBA) war früher als User Behavior Analytics (UBA) bekannt. Es handelt sich um eine Cybersicherheitslösung, die Analysen verwendet, um zu verstehen, wie sich Benutzer (Menschen) und Entitäten (vernetzte Geräte und Server) in einer Organisation typischerweise verhalten, um anomale Aktivitäten in Echtzeit zu erkennen und darauf zu reagieren.
UEBA kann Sicherheitsanalysten bei riskanten Variationen und verdächtigem Verhalten identifizieren und warnen, die auf Folgendes hindeuten könnten:
- Seitliche Bewegung
- Missbrauch von privilegierten Konten
- Privilegieneskalation
- Anmeldeinformationen kompromittieren oder
- Insider-Bedrohungen
UEBA bewertet außerdem die Bedrohungsstufe weiter und stellt eine Risikobewertung bereit, die dabei helfen kann, eine angemessene Reaktion festzulegen.
Lesen Sie weiter, um zu erfahren, wie UEBA funktioniert, warum Organisationen zu UEBA wechseln, die Hauptkomponenten von UEBA, die Rolle von UEBA bei der Reaktion auf Vorfälle und Best Practices für UEBA.
Inhaltsverzeichnis
Wie funktioniert die Benutzer- und Entitätsverhaltensanalyse?
Benutzer- und Entitätsverhaltensanalysen sammeln zunächst Informationen über das erwartete Verhalten der Personen und Maschinen in Ihrer Organisation aus Datenrepositorys wie einem Data Lake, einem Data Warehouse oder über SIEM.
UEBA verwendet dann fortschrittliche Analyseansätze, um diese Informationen zu verarbeiten, um eine Grundlinie von Verhaltensmustern zu bestimmen und weiter zu definieren: wo sich ein Mitarbeiter anmeldet, seine Berechtigungsstufe, Dateien, Server, auf die er häufig zugreift, Zeit und Häufigkeit des Zugriffs und Geräte, die er verwendet Zugang.
UEBA überwacht dann kontinuierlich die Aktivitäten von Benutzern und Entitäten, vergleicht sie mit dem Ausgangsverhalten und entscheidet, welche Aktionen zu einem Angriff führen könnten.
UEBA kann erkennen, wann ein Benutzer seinen normalen Aktivitäten nachgeht und wann ein Angriff stattfindet. Obwohl ein Hacker möglicherweise auf die Anmeldedaten eines Mitarbeiters zugreifen kann, ist er nicht in der Lage, seine regelmäßigen Aktivitäten und Verhaltensweisen nachzuahmen.
Eine UEBA-Lösung besteht aus drei Hauptkomponenten:
Datenanalyse: UEBA sammelt und organisiert Daten von Benutzern und Unternehmen, um ein Standardprofil darüber zu erstellen, wie sich jeder Benutzer typischerweise verhält. Anschließend werden statistische Modelle formuliert und angewendet, um anomale Aktivitäten zu erkennen und das Sicherheitsteam zu alarmieren.
Datenintegration: Um das System widerstandsfähiger zu machen, vergleicht UEBA Daten aus verschiedenen Quellen – wie Systemprotokolle, Paketerfassungsdaten und andere Datensätze – mit Daten, die von bestehenden Sicherheitssystemen gesammelt wurden.
Datenpräsentation: Prozess, durch den das UEBA-System seine Ergebnisse und die entsprechende Reaktion kommuniziert. Dieser Prozess beinhaltet in der Regel das Ausstellen einer Anfrage an die Sicherheitsanalysten, um ungewöhnliches Verhalten zu untersuchen.
Die Rolle der UEBA bei der Reaktion auf Vorfälle
Benutzer- und Entitätsverhaltensanalysen verwenden maschinelles Lernen und Deep Learning, um das übliche Verhalten von Menschen und Maschinen in Ihrem Unternehmen zu überwachen und zu analysieren.
Wenn es eine Abweichung vom regulären Muster gibt, erkennt das UEBA-System dies und führt eine Analyse durch, die bestimmt, ob das ungewöhnliche Verhalten eine echte Bedrohung darstellt oder nicht.
UEBA erfasst Daten aus verschiedenen Protokollquellen wie Datenbank, Windows AD, VPN, Proxy, Badge, Dateien und Endpunkten, um diese Analyse durchzuführen. Mithilfe dieser Eingaben und des erlernten Verhaltens kann UEBA die Informationen verschmelzen, um eine endgültige Bewertung für die Risikoeinstufung zu erstellen und einen detaillierten Bericht an die Sicherheitsanalysten zu senden.
Beispielsweise kann die UEBA einen Mitarbeiter sehen, der zum ersten Mal über VPN aus Afrika kommt. Nur weil das Verhalten des Mitarbeiters anormal ist, bedeutet das nicht, dass es eine Bedrohung ist; der Benutzer kann einfach unterwegs sein. Wenn jedoch derselbe Mitarbeiter in der Personalabteilung plötzlich auf das Subnetz Finanzen zugreift, erkennt UEBA die Aktivitäten des Mitarbeiters als verdächtig und alarmiert das Sicherheitsteam.
