UEBA für mehr Sicherheit im Home Office

Lesezeit
3 Minuten
Bis jetzt gelesen

UEBA für mehr Sicherheit im Home Office

12.05.2020 - 10:11
Veröffentlicht in:
Um Cyberangriffe zu unterbinden, setzen Unternehmen oft auf White- und Blacklist-Verfahren. Systeme werden so konsequent geschützt, aber der Preis ist hoch. Die Listenführung ist für die IT-Abteilung sehr aufwändig und schränkt den operativen Betrieb ein. Besser funktioniert ein intelligenter Ansatz mit User Entity & Behavior Analytics, kurz UEBA.
Endpoint Security ist die zentrale Herausforderung für IT-Verantwortliche im Hinblick auf Cybercrime, denn 70 Prozent aller Angriffe erfolgen über Endgeräte. In der Corona-Krise haben bereits viele Unternehmen ihre Arbeitsplätze weitgehend ins Home Office verlegt. Zusätzlich zu gut verwalteten Unternehmensgeräten sind nun aber krisenbedingt BYOD-Geräte und neu angeschaffte Notebooks als Ausstattung fürs Home Office dazugekommen. Denn der Erhalt der Arbeitsfähigkeit der Mitarbeiter und der Produktivität stand und steht auch jetzt noch immer im Vordergrund. Damit ist nicht nur die Anzahl der Endpoints gestiegen, sondern es waren und sind auch nicht alle IT-Abteilungen auf solch eine Ausnahmesituation vorbereitet.

Es musste viel improvisiert werden. Angesichts der neuen Arbeitssituation bedarf es umfassender Protection-Lösungen, für die mehrere Schritte und Komponenten – etwa VPN-Zugänge, URL-Filter oder Vulnerability-Shields – nötig sind. Für ausgereifte Security-Standards im professionellen Anwender-Umfeld setzen die Verantwortlichen häufig auf Verfahren mit Positiv- und Negativlisten. Die beiden Ansätze verfolgen gegensätzliche Strategien und kommen in unterschiedlichen Bereichen zum Einsatz.

Während sich in der Whitelist vertrauenswürdige Einträge befinden, denen ein Zugang so erlaubt wird, geht die Blacklist umgekehrt heran und verbietet lediglich als kritisch bewertete Anwendungen und Daten. Ob schwarz oder weiß – beide Methoden sind problematisch. Da ist zum einen der hohen Administrationsaufwand, denn das System muss manuell eingestellt und permanent feingetunt werden, um nicht zu lax auf Angreifer zu reagieren. Und wenn umgekehrt Zugänge zu engmaschig geblockt werden, vermindert das die Betriebsfähigkeit.

UEBA: Automatisierung statt manueller Maßnahmen
Um das Dreigestirn aus maximaler Sicherheit, geringem Administrationsaufwand und optimalem Betriebslevel zu erreichen, braucht es neue Wege. Idealerweise lernen Algorithmen per Machine Learning selbst zwischen Gut und Böse zu unterscheiden: So sinkt der manuelle Aufwand und das Sicherheitslevel erhöht sich. Im Vordergrund stehen dabei heute User Entity & Behavior Analytics (UEBA), die etwaige Security Events und Vorfälle mithilfe intelligenter Analysen schnell erkennen.

Muster bewertet das System automatisiert und gleicht es auf mögliche Anomalien ab. So prüft UEBA das Nutzerverhalten in Kombination mit verschiedenen Faktoren, wie beispielsweise IP-Adressen, Standorte oder Geräte. Aussagen über mögliche Sicherheitsvorfälle können erheblich schneller und differenzierter getroffen werden – ohne, dass der User dabei in seiner Produktivität gehemmt ist. Er ist geschützt und kann auf gewohnte Weise weiterarbeiten. Die Grundlage dafür sind schnelle, im Hintergrund ablaufende Datenanalysen sowie eine automatisierte Gefahrenerkennung.

Im Kern unterstützt UEBA ohne komplizierte vordefinierte Konfigurationsregeln effizient dabei, ungewöhnliche Prozesse aufzudecken und hilft, den Verwaltungsaufwand deutlich zu reduzieren. IT-Security-Prozesse und -Anwendungen sind dabei idealerweise integral verbunden. Um Nutzerverhalten zu bewerten, braucht es etwa Data-Monitoring-Tools oder Anomaly-Detection-Systeme, die Daten auswerten, sie mit Statistiken abgleichen und so jedes abweichende Verhalten identifizieren.

Möglich sind im Zusammenhang mit UEBA sowohl szenario- als auch verhaltensbasierte Analysen, die im Idealfall beide miteinander verbunden sind. szenariobasierte Analysen erkennen bekannte Bedrohungen in Echtzeit. Bei verhaltensbasierten Analysen hingegen erfolgt eine Reaktion auf Anomalien im Nutzerverhalten manuell. Die Kombination beider Verfahren führt sämtliche Daten zusammen und erhöht deren Aussagekraft.


Adhoc-Reaktion auf Anomalien
Eine Stärke von UEBA liegt in einer starken Breitenwirkung, lassen sich doch in der Mustererkennung alle Angriffsvarianten einbeziehen. Zum Beispiel Malware-Attacken von außen, die Daten zu entwenden oder Systeme lahmzulegen sollen. Bei internen Bedrohungen sind es die eigenen Mitarbeiter, die Sicherheitslücken öffnen. Meist passiert das versehentlich, mitunter auch vorsätzlich, um dem Unternehmen zu schaden. Die Akteure können aktuelle oder ehemalige Mitarbeiter, Dienstleister oder Partner sein. Manche haben weitreichende Zugriffe auf interne Systeme und sind so beispielsweise in der Lage, sensible Dokumente zu entwenden. Eine automatisierte IT Protection erkennt solche Aktivitäten wesentlich schneller und kann sie in Echtzeit unterbinden.

Selbst Zero-Day-Exploits lassen sich mithilfe von UEBA deutlich effektiver abwenden. Durch fehleranfällige Codes ausgelöste und binnen kürzester Zeit erfolgende Angriffe werden mitunter erst zu spät erkannt. Dem steuert UEBA entgegen, denn eine ungewöhnliche Zahl oder Art an Zugriffen wird sofort erkannt und eine Manipulation schneller registriert. Auf die Alerts hin können Entwickler zügige Patches oder Updates einsetzen. So schließen sie Sicherheitslücken, bevor der Schaden groß ist.

In vielen Fällen funktioniert das sogar vollständig automatisiert; sämtliche Prozesse laufen im Hintergrund ab. Die Software führt beim Event selbst weitere Aktionen aus oder informiert andere Anwendungen über einen Non-compliant Status. