AKS - Fotolia

Mit verhaltensbasierter Angriffserkennung die Sicherheit erhöhen

Verhaltensbasierte Angriffserkennung verspricht eine Reduzierung der Alarme und schnelle Erkennung von Bedrohungen. Worauf muss man dabei achten?

Viele Unternehmen verfügen über Lösungen, mit deren Hilfe man prinzipiell anomales Verhalten von Benutzern und Systemen erkennen kann. Dabei werden Informationen gesammelt und protokolliert, die es dann gilt auszuwerten, um herauszufinden, was wirklich passiert ist. Tatsächlich ist dieser Ansatz nicht wirklich effektiv.

Erstens ist diese Vorgehensweise aufwändig und kostenintensiv. Nur wenige Unternehmen verfügen über eine entsprechende Anzahl an dafür notwendigen Sicherheitsexperten oder können sich diese leisten. Geschweige denn, dass sie im Bedarfsfall genügend Fachkräfte finden würden.

Zweitens, und das ist der wichtigere Faktor, ist diese Vorgehensweise zeitlich nicht befriedigend. Die nachträgliche Analyse, selbst wenn die richtigen Mitarbeiter zur Verfügung stehen, hinkt einem etwaigen Einbruch immer deutlich hinterher. Der Angreifer kann sich unter Umständen bereits seit geraumer Zeit in der eigenen IT-Infrastruktur tummeln. Und je mehr Zeit dem Angreifer zur Verfügung steht, umso größer können die daraus entstehenden Probleme oder Schäden sein.

Verhaltensbasierte Bedrohungserkennung

Die verhaltensbasierte Erkennung von Bedrohungen will dieses Zeitfenster schließen oder zumindest verkleinern. Lösungen existieren von einer Reihe von Anbietern wie beispielsweise von Splunk, LightCyber, Fortscale, Exabeam oder Securonix. Auch wenn sich die Technologien und Algorithmen der Anbieter unterscheiden, bietet die verhaltensbasierte Echtzeit-Analyse im Allgemeinen eine zusätzliche Schutzschicht, die über das klassische Monitoring und Logging hinausgeht.

Die entsprechenden Lösungen können eine verhaltensbasierte Bedrohungsanalyse realisieren, indem sie sich in vorhandene SIEM-Lösungen, IDS-Systeme und Firewalls einklinken und entsprechende Protokollinformationen einlesen. Indem sie die Informationen korrelieren, können sie so ermitteln, welches Verhalten für Nutzer, Geräte und Systeme typisch ist. Der nächste Schritt zur Entwicklung eine verhaltensbasierte Bedrohungsanalyse ist festzustellen, ob anomales Verhalten schlicht anomal ist, sprich harmlos oder wirklich eine Bedrohung darstellt. Entsprechende Produkte zur verhaltensbasierten Angriffserkennung erledigen dies in der Regel, in dem sie maschinelles Lernen auf die Datenströme anwenden, so dass die Sicherheitsexperten nicht über Regeln das normale Verhalten definieren müssen.

Einer der großen Vorteile der verhaltensbasierten Angriffserkennung ist die Reduzierung der Alarme beziehungsweise Falsch-Positiv-Meldungen. Will heißen, Situationen, die wie Bedrohungen aussehen, tatsächlich aber keine sind. Laut Unternehmen, die entsprechende Produkte einsetzen, ließ sich die Anzahl der Falsch-Positiv-Meldungen von 500 und mehr am Tag auf zwei oder drei reale Bedrohungsmeldungen runterschrauben.

Auswahl der Produkte

Bevor es an die Implementierung eines entsprechenden Produktes zur verhaltensbasierten Angriffserkennung geht, sollte man sich über seine existierende und geplante Sicherheitsarchitektur im Klaren sein. Welche Monitoring- und Überwachungswerkzeuge kommen zum Einsatz, auf welche Sicherheitslösungen will man setzen? Ein wichtiges Auswahlkriterium für ein Produkt zur verhaltensbasierten Angriffserkennung ist eine mögliche Integration mit den entsprechenden Lösungen. Zudem gilt es meist festzulegen, ob man eine lokale On-Premise-Variante oder eine Cloud-Lösung bevorzugt.

Außerdem sollte man einen Proof-of-Concept aufsetzen, sprich die Machbarkeit überprüfen. Idealerweise findet dies in einem geschlossenen Netzwerk mit einer konkreten Benutzergruppe statt, etwa einer bestimmten Abteilung oder einer Filiale. Mit einem solchen Test sollte man die Fähigkeiten einer entsprechenden Lösung gut beurteilen können. Und falls der Test gut funktioniert, hat man mit dem Verantwortlichen der Abteilung meistens auch noch einen Fürsprecher für die Einführung des Produktes im gesamten Unternehmen.

Beurteilungskriterien für die Produkte

Während man den Proof-of-Concept durchführt, sollte man auf mehrere Punkte achten: Wie lange dauert es, bis die Lösung seine Umgebung, sprich das Verhalten, gelernt beziehungsweise verinnerlicht hat? In Regel geben die Hersteller diesen Zeitraum mit einigen Tagen an. Wie entwickelt sich die Situation der Falsch-Positiv-Meldungen und Fehlalarme? Ist die Veränderung nur gering, oder ist schnell ein signifikanter Unterschied zu spüren. Denn nur dann erzielt die Einführung des Produktes ja die gewünschte Wirkung.

Und wie stellt das Werkzeug die Informationen dar? Gibt es beispielsweise Dashboards, mit denen nicht nur Sicherheitsexperten etwas anfangen können? Werden die Bedrohungen ordentlich priorisiert? Liefert das System Handlungsempfehlungen und hilft bei den nächsten Schritten?

Wenn der Proof-of-Concept durchgeführt ist, sollten die Vorteile der entsprechenden Lösung offensichtlich sein. Somit sollte es möglich sein, deutlich zeitnäher auf Bedrohungen zu reagieren und damit die Gesamtsicherheit zu erhöhen. Dies sollte auch entsprechend in der Geschäftsleitung ankommen. Je nach gewählter Lösung können sich Bedrohungen aber auch Compliance-Aspekte besser dokumentieren lassen.

Wer sich mit den Bedrohungen in seiner IT-Umgebung näher beschäftigen will, und wissen will, wo diese stattfinden, wer davon betroffen ist und wie man darauf reagieren kann, sollte sich dem Thema verhaltensbasierte Angriffserkennung durchaus mal intensiver widmen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

LightCyber: Verhaltensbasierte Analyse von Angriffen.

So können Unternehmen die Endpoint Security verbessern.

Verhaltensbasierte Angriffserkennung in Amazon Web Services.

So können Unternehmen ihre DDoS-Anfälligkeit reduzieren.

Artikel wurde zuletzt im November 2016 aktualisiert

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close