User Behavior Analytics (UBA)

Wie die Analyse des Nutzerverhaltens eingesetzt wird

UBA-Systeme erschienen erstmals in den frühen 2000er-Jahrennach der Jahrtausendwende als Werkzeuge, mit denen Marketing-Teams das Kaufverhalten von Kunden analysieren und voraussagen konnten.

Heutzutage haben Anwendungen zur Analyse des Nutzerverhaltens ausgefeiltere Monitoring- und Profiling-Fähigkeiten als sogar SIEM-Lösungen. Man nutzt sie aus zwei Gründen: Erstens evaluieren UBA-Tools das normale Verhalten der einzelnen Nutzer innerhalb einer Organisation. Zweitens dienen sie dazu, Abweichungen von dieser Normalität herauszufiltern. UBA-Systeme nutzen heute auch Algorithmen aus den Bereichen Big Data und Maschinelles Lernen, um diese Abweichungen in nahezu Echtzeit erkennen zu können.

Es ergibt nur wenig Sinn, das Verhalten eines einzelnen Nutzers zu überwachen, um böswillige Absichten zu entdecken. Der Einsatz in einer großen Organisation mit vielen Anwendern ermöglicht es jedoch, Malware und andere potenzielle Bedrohungen zu entdecken.

So funktioniert die Analyse des Nutzerverhaltens

UBA-Systeme sammeln für die Analyse des Nutzerverhaltens diverse Daten über Benutzer und ihre Zugangs- sowie Zugriffsrechte, über die Aktivitäten der Anwender und von wo aus sie auf das Netzwerk zugreifen. Dazu kommen Informationen über Sicherheitsalarme. Die verwendeten Daten können sowohl aktuell sein als auch aus der Vergangenheit stammen. Ihre Bewertung bezieht außer-dem die Zugriffe auf bestimmte Ressourcen ein, die Dauer einer bestimmten Sitzung, die Art der Verbindungen und die Aktivitäten der nahe stehenden Kollegen, um Anomalien zu entdecken. Sie aktualisieren sich auch automatisch, wenn Änderungen an den Daten wie Beförderungen oder erweiterte Zugriffsrechte vorgenommen werden.

Es werden aber nicht alle ungewöhnlichen Verhaltensweisen gleich als gefährlich eingestuft. Jedes Verhalten wird zusätzlich auch in Bezug auf mögliche Auswirkungen bewertet. Wenn ein auffälliges Verhalten etwa weniger wichtige Ressourcen betrifft, erhält es eine niedrige Einstufung. Wenn es dagegen um sensiblere Daten geht, zum Beispiel Personally Identifiable Information (PII), dann erhält es eine höhere Einstufung. Auf diese Weise können Security-Teams Prioritäten setzen, welchen Ereignissen sie nachgehen wollen, während das UBA-System automatisch die Zugriffsrechte einer Person anpasst, die ein ungewöhnliches Verhalten zeigt.

Methoden des maschinellen Lernens bewirken darüber hinaus, dass weniger Falsch Positive auftreten. Sie sorgen auch dafür, dass die Ergebnisse eindeutiger und klarer zu verstehen sind.

User Entity Behavior Analytics (UEBA)

Im Jahr 2015 hat das Analystenunternehmen Gartner einen Marktführer für eine Kategorie mit der Bezeichnung User Entity Behavior Analytics (UEBA) veröffentlicht. UEBA-Technologien verfügen über dieselben Funktionen wie UBA-Lösungen, analysieren aber weit mehr Daten. UEBA-Lösungen betrachten nicht nur Nutzeraktivitäten, sondern auch die Aktivitäten von Geräten Anwendungen, Servern und Daten. Anstatt nur Daten von Anwendern zu analysieren, kombiniert diese Technologie Daten zum Benutzerverhalten mit Daten zum Verhalten von Entitäten. Während UBA darauf ausgelegt ist, beispielsweise Insider-Bedrohungen oder gekaperte Konten aufzuspüren, sucht UEBA mit Unterstützung von maschinellem Lernen nach allen Arten von Anomalien, die Bedrohungen darstellen könnten. Unternehmen setzen UEBA oft in Kombination mit SIEM-Lösungen ein, um die gesammelten Informationen besser analysieren zu können.