User and Entity Behaviour Analytics (UEBA)

Heutzutage ist es allgegenwärtig, dass Hacker in Netzwerke eindringen und Schaden anrichten. Böswillige E-Mails mit infizierten Anhängen, – sogenanntes Phishing und Social Engineering gehören zum heutigen Alltag. Systeme sowie Tools sind schnell veraltet und es werden tagtäglich Sicherheitslücken aufgedeckt, die die Informationssicherheit eines Unternehmens gefährden können.

User and Entity Behaviour Analytics (UEBA) hilft

Das Problem von Tools zur Benutzerüberwachung ist, dass diese lediglich einzelne Sessions überwachen. Moderne Hacker allerdings sind sich dieser Gefahr bewusst. Deswegen werden Angriffe auf eine Art und Weise durchgeführt, die für diese Tools in einer einzelnen Sitzung und in einem einzelnen System nicht direkt erkennbar sind. Angreifer verteilen ihre “Arbeit“ auf mehrere Server, legen immer wieder große Pausen ein. Es ist unmöglich, solche Aktivitäten durch Session Monitoring zu erfassen. Um dieser Vorgehensweise entgegenzutreten, wurde die UEBA entwickelt.

UEBA (User and Entity Behaviour Analytics) ist ein Cybersicherheitsprozess,…

…der das Benutzerverhalten analysiert und studiert. Mithilfe dieser Daten kann die UEBA normales Nutzerverhalten erlernen. Im Gegenzug erkennt es dann anomale Verhaltensweisen oder Abweichungen von „normalen“ Mustern. Wenn beispielsweise ein bestimmter Benutzer regelmäßig jeden Tag Dateien mit einer Gesamtgröße von 10 MB herunterlädt, aber plötzlich Gigabyte an Dateien herunterlädt, erkennt das System diese Anomalie und meldet dies sofort. Die User and Entity Behaviour Analytics, kurz UEBA, verwendet dabei maschinelles Lernen, Algorithmen und statistische Analysen, um festzustellen, wann eine Abweichung von festgelegten Mustern vorliegt und wann diese Anomalien zu einer potenziellen realen Bedrohung führen. Zudem können Datei-, Fluss- und Paketinformationen analysiert werden. Um eine Analyse von Benutzern und Entitäten zu erreichen, setzt die UEBA dabei nicht auf die direkte Überwachung von Geräten und Nutzern oder Regeln, sondern auf die Analyse von Informationen, die aus vielen verschiedenen Quellen, System- und Anwendungsprotokollen, Sicherheitslösungen, SIEM, Benutzerverzeichnissen, Orchestrierungswerkzeugen, sogar Workstations gesammelt werden.

Mithilfe fortschrittlichster Analysemethoden wird…

…dann eine Referenzlinie des Nutzerverhaltens erstellt. Alle Informationen, die eine UEBA dann als „normales“ Benutzerverhalten erkennt, finden sich im Rahmen dieser Referenzlinien wieder. Wenn ein Ereignis diese Grenzlinien überschreiten sollte, dann wird ein Alarm ausgelöst. Dabei können insbesondere Insiderbedrohungen, beispielsweise Mitarbeiter, die unzufrieden mit dem Unternehmen sind und diesem schaden wollen, vereitelt werden. Aber auch Angreifer, die ein System kompromittiert haben, können so erkannt werden, da es diesen zwar nicht schwerfällt, die Regeln eines SIEM zu umgehen, aber das „normale“ Verhalten eines Systems oder Benutzers zu imitieren.

Du möchtest Dein IT-System regelmäßig professionell auf Schwachstellen überprüfen lassen?
Dann informiere Dich jetzt über unser Pentest as a Service!
Zur Pentest as a Service

Wie funktioniert UEBA: Ein kleiner Einblick

Der Grundsatz von UEBA ist einfach hier erklärt an einem kurzen Beispiel:
Vor allem durch fehlende Password-Policies oder unbedachten Umgang mit den eigenen Daten können Hacker dank der verschiedensten Methoden (Brute-Force AngriffMan-in-the-Middle, Phishing oder Social Engineering) heutzutage leichtes Spiel haben, Credentials (Benutzername und Passwort) eines internen Mitarbeiters herauszufinden.

Nehmen wir an, wir haben die richtigen Credentials einer bestimmten Person mit administrativen Rechten herausgefunden und uns somit Zugriff auf ein Netzwerk verschafft. Wir wären ohne vorherige Recherche und Insider-Wissen nicht in der Lage, uns so zu verhalten, wie das Opfer dies tun würde. Wenn sich also ein Benutzer anders verhält als im „Normalfall“, ertönen UEBA-Warnungen.

Daher ist UEBA eine sehr wichtige Komponente der IT-Sicherheit, mit der Sie:

1. Insider-Bedrohungen erkennen

Interne Mitarbeiter stehlen Daten und Informationen, indem sie ihren eigenen Zugriff nutzen. UEBA kann dabei helfen, Datenverletzungen, Sabotage, Missbrauch von Berechtigungen und Richtlinienverstöße von Mitarbeitern zu erkennen.

2. Brute-Force Angriffe erkennen können

Hacker zielen manchmal auf Cloud-basierte Entitäten sowie auf Authentifizierungssysteme von Drittanbieter ab. Mithilfe von UEBA können Brute-Force Angriffe erkannt werden und Zugriff auf diese Entitäten kann verhindert werden.

3. Änderungen von Berechtigungen erkennen

Einige Angriffe beinhalten den Einsatz von sogenannten Super-Usern mit Admin Berechtigungen. Mithilfe von UEBA kann erkannt werden, wenn ein Super-User erstellt wurde oder ob Konten vorhanden sind, denen unnötige Berechtigungen erteilt wurden.

4. Verstößen gegen geschützte Daten erkennen

Es reicht nicht aus, geschützte Daten sicher zu speichern. Es sollte eine Transparenz herrschen, wann ein Benutzer auf diese Dateien zugreift, auch wenn legitime geschäftliche Gründe vorliegen.

UEBA und SIEM

Das SIEM (Security Information Event Management) wird verwendet, um einen umfassenden Überblick über die Sicherheit eines IT-Systems zu gewährleisten. Es verwendet Daten und Ereignisinformationen, die zusammen mit Regeln „normale Muster und Trends“ erkennen.

UEBA funktioniert auf die gleiche Weise mit der Ausnahme, dass Benutzer sowie Entitäts- Verhaltensinformationen aus verschiedensten Quellen gesammelt werden und mithilfe von fortschrittlichen Analysemethoden und Maschine Learning ausgewertete werden, um Anomalien zu erkennen.
Und das ist der große Unterschied: SIEM arbeitet mit Regeln. Und diese müssen händisch erstellt und gepflegt werden. Fortgeschrittenen Hacker können ebendiese Regeln leicht umgehen. Darüber hinaus sind SIEM-Regeln so konzipiert, dass Bedrohungen in Echtzeit erkannt werden, während fortgeschrittene Angriffe normalerweise über einen Zeitraum von Monaten oder Jahren ausgeführt werden.

Für eine gute IT-Sicherheit ist es daher empfehlenswert, sowohl ein SIEM als auch eine UEBA zu verwenden. Denn nur aus dem Zusammenspiel beider Systeme kann eine umfassende Sicherheits- und Erkennungsfunktion gewährleistet werden.

Du möchtest mehr über mögliche Sicherheitsmaßnahmen für Deine IT erfahren?
Ruf uns einfach an oder nutze unser Kontaktformular!
Jetzt kontaktieren
ANDERE BEITRÄGE

Inhaltsverzeichnis

Wir verwenden Cookies, um Ihnen die bestmögliche Erfahrung zu bieten. Wenn Sie unsere Website weiterhin besuchen, stimmen Sie der Verwendung von Cookies zu, wie in unserer Datenschutzerklärung beschrieben.