UEBA: Einsatzbereiche für verhaltensbasierte Analysen

Cybersicherheit UEBA-Anwendungsfälle

UEBA sucht in Protokollen, Konfigurationsdateien und anderen Datenquellen nach Hinweisen auf verschiedene Arten von Bedrohungen oder Kompromittierungen. Sie ist der Schlüssel zu den folgenden Anwendungsfällen.

Seitwärtsbewegungen erkennen

Netzwerkprotokolle können Hinweise darauf liefern, dass ein System versucht, mit anderen Systemen Kontakt aufzunehmen, mit denen es normalerweise nicht kommuniziert, was möglicherweise darauf hindeutet, dass es kompromittiert ist und als Ausgangspunkt für seitliche Angriffe auf andere Systeme genutzt wird.

Kompromittierte Konten identifizieren

System- und Netzwerkprotokolle können zeigen, dass Personen oder Konten versuchen, Dinge zu tun, die sie normalerweise nicht tun und nicht tun sollten. Dies kann ein Hinweis darauf sein, dass die Anmeldeinformationen des Kontos kompromittiert wurden und eine dritte Partei das Konto nutzt, um Möglichkeiten und Schwachstellen ausfindig zu machen oder um sensible Daten zu exfiltrieren.

Insider-Bedrohungen aufdecken

Die Verhaltensanalyse kann ein Konto erkennen, das höhere Privilegstufen als üblich nutzt oder versucht, auf Systeme zuzugreifen, mit denen es normalerweise nicht interagiert. Dies sind mögliche Anzeichen dafür, dass ein Insider die Fähigkeiten seines Kontos missbraucht.

Trojaner-Kontoerstellung erkennen

Die Analyse kann ungewöhnliche Ausbrüche von Kontoerstellungs-, -löschungs- oder -änderungsaktivitäten erkennen, wie zum Beispiel die Erstellung einer Vielzahl von Systemadministratorkonten oder den Verlust bestimmter Zugriffsrechte bei bestehenden Konten. Dieses Verhalten kann darauf hindeuten, dass ein böser Akteur lokale Konten einrichtet, von denen aus er weitere Operationen durchführt.

Überwachung auf Verstöße gegen die Richtlinie zur gemeinsamen Nutzung von Konten

UEBA-Systeme können Anzeichen dafür erkennen, dass Benutzer ihre Anmeldedaten gemeinsam nutzen, anstatt nur mit ihren eigenen Konten zu arbeiten, was eine Kompromittierung durch bösartige Akteure wahrscheinlicher macht.

Vorausschauendes vs. rückblickendes UEBA

UEBA kann in der Cybersicherheit vorausschauend oder rückblickend eingesetzt werden. Prospektiv nutzen Security-Teams oder -Dienstleister es, um Angriffe zu erkennen, sobald sie auftreten, mit dem Ziel, eine - vorzugsweise automatisierte - Reaktion auszulösen.

Im Nachhinein verwenden Cybersicherheitsteams, Dienstanbieter und Strafverfolgungsbehörden UEBA, um Protokolle und andere Daten als Teil ihrer forensischen Untersuchung eines bereits erfolgten Angriffs zu überprüfen. UEBA kann Vorboten des Angriffs erkennen und die verschiedenen Aktivitätsstränge, die den Angriff ausmachen, herausfiltern. Diese Informationen können verwendet werden, um die Auswirkungen des Angriffs zu beheben und die Abwehrmaßnahmen zu schärfen und zu verstärken, und sie können dann über Bedrohungsdaten-Feeds weitergegeben werden.

Anwendungsfälle für den operativen Bereich

Die gleichen Funktionen, die UEBA zu einem leistungsstarken Sicherheits-Tool machen - das Herausfiltern aussagekräftiger Informationen aus verschiedenen Strömen von Nutzungs- und Leistungsdaten - machen die UEBA-Software auch für Systembetriebsteams nützlich.

Zu den wichtigsten Anwendungsfällen gehören die folgenden.

