Die UEBA und ihre Rolle bei der Reaktion auf Vorfälle verstehen

Sicherheitsverletzungen sind in der digitalen Welt immer häufiger geworden. UEBA hilft Unternehmen, diese Vorfälle zu erkennen und darauf zu reagieren.

User and Entity Behavior Analytics (UEBA) war früher als User Behavior Analytics (UBA) bekannt. Es handelt sich dabei um eine Cybersicherheitslösung, die Analysen verwendet, um zu verstehen, wie sich Benutzer (Menschen) und Entitäten (vernetzte Geräte und Server) in einer Organisation typischerweise verhalten, um anomale Aktivitäten in Echtzeit zu erkennen und darauf zu reagieren.

UEBA kann Sicherheitsanalysten auf riskante Schwankungen und verdächtiges Verhalten hinweisen und sie entsprechend alarmieren:

Seitliche Bewegung
Missbrauch von privilegierten Konten
Eskalation von Privilegien
Kompromittierung von Zugangsdaten oder
Insider-Bedrohungen

UEBA bewertet außerdem den Grad der Bedrohung und liefert eine Risikobewertung, die bei der Festlegung einer angemessenen Reaktion helfen kann.

Lesen Sie weiter, um zu erfahren, wie UEBA funktioniert, warum Unternehmen auf UEBA umsteigen, die wichtigsten Komponenten von UEBA, die Rolle von UEBA bei der Reaktion auf Vorfälle und die besten Praktiken für UEBA.

Wie funktioniert User and Entity Behavior Analytics?

Die Analyse des Benutzer- und Entitätsverhaltens sammelt zunächst Informationen über das erwartete Verhalten der Menschen und Maschinen in Ihrem Unternehmen aus Daten-Repositories wie einem Data Lake, einem Data Warehouse oder über SIEM.

UEBA verwendet dann fortschrittliche Analyseansätze, um diese Informationen zu verarbeiten und eine Basislinie von Verhaltensmustern zu bestimmen und weiter zu definieren: von wo aus sich ein Mitarbeiter anmeldet, seine Berechtigungsstufe, Dateien, Server, auf die er häufig zugreift, Zeit und Häufigkeit des Zugriffs und Geräte, die er für den Zugriff verwendet.

UEBA überwacht dann kontinuierlich die Aktivitäten von Benutzern und Unternehmen, vergleicht sie mit dem Basisverhalten und entscheidet, welche Aktionen zu einem Angriff führen könnten.

UEBA kann erkennen, wann ein Benutzer seinen normalen Aktivitäten nachgeht und wann ein Angriff stattfindet. Ein Hacker kann zwar auf die Anmeldedaten eines Mitarbeiters zugreifen, ist aber nicht in der Lage, dessen normale Aktivitäten und Verhalten nachzuahmen.

Eine UEBA-Lösung besteht aus drei Hauptkomponenten:

Datenanalyse: UEBA sammelt und organisiert Daten von Benutzern und Unternehmen, um ein Standardprofil des typischen Verhaltens jedes Benutzers zu erstellen. Dann werden statistische Modelle formuliert und angewendet, um anomale Aktivitäten zu erkennen und das Sicherheitsteam zu alarmieren.

Datenintegration: Um das System widerstandsfähiger zu machen, vergleicht UEBA Daten, die aus verschiedenen Quellen stammen – wie Systemprotokolle, Packet-Capture-Daten und andere Datensätze – mit Daten, die von bestehenden Sicherheitssystemen gesammelt wurden.

Datenpräsentation: Der Prozess, durch den das UEBA-System seine Ergebnisse und die entsprechende Reaktion mitteilt. Dieser Prozess beinhaltet in der Regel die Aufforderung an die Sicherheitsanalysten, ein ungewöhnliches Verhalten zu untersuchen.

