Definition

Analyse des Nutzerverhaltens oder User Behavior Analysis (UBA)

Mitarbeiter: Madelyn Bacon

Die Analyse des Nutzerverhaltens beziehungsweise auf Englisch User Behavior Analytics (UBA) dient zum Tracken, Sammeln und Auswerten von Daten, die beim Einsatz von Monitoring-Systemen anfallen. UBA-Anwendungen werden zur Analyse von beispielsweise Netzwerk- und Authentifizierungsprotokollen genutzt. Diese fallen beim Einsatz von Log-Management- und SIEM-Systemen (Security Information and Event Management) an. Mittels UBA lassen sich bestimmte Muster in den Nutzerdaten erkennen, die auf normales oder böswilliges Verhalten hinweisen. Systeme zur Analyse des Nutzerverhaltens dienen jedoch nicht dazu, selbst auf Basis ihrer Erkenntnisse in das Geschehen einzugreifen. Stattdessen sollen sie Security-Teams mit den nötigen Informationen versorgen, damit diese aktiv werden können.

UBA-Systeme erschienen erstmals nach der Jahrtausendwende als Werkzeuge, mit denen Marketing-Teams das Kaufverhalten von Kunden analysieren und voraussagen konnten.

Heutzutage haben Anwendungen zur Analyse des Nutzerverhaltens ausgefeiltere Monitoring- und Profiling-Fähigkeiten als sogar SIEM-Lösungen. Man nutzt sie aus zwei Gründen: Erstens evaluieren UBA-Tools das normale Verhalten der einzelnen Nutzer innerhalb einer Organisation. Zweitens dienen sie dazu, Abweichungen von dieser Normalität herauszufiltern. UBA-Systeme nutzen heute auch Algorithmen aus den Bereichen Big Data und Machine Learning, um diese Abweichungen in nahezu Echtzeit erkennen zu können.

UBA-Systeme sammeln dazu diverse Daten über Benutzer und ihre Zugangs- sowie Zugriffsrechte, über die Aktivitäten der Anwender und von wo aus sie auf das Netzwerk zugreifen. Dazu kommen Informationen über Sicherheitsalarme. Die verwendeten Daten können sowohl aktuell sein als auch aus der Vergangenheit stammen. Ihre Bewertung bezieht außerdem die Zugriffe auf bestimmte Ressourcen ein, die Dauer einer bestimmten Session, die Art der Verbindungen und die Aktivitäten der nahe stehenden Kollegen, um Anomalien zu entdecken. Sie aktualisieren sich auch automatisch, wenn Änderungen an den Daten wie Beförderungen oder erweiterte Zugriffsrechte vorgenommen werden.

Es werden aber nicht alle ungewöhnlichen Verhaltensweisen gleich als gefährlich eingestuft. Jedes Verhalten wird zusätzlich auch im Bezug auf mögliche Auswirkungen bewertet. Wenn ein auffälliges Verhalten etwa weniger wichtige Ressourcen betrifft, erhält es eine niedrige Einstufung. Wenn es dagegen um sensiblere Daten geht, zum Beispiel Personally Identifiable Information (PII), dann erhält es eine höhere Einstufung. Auf diese Weise können Security-Teams Prioritäten setzen, welchen Ereignissen sie nachgehen wollen, während das UBA-System automatisch die Zugriffsrechte einer Person anpasst, die ein ungewöhnliches Verhalten zeigt.

Methoden des Machine Learnings bewirken darüber hinaus, dass weniger False Positives auftreten. Sie sorgen auch dafür, dass die Ergebnisse eindeutiger und klarer zu verstehen sind.

Es macht nur wenig Sinn, das Verhalten eines einzelnen Nutzers zu überwachen, um böswillige Absichten zu entdecken. Der Einsatz in einer großen Organisation mit vielen Anwendern ermöglicht es jedoch, Malware und andere potentielle Bedrohungen zu entdecken. UBA-Systeme sind deswegen vor allem in größeren Finanz- oder Industrieunternehmen am nützlichsten.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

 

Diese Definition wurde zuletzt im September 2016 aktualisiert

Erfahren Sie mehr über Netzwerksicherheit

- GOOGLE-ANZEIGEN

File Extensions and File Formats

ComputerWeekly.de

Close