Vorhersage drohender Ausfälle von Hardware und Software

Anomales Verhalten kann auf aktuelle oder bevorstehende Fehlfunktionen von Hardware, Betriebssystemen, Middleware (zum Beispiel Datenbankmanagementsysteme), Anwendungsservern und Anwendungen hinweisen. Eine wachsende Zahl von Datenübertragungsfehlern an einem bestimmten Netzwerk-Switch-Port könnte beispielsweise auf einen Hardwareausfall oder ein Problem mit der Verkabelung dieses Ports hinweisen.

Ursachenanalyse durchführen

Ein einziges Problem kann manchmal Auswirkungen auf mehrere Systeme und Funktionsschichten haben. Bedrohungsanalysen sind erforderlich, um die Zusammenhänge zu erkennen. So können beispielsweise verstreute Transaktionsausfälle in mehreren mitarbeiter- und kundenorientierten Anwendungen sowie zeitweilige Probleme mit einem Datenbankserver und Anwendungscontainern, die in einem bestimmten Kubernetes-Cluster ausgeführt werden, auf ein Problem mit dem Storage-Netzwerk zurückzuführen sein, das ihnen allen zugrunde liegt.

UEBA kann die betrieblichen Anforderungen von Unternehmen und Cloud-Service-Anbietern erfüllen, die sie sowohl prospektiv als auch retrospektiv nutzen können. Sie können UEBA-Tools verwenden, um die Ursache von verstreuten Problemen zu ermitteln, die nicht offensichtlich miteinander verbunden sind, wenn sie auftreten. Ebenso können die Werkzeuge nach einem Ausfall genutzt werden, um zu sehen, ob es Indikatoren für das Problem gab, die früher hätten erkannt werden können - und im Falle eines erneuten Auftretens auch werden.

Weitere Anwendungsfälle der Verhaltensanalyse

Außerhalb der eigentlichen IT könnte ein Unternehmen ein Tool zur Verhaltensanalyse verwenden, um das Verhalten von Mitarbeitern und Kunden für Management- und Geschäftszwecke zu verfolgen und zu verstehen. Dabei handelt es sich nicht um dieselben Produkte, die im operativen Geschäft oder im Sicherheitsbereich eingesetzt werden, aber sie verwenden dieselben Techniken und fallen unter den Begriff der Verhaltensanalyse. Unternehmen sollten sich bei der Analyse des Mitarbeiterverhaltens stets an die geltenden Gesetze, die Datenschutzrichtlinien des Unternehmens und die ethischen Grundsätze der Mitarbeiterführung halten. Auch wenn diese Instrumente ein hohes Missbrauchspotenzial aufweisen, können sie wichtige Erkenntnisse liefern.

Die Produktivität verstehen

Verhaltensweisen können Anhaltspunkte für die Produktivität von Einzelpersonen und Teams liefern und zeigen, warum einige Personen oder Teams in einem bestimmten Kontext produktiver sind als andere.

Verstehen der tatsächlichen Teamstrukturen

Die Verhaltensanalyse kann auch Kommunikationsmuster unter den Mitarbeitern aufdecken, die nützliche Erkenntnisse darüber liefern können. Etwa welche Mitarbeiter von anderen Mitarbeitern als Führungskräfte, Helfer oder Mentoren angesehen werden.

Betrügerische Transaktionen aufdecken

Banken und andere Finanzdienstleistungsinstitute sowie Dienstleistungsanbieter wie Telefongesellschaften setzen solche Technologien seit langem zur Betrugserkennung ein. Diese Systeme waren einige der ersten Anwendungen der Analysetechniken, die UEBA-Tools verwenden. In diesen Kontexten konzentrieren sich die Tools auf anomale Verhaltensweisen, wie zum Beispiel die folgenden:

• ungewöhnliche Nutzung von Geldautomatenkarten oder Online-Banking;
• unerwartete Abrechnungsmuster bei Kreditkarten;
• merkwürdige Muster bei Versicherungsansprüchen;
• Mautbetrug im Fernverkehr; und
• Robotoranrufe

Durch die Konzentration auf das, was Menschen und Systeme tun, decken UEBA-Tools nützliche Informationen in einer wachsenden Vielfalt von Anwendungsfällen auf. Die rasante Entwicklung von KI und maschinellem Lernen wird die Palette der verfügbaren Tools und ihre Fähigkeit, aus zeitlich, geografisch und systemübergreifend verstreuten Daten einen Sinn zu ziehen, noch erweitern und vertiefen.