Die Rolle von UEBA bei der Reaktion auf Vorfälle

Die Analyse des Benutzer- und Entitätsverhaltens nutzt maschinelles Lernen und Deep Learning, um das übliche Verhalten von Menschen und Maschinen in Ihrem Unternehmen zu überwachen und zu analysieren.

Wenn es eine Abweichung vom regulären Muster gibt, erkennt das UEBA-System dies und führt eine Analyse durch, die bestimmt, ob das ungewöhnliche Verhalten eine echte Bedrohung darstellt oder nicht.

UEBA nimmt Daten aus verschiedenen Protokollquellen wie einer Datenbank, Windows AD, VPN, Proxy, Badge, Dateien und Endpunkten auf, um diese Analyse durchzuführen. Anhand dieser Eingaben und des erlernten Verhaltens kann UEBA die Informationen zu einem endgültigen Ergebnis für die Risikoeinstufung zusammenführen und einen detaillierten Bericht an die Sicherheitsanalysten senden.

UEBA kann zum Beispiel einen Mitarbeiter betrachten, der sich zum ersten Mal über VPN aus Afrika einloggt. Nur weil das Verhalten des Mitarbeiters ungewöhnlich ist, bedeutet das nicht, dass es sich um eine Bedrohung handelt; vielleicht ist der Benutzer einfach nur auf Reisen. Wenn jedoch derselbe Mitarbeiter in der Personalabteilung plötzlich auf das Finanz-Subnetz zugreift, würde UEBA die Aktivitäten des Mitarbeiters als verdächtig erkennen und das Sicherheitsteam alarmieren.

Hier ist ein weiteres nachvollziehbares Szenario.

Harry, ein Angestellter des Mount Sinai Krankenhauses in New York, braucht dringend Geld. An diesem Tag wartet Harry, bis alle das Büro verlassen haben, und lädt dann um 19 Uhr sensible Patientendaten auf ein USB-Gerät herunter. Er beabsichtigt, die gestohlenen Daten auf dem Schwarzmarkt für einen hohen Preis zu verkaufen.

Glücklicherweise setzt das Mount Sinai Hospital eine UEBA-Lösung ein, die das Verhalten jedes Benutzers und jeder Einheit innerhalb des Krankenhausnetzwerks überwacht.

Obwohl Harry die Erlaubnis hat, auf Patientendaten zuzugreifen, erhöht das UEBA-System seinen Risikowert, wenn es eine Abweichung von seinen üblichen Aktivitäten feststellt, die in der Regel darin bestehen, zwischen 9 Uhr morgens und 17 Uhr abends Patientendaten einzusehen, zu erstellen und zu bearbeiten.

Als Harry versucht, um 19 Uhr auf die Informationen zuzugreifen, erkennt das System Muster und zeitliche Unregelmäßigkeiten und weist ihm einen Risikowert zu.

Sie können Ihr UEBA-System so einrichten, dass es einfacheine Warnung für das Sicherheitsteam erzeugt, um weitere Untersuchungen vorzuschlagen, oder Sie können es so einrichten, dass es sofortige Maßnahmen ergreift, wie z.B. die automatische Abschaltung der Netzwerkverbindung für diesen Mitarbeiter aufgrund des vermuteten Cyberangriffs.

Brauche ich eine UEBA-Lösung?

Eine UEBA-Lösung ist für Unternehmen unverzichtbar, da Hacker immer raffiniertere Angriffe durchführen, die immer schwieriger zu erkennen sind. Dies gilt insbesondere für Fälle, in denen die Bedrohung von innen kommt.

Jüngsten Cybersecurity-Statistiken zufolge sind weltweit mehr als 34 % der Unternehmen von Insider-Bedrohungen betroffen. Außerdem sagen 85% der Unternehmen, dass es schwierig ist, die tatsächlichen Kosten eines Insider-Angriffs zu beziffern.

