Andres Rodriguez - Fotolia

IBM: Sicherheits-App überwacht Nutzerverhalten

Sicherheitsrelevante Vorfälle werden oft mit regulären Zugangsdaten ausgeführt. Eine neue IBM-App soll gegebenenfalls Alarm schlagen.

IBMs neue App heißt QRadar User Behavior Analytics und soll laut eigenen Bekunden die Unternehmen vor Angriffen aus den eigenen Reihen schützen. Oftmals werden diese Sicherheitsvorfälle ja nicht von den tatsächlichen Mitarbeitern ausgelöst, sondern nur mit deren Zugangsdaten durchgeführt. Bei verdächtigen Systemzugriffen soll die App entsprechend Alarm schlagen. Verfügbar ist die App ab sofort auf IBM Security App Exchange, dem IBM-Online-Marktplatz für Security-Apps. Bei QRadar User Behavior Analytics handelt es sich um ein ein Add-on für IBMs SIEM-Lösung Qradar.

Die Nutzerdaten und –struktur bezieht die App beispielsweise über das Active Directory des Unternehmens. Registriert die App für den jeweiligen Nutzer ein untypisches Verhalten, schlägt sie Alarm. Was betrachtet die App dabei als untypisch? Das kann beispielsweise ein anderer Ort sein, von dem sich aus der Benutzer anmeldet. Oder der Anwender ist zu untypischen Tageszeiten aktiv. Oder aber, der User loggt sich in kritische Systeme zum ersten Mal ein.

IBM QRadar User Behavior Analytics
Abbildung 1: Der Nutzer Robert Smith oder besser sein Sicherheitsverantwortlicher sollten sich mal ernsthaft Gedanken machen. Das Dashboard von QRadar User Behavior Analytics zeigt die Risikolage auf einen Blick an.

Darüber hinaus registriert die App typische Warnzeichen dafür, das die Zugangsdaten eventuell missbraucht werden. Beispielsweise häufige fehlgeschlagene Logins oder mehrfaches Einloggen von verschiedenen Standorten sowie die Nutzung eines lange nicht mehr verwendeten Accounts.

In einem Dashboard sehen Admins auf einen Blick auffällige Nutzer. Zudem kann man sich zu jedem Anwender eine Detailansicht geben lassen. Über die Funktion Risk Analysis Profiles analysiert die Software riskante Aktivitäten, unter anderem über eben beschriebene Vorkommnisse, und soll so entsprechend Cyberkriminelle oder Nutzer mit unlauteren Absichten identifizieren. Über das Prioritized Behavioral Analysis Dashboard können Sicherheitsverantwortliche beispielsweise auch nachvollziehen, wie Nutzer sich mit Schadsoftware infiziert haben. Beispielsweise, wenn ein präparierter E-Mail-Anhang geöffnet wurde. Die Ergebnisse der App und die Analysen lassen sich mit den bestehenden Informationen und Datenquellen der SIEM-Lösung QRadar korrelieren.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Erfahren Sie mehr über IT-Sicherheits-Management

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close