Insider-Bedrohungen mit den richtigen Tools begegnen

Angriffe, die mit regulären Zugangsdaten durchgeführt werden, sind für klassische Sicherheits-Tools kaum zu erkennen. Spezielle Werkzeuge können dies.

Gegen externe Bedrohungen sind Firewalls, Intrusion-Detection-Systeme und Antimalware-Programme probate Verteidigungsmittel. Aber diese Sicherheitslösungen erkennen nicht, wenn ein Angreifer mit regulären Zugangsdaten im Unternehmensnetzwerk agiert. Laut einer aktuellen Studie von Crowd Research Partners setzen Unternehmen häufig auf Richtlinien und Schulungen, um Sicherheitsbedrohungen von innen zu begegnen. Darüber hinaus existieren jedoch auch technische Lösungen, um entsprechende Insider-Bedrohungen zu erkennen und darauf zu reagieren.

Im Zusammenhang mit Insider-Sicherheitsproblemen stellen Rechteerhöhung, Missbrauch von Admin-Konten und Daten-Exfiltration die größten Risiken dar. Mit einem ordentlichen Identity and Acess Management (IAM) sowie DLP-Lösungen (Data Loss Prevention) lassen sich viele Risiken eindämmen, aber nicht alle Probleme lösen.

Protokolldateien und Logfiles sind ganz treffliche Quellen, um Benutzeraktivitäten in einem Unternehmensnetzwerk zu beobachten und etwaige Einbrüche oder Datendiebstahl aufzudecken. Allerdings ist die schiere Menge an Daten, die ein Administrator im Falle eines Falles sichten muss, nahezu beliebig groß. Darüber hinaus muss der Admin nach Aktivitäten Ausschau halten, die nicht ins übliche Muster passen. Klingt so, als sollte man dies technisch lösen und genau hier kommen Tools zur Erkennung von Insider-Bedrohungen ins Spiel. Diese arbeiten analytisch und setzen unter anderem auf maschinelles Lernen. Diese Technologien scannen das Nutzerverhalten, achten auf Admin-Aktivitäten sowie Verhalten, das zu Datenverlust beziehungsweise Datendiebstahl führen kann. Dabei können diese Werkzeuge sehr gut Aktivitäten erkennen, die vom typischen Muster abweichen. Eine Aufgabe, die manuell nur sehr schwer zu lösen ist. Dabei lassen sich folgende Werkzeuge unterscheiden.

Verhaltensbasierte Analysen

User Activity Monitoring (UAM), Nutzeraktivitäten überwachen: Diese Tools überwachen und zeichnen die unterschiedlichsten Arten von Benutzeraktivitäten auf. Dazu gehören etwa E-Mails, Chats oder auch Up- und Downloads. Üblicherweise lassen sich die Tools mit bereits vorhandenen SIEM-Lösungen verknüpfen. Administratoren erhalten dann Warnungen, wenn bestimmte Nutzer ein auffälliges Verhalten zeigen. Viele dieser Produkte arbeiten mit maschinenbasiertem Lernen und verwenden ein Risiko-Scoring. Hierüber können risikobehaftete Nutzer identifiziert werden, die normalerweise ein geringes Risiko darstellen, aber zu einer Bedrohung werden könnten. Es versteht sich von selbst, dass ein Einsatz derartiger Tools im Hinblick auf den Datenschutz im Unternehmen zu klären ist.

User Behavior Analytics (UBA), Verhaltensbasierte Nutzeranalyse: Hierbei wird versucht, anhand von Logfiles und Protokolldaten zu ermitteln, wie ein „normales“ Nutzerverhalten aussieht. Dadurch lassen sich dann wiederum Muster erkennen, wenn es bei ganz regulären Anwendern zu einem anomalem Verhalten kommt, dass auf eine Bedrohung hinweist. Das Konzept ist charmant, denn UBA-Lösungen sind der Lage, Unmengen von unterschiedlichsten Daten zu durchforsten, um entsprechende Zusammenhänge herzustellen. Ein UBA-System liefert die verwertbaren Erkenntnisse als Berichte ab, die meisten Lösungen bieten ein Dashboard, auf denen Admins Risiken schnell erkennen und priorisieren können.

User and Entity Behavioral Analytics (UEBA), Analyse des Verhaltens von Nutzern und Systemen: Hierbei handelt es um den neuesten und umfassendsten Ansatz der drei Technologien. Hinsichtlich der Analyse des Nutzerverhaltens agieren diese Lösungen wie oben erwähntes UBA. Darüber hinaus wird aber auch sonderbares Verhalten von Systemen, Netzwerken oder auch Anwendungen registriert. Dies gilt sowohl für Einheiten in der eigenen Infrastruktur als auch für Cloud-Lösungen. Dadurch, dass bei UEBA sowohl Nutzer- als auch Systemanalyse korreliert wird, ist die Bedrohungserkennung genauer und effektiver als bei UBA alleine.

UAM ist alles andere als neu und schon eine Weile auf dem Markt verfügbar. Der Markt für UBA und UEBA ist hingegen ordentlich in Bewegung. Zudem sind die Grenzen zwischen UBA und UEBA nicht immer eindeutig. Mancherorts wird durch ein Produkt-Update oder -erweiterung aus UBA eine UEBA-Lösung.

Rechtzeitig handeln – Analyse benötigt Zeit

Damit der Einsatz entsprechender Analyse-Tools erfolgsversprechend ist, ist der Faktor Zeit ausschlaggebend. Da es ja meist nicht den einen Musternutzer gibt, sondern vielfältiges Verhalten, benötigen die Systeme entsprechend Zeit, um genügend Daten zu sammeln. Erst dann sind die Lösungen in der Lage, für sich zu entscheiden, was ein „normales“ Verhalten ist und gegebenenfalls Anomalien festzustellen.

Die Crowd Research Partners haben in ihrem Insider Threat Report 2016 festgestellt, dass eine Kombination aus Richtlinien und Anwenderschulung ein wirksames Mittel gegen Insider-Bedrohung ist. Wenn man diese auf den Anwender ausgerichteten Maßnahmen zusätzlich um die erwähnten technischen Analyse-Lösungen ergänzt, hilft dies Unternehmen entsprechenden Bedrohungen zu begegnen und schädliche Aktivitäten einzudämmen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Mit verhaltensbasierter Angriffserkennung die Sicherheit erhöhen.

IAM: Zugriffsrechte an Identitäten koppeln.

Identity and Access Management: Die passenden Zugriffsrechte definieren.

Verhaltensbasierte Angriffserkennung in Amazon Web Services.

Erfahren Sie mehr über IT-Sicherheits-Management

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close