Hier ist ein weiteres zuordenbares Szenario.
Harry, ein Angestellter des Mount Sinai Hospital in New York, braucht dringend Geld. An diesem besonderen Tag wartet Harry darauf, dass alle das Büro verlassen, und lädt dann um 19:00 Uhr sensible Patientendaten auf ein USB-Gerät herunter. Er beabsichtigt, die gestohlenen Daten für einen hohen Dollar auf dem Schwarzmarkt zu verkaufen.
Glücklicherweise verwendet das Mount Sinai Hospital eine UEBA-Lösung, die das Verhalten aller Benutzer und Einheiten innerhalb des Krankenhausnetzwerks überwacht.
Obwohl Harry die Erlaubnis hat, auf Patientendaten zuzugreifen, erhöht das UEBA-System seinen Risikowert, wenn es eine Abweichung von seinen üblichen Aktivitäten feststellt, die normalerweise das Anzeigen, Erstellen und Bearbeiten von Patientenakten zwischen 9:00 und 17:00 Uhr umfassen.
Als Harry um 19:00 Uhr versucht, auf die Informationen zuzugreifen, identifiziert das System Muster- und Zeitunregelmäßigkeiten und weist ihm eine Risikobewertung zu.
Sie können Ihr UEBA-System so einrichten, dass es einfach eine Warnung für das Sicherheitsteam erstellt, um weitere Untersuchungen vorzuschlagen, oder Sie können es so einrichten, dass es sofort Maßnahmen ergreift, z. B. das automatische Abschalten der Netzwerkverbindung für diesen Mitarbeiter aufgrund des vermuteten Cyberangriffs.
Benötige ich eine UEBA-Lösung?
Eine UEBA-Lösung ist für Unternehmen unerlässlich, da Hacker immer raffiniertere Angriffe ausführen, die immer schwieriger zu erkennen sind. Dies gilt insbesondere in Fällen, in denen die Bedrohung von innen kommt.
Laut aktuellen Cybersicherheitsstatistiken mehr als 34% der Unternehmen sind weltweit von Insider-Bedrohungen betroffen. Außerdem geben 85 % der Unternehmen an, dass es schwierig ist, die tatsächlichen Kosten eines Insider-Angriffs zu beziffern.
Infolgedessen wechseln Sicherheitsteams zu neueren Erkennungs- und Incident Response (IR)-Ansätzen. Um ihre Sicherheitssysteme auszugleichen und zu verbessern, führen Sicherheitsanalysten Technologien wie User and Entity Behaviour Analytics (UEBA) mit konventionellen SIEMs und anderen Legacy-Präventionssystemen zusammen.
UEBA bietet Ihnen im Vergleich zu anderen herkömmlichen Sicherheitslösungen ein leistungsfähigeres Erkennungssystem für Insider-Bedrohungen. Es überwacht nicht nur anomales menschliches Verhalten, sondern auch verdächtige seitliche Bewegungen. UEBA verfolgt auch Aktivitäten auf Ihren Cloud-Diensten, Mobilgeräten und IoT-Geräten.
Ein ausgeklügeltes UEBA-System nimmt Daten aus all den verschiedenen Protokollquellen auf und erstellt einen detaillierten Bericht des Angriffs für Ihre Sicherheitsanalysten. Dies erspart Ihrem Sicherheitsteam die Zeit, unzählige Protokolle zu durchsuchen, um den tatsächlichen Schaden durch einen Angriff zu ermitteln.
Hier sind einige der vielen Anwendungsfälle von UEBA.
Top 6 UEBA-Anwendungsfälle
#1. UEBA erkennt den Missbrauch von Insiderrechten, wenn Benutzer riskante Aktivitäten außerhalb des etablierten normalen Verhaltens ausführen.
#2. UEBA führt verdächtige Informationen aus verschiedenen Quellen zusammen, um eine Risikobewertung für die Risikoeinstufung zu erstellen.
#3. UEBA führt eine Priorisierung von Vorfällen durch, indem Fehlalarme reduziert werden. Es beseitigt Alarmmüdigkeit und ermöglicht es Sicherheitsteams, sich auf Alarme mit hohem Risiko zu konzentrieren.
#4. UEBA verhindert Datenverlust und Datenexfiltration, da das System Warnungen sendet, wenn es erkennt, dass vertrauliche Daten innerhalb des Netzwerks verschoben oder aus dem Netzwerk übertragen werden.
#5. UEBA hilft, Querbewegungen von Hackern innerhalb des Netzwerks zu erkennen, die möglicherweise Anmeldedaten von Mitarbeitern gestohlen haben.
#6. UEBA bietet auch automatisierte Reaktionen auf Vorfälle, sodass Sicherheitsteams in Echtzeit auf Sicherheitsvorfälle reagieren können.
Wie UEBA UBA und Legacy-Sicherheitssysteme wie SIEM verbessert
UEBA ersetzt keine anderen Sicherheitssysteme, sondern stellt eine erhebliche Verbesserung dar, die zusammen mit anderen Lösungen für eine effektivere Cybersicherheit verwendet wird. UEBA unterscheidet sich von der Benutzerverhaltensanalyse (UBA) darin, dass UEBA „Entitäten“ und „Ereignisse“ wie Server, Router und Endpunkte umfasst.
Eine UEBA-Lösung ist umfassender als UBA, da sie nichtmenschliche Prozesse und Maschineneinheiten überwacht, um Bedrohungen genauer zu identifizieren.
SIEM steht für Security Information and Event Management. Herkömmliches veraltetes SIEM ist möglicherweise nicht in der Lage, ausgeklügelte Bedrohungen selbst zu erkennen, da es nicht darauf ausgelegt ist, Bedrohungen in Echtzeit zu überwachen. Und wenn man bedenkt, dass Hacker oft einfache einmalige Angriffe vermeiden und sich stattdessen auf eine Kette raffinierter Angriffe einlassen, können sie wochen- oder sogar monatelang von herkömmlichen Bedrohungserkennungstools wie SIEM unentdeckt bleiben.
Eine ausgeklügelte UEBA-Lösung adressiert diese Einschränkung. UEBA-Systeme analysieren von SIEM gespeicherte Daten und arbeiten zusammen, um Bedrohungen in Echtzeit zu überwachen, sodass Sie schnell und mühelos auf Verstöße reagieren können.
Durch die Zusammenführung von UEBA- und SIEM-Tools können Unternehmen daher viel effektiver bei der Erkennung und Analyse von Bedrohungen sein, Schwachstellen schnell beheben und Angriffe vermeiden.
Best Practices für Benutzer- und Entitätsverhaltensanalysen
Hier sind fünf Best Practices für die Analyse des Benutzerverhaltens, die Aufschluss darüber geben, was beim Erstellen einer Baseline für das Benutzerverhalten zu tun ist.
#1. Anwendungsfälle definieren
Definieren Sie die Anwendungsfälle, die Ihre UEBA-Lösung identifizieren soll. Dabei kann es sich um die Erkennung von Missbrauch privilegierter Konten, Kompromittierung von Anmeldeinformationen oder Bedrohungen durch Insider handeln. Durch das Definieren von Anwendungsfällen können Sie bestimmen, welche Daten für die Überwachung erfasst werden sollen.
#2. Datenquellen definieren
Je mehr Datentypen Ihre UEBA-Systeme verarbeiten können, desto präziser wird das Baselining. Einige Datenquellen umfassen Systemprotokolle oder Personaldaten wie den Leistungsverlauf der Mitarbeiter.
#3. Definieren Sie Verhaltensweisen darüber, welche Daten gesammelt werden
Dazu können die Arbeitszeiten der Mitarbeiter, Anwendungen und Geräte, auf die sie häufig zugreifen, und der Tipprhythmus gehören. Mit diesen Daten können Sie mögliche Gründe für Fehlalarme besser verstehen.
#4. Legen Sie eine Dauer für die Erstellung der Baseline fest
Bei der Bestimmung der Dauer Ihres Baselining-Zeitraums müssen unbedingt die Sicherheitsziele Ihres Unternehmens und die Aktivitäten der Benutzer berücksichtigt werden.
Die Baseline-Periode sollte weder zu kurz noch zu lang sein. Dies liegt daran, dass Sie möglicherweise nicht in der Lage sind, die richtigen Informationen zu sammeln, wenn Sie die Baseline-Dauer zu schnell beenden, was zu einer hohen Rate falsch positiver Ergebnisse führt. Andererseits können einige böswillige Aktivitäten normal weitergegeben werden, wenn Sie zu lange brauchen, um die Baseline-Informationen zu sammeln.
#5. Aktualisieren Sie Ihre Basisdaten regelmäßig
Möglicherweise müssen Sie Ihre Basisdaten regelmäßig neu erstellen, da sich Benutzer- und Entitätsaktivitäten ständig ändern. Ein Mitarbeiter kann befördert werden und seine Aufgaben und Projekte, Privilegien und Aktivitäten ändern. UEBA-Systeme können automatisch so eingestellt werden, dass sie Daten sammeln und die Basisdaten anpassen, wenn Änderungen auftreten.
Letzte Worte
Da wir zunehmend auf Technologie angewiesen sind, werden Cybersicherheitsbedrohungen immer komplexer. Ein großes Unternehmen muss seine Systeme, die sensible Daten seiner eigenen und seiner Kunden enthalten, sichern, um groß angelegte Sicherheitsverletzungen zu vermeiden. UEBA bietet ein Echtzeit-Vorfallsreaktionssystem, das Angriffe verhindern kann.