Infolgedessen verlagern sich die Sicherheitsteams auf neuere Erkennungs- und Incident Response (IR)-Ansätze. Um ihre Sicherheitssysteme auszubalancieren und zu stärken, kombinieren Sicherheitsanalysten Technologien wie User and Entity Behaviour Analytics (UEBA) mit herkömmlichen SIEMs und anderen bestehenden Präventionssystemen.

UEBA bietet Ihnen ein leistungsfähigeres System zur Erkennung von Insider-Bedrohungen im Vergleich zu anderen traditionellen Sicherheitslösungen. Es überwacht nicht nur anomales menschliches Verhalten, sondern auch verdächtige seitliche Bewegungen. UEBA verfolgt auch Aktivitäten auf Ihren Cloud-Diensten, mobilen Geräten und Geräten des Internets der Dinge.

Ein ausgeklügeltes UEBA-System nimmt Daten aus all den verschiedenen Protokollquellen auf und erstellt einen detaillierten Bericht über den Angriff für Ihre Sicherheitsanalysten. Dies erspart Ihrem Sicherheitsteam die Zeit, die es mit der Durchsicht unzähliger Protokolle verbringen muss, um den tatsächlichen Schaden durch einen Angriff zu ermitteln.

Hier sind einige der vielen Anwendungsfälle von UEBA.

Die 6 wichtigsten UEBA-Anwendungsfälle

#1. UEBA erkennt den Missbrauch von Insider-Privilegien, wenn Benutzer riskante Aktivitäten außerhalb des normalen Verhaltens durchführen.

#2. UEBA fasst verdächtige Informationen aus verschiedenen Quellen zusammen, um eine Risikobewertung für das Risiko-Ranking zu erstellen.

#3. UEBA führt eine Priorisierung von Vorfällen durch, indem es falsch-positive Meldungen reduziert. Es verhindert die Ermüdung von Sicherheitsteams und ermöglicht es ihnen, sich auf Alarme mit hohem Risiko zu konzentrieren.

#4. UEBA verhindert Datenverlust und Datenexfiltration, da das System Warnungen sendet, wenn es feststellt, dass sensible Daten innerhalb des Netzwerks bewegt oder aus dem Netzwerk heraus übertragen werden.

#5. UEBA hilft dabei, seitliche Bewegungen von Hackern innerhalb des Netzwerks zu erkennen, die möglicherweise die Anmeldedaten der Mitarbeiter gestohlen haben.

#6. UEBA bietet auch automatische Reaktionen auf Vorfälle, so dass Sicherheitsteams in Echtzeit auf Sicherheitsvorfälle reagieren können.

Wie UEBA das UBA und ältere Sicherheitssysteme wie SIEM verbessert

UEBA ersetzt keine anderen Sicherheitssysteme, sondern stellt eine wesentliche Verbesserung dar, die neben anderen Lösungen für eine effektivere Cybersicherheit eingesetzt wird. UEBA unterscheidet sich von der Analyse des Benutzerverhaltens (UBA) dadurch, dass UEBA “Entitäten” und “Ereignisse” wie Server, Router und Endpunkte umfasst.

Eine UEBA-Lösung ist umfassender als UBA, da sie nicht-menschliche Prozesse und maschinelle Entitäten überwacht, um Bedrohungen genauer zu identifizieren.

SIEM steht für Security Information and Event Management. Herkömmliche SIEM-Lösungen sind unter Umständen nicht in der Lage, ausgefeilte Bedrohungen selbst zu erkennen, da sie nicht darauf ausgelegt sind, Bedrohungen in Echtzeit zu überwachen. Und wenn man bedenkt, dass Hacker oft einfache einmalige Angriffe vermeiden und stattdessen eine Kette von ausgeklügelten Angriffen durchführen, können sie von herkömmlichen Tools zur Erkennung von Bedrohungen wie SIEM wochen- oder sogar monatelang unentdeckt bleiben.

