Heutzutage ist es allgegenwärtig, dass Hacker in Netzwerke eindringen und Schaden anrichten. Böswillige E-Mails mit infizierten Anhängen, – sogenanntes Phishing und Social Engineering gehören zum heutigen Alltag.
Systeme sowie Tools sind schnell veraltet und es werden tagtäglich Sicherheitslücken aufgedeckt, die die Informationssicherheit eines Unternehmens gefährden können.
…dann eine Referenzlinie des Nutzerverhaltens erstellt. Alle Informationen, die eine UEBA dann als „normales“ Benutzerverhalten erkennt, finden sich im Rahmen dieser Referenzlinien wieder. Wenn ein Ereignis diese Grenzlinien überschreiten sollte, dann wird ein Alarm ausgelöst. Dabei können insbesondere Insiderbedrohungen, beispielsweise Mitarbeiter, die unzufrieden mit dem Unternehmen sind und diesem schaden wollen, vereitelt werden. Aber auch Angreifer, die ein System kompromittiert haben, können so erkannt werden, da es diesen zwar nicht schwerfällt, die Regeln eines SIEM zu umgehen, aber das „normale“ Verhalten eines Systems oder Benutzers zu imitieren.
Der Grundsatz von UEBA ist einfach hier erklärt an einem kurzen Beispiel:
Vor allem durch fehlende Password-Policies oder unbedachten Umgang mit den eigenen Daten können Hacker dank der verschiedensten Methoden (Brute-Force Angriff, Man-in-the-Middle, Phishing oder Social Engineering) heutzutage leichtes Spiel haben, Credentials (Benutzername und Passwort) eines internen Mitarbeiters herauszufinden.
Nehmen wir an, wir haben die richtigen Credentials einer bestimmten Person mit administrativen Rechten herausgefunden und uns somit Zugriff auf ein Netzwerk verschafft. Wir wären ohne vorherige Recherche und Insider-Wissen nicht in der Lage, uns so zu verhalten, wie das Opfer dies tun würde. Wenn sich also ein Benutzer anders verhält als im „Normalfall“, ertönen UEBA-Warnungen.
Interne Mitarbeiter stehlen Daten und Informationen, indem sie ihren eigenen Zugriff nutzen. UEBA kann dabei helfen, Datenverletzungen, Sabotage, Missbrauch von Berechtigungen und Richtlinienverstöße von Mitarbeitern zu erkennen.
Hacker zielen manchmal auf Cloud-basierte Entitäten sowie auf Authentifizierungssysteme von Drittanbieter ab. Mithilfe von UEBA können Brute-Force Angriffe erkannt werden und Zugriff auf diese Entitäten kann verhindert werden.
Das SIEM (Security Information Event Management) wird verwendet, um einen umfassenden Überblick über die Sicherheit eines IT-Systems zu gewährleisten. Es verwendet Daten und Ereignisinformationen, die zusammen mit Regeln „normale Muster und Trends“ erkennen.
UEBA funktioniert auf die gleiche Weise mit der Ausnahme, dass Benutzer sowie Entitäts- Verhaltensinformationen aus verschiedensten Quellen gesammelt werden und mithilfe von fortschrittlichen Analysemethoden und Maschine Learning ausgewertete werden, um Anomalien zu erkennen.
Und das ist der große Unterschied: SIEM arbeitet mit Regeln. Und diese müssen händisch erstellt und gepflegt werden. Fortgeschrittenen Hacker können ebendiese Regeln leicht umgehen. Darüber hinaus sind SIEM-Regeln so konzipiert, dass Bedrohungen in Echtzeit erkannt werden, während fortgeschrittene Angriffe normalerweise über einen Zeitraum von Monaten oder Jahren ausgeführt werden.
Für eine gute IT-Sicherheit ist es daher empfehlenswert, sowohl ein SIEM als auch eine UEBA zu verwenden. Denn nur aus dem Zusammenspiel beider Systeme kann eine umfassende Sicherheits- und Erkennungsfunktion gewährleistet werden.