Eine ausgeklügelte UEBA-Lösung behebt diese Einschränkung. UEBA-Systeme analysieren die von SIEM gespeicherten Daten und arbeiten zusammen, um Bedrohungen in Echtzeit zu überwachen, so dass Sie schnell und mühelos auf Sicherheitsverletzungen reagieren können.

Durch die Zusammenführung von UEBA- und SIEM-Tools können Unternehmen also viel effektiver Bedrohungen erkennen und analysieren, Schwachstellen schnell beheben und Angriffe vermeiden.

Best Practices für User und Entity Behaviour Analytics

Im Folgenden finden Sie fünf Best Practices für die Analyse des Benutzerverhaltens, die Ihnen Aufschluss darüber geben, was Sie beim Aufbau einer Baseline für das Benutzerverhalten tun sollten.

#1. Definieren Sie Anwendungsfälle

Definieren Sie die Anwendungsfälle, die Sie mit Ihrer UEBA-Lösung identifizieren möchten. Dabei kann es sich um die Erkennung des Missbrauchs von privilegierten Konten, die Kompromittierung von Zugangsdaten oder Bedrohungen durch Insider handeln. Die Definition von Anwendungsfällen hilft Ihnen zu bestimmen, welche Daten für die Überwachung gesammelt werden sollen.

#2. Definieren Sie Datenquellen

Je mehr Datentypen Ihre UEBA-Systeme verarbeiten können, desto präziser wird das Baselining sein. Einige Datenquellen sind z.B. Systemprotokolle oder Personaldaten wie die Leistungshistorie der Mitarbeiter.

#3. Definieren Sie Verhaltensweisen, über die Daten gesammelt werden sollen

Dazu könnten die Arbeitszeiten der Mitarbeiter, Anwendungen und Geräte, auf die sie häufig zugreifen, und Tipprhythmen gehören. Mit diesen Daten können Sie mögliche Gründe für Fehlalarme besser verstehen.

#4. Legen Sie eine Dauer für die Erstellung der Baseline fest

Bei der Festlegung der Dauer Ihres Baseline-Zeitraums ist es wichtig, die Sicherheitsziele Ihres Unternehmens und die Aktivitäten der Benutzer zu berücksichtigen.

Der Baseline-Zeitraum sollte weder zu kurz noch zu lang sein. Denn wenn Sie die Baseline-Dauer zu schnell beenden, können Sie möglicherweise nicht die richtigen Informationen sammeln, was zu einer hohen Rate von Fehlalarmen führt. Andererseits können einige bösartige Aktivitäten als normal durchgehen, wenn Sie sich zu lange Zeit lassen, um die Baseline-Informationen zu sammeln.

#5. Aktualisieren Sie Ihre Baseline-Daten regelmäßig

Möglicherweise müssen Sie Ihre Basisdaten regelmäßig neu erstellen, da sich die Aktivitäten von Benutzern und Unternehmen ständig ändern. Ein Mitarbeiter kann befördert werden und seine Aufgaben und Projekte, seine Berechtigungsstufe und seine Aktivitäten ändern. UEBA-Systeme können automatisch so eingestellt werden, dass sie Daten sammeln und die Basisdaten anpassen, wenn sich Änderungen ergeben.

Letzte Worte

Mit der zunehmenden Abhängigkeit von der Technologie werden auch die Bedrohungen für die Cybersicherheit immer komplexer. Ein großes Unternehmen muss seine Systeme, die sensible Daten von sich selbst und seinen Kunden enthalten, schützen, um groß angelegte Sicherheitsverletzungen zu vermeiden. UEBA bietet ein Echtzeit-Reaktionssystem, das Angriffe verhindern kann.

Mary Manzi
Beitragender
- LinkedIn
Mary Manzi is a HubSpot-certified cybersecurity content writer who writes primarily cybersecurity news-related articles. Mary feels that given the current global scenario, security threats and data breaches are what her readers should be aware of and know how to handle, which is why she educates them on the same through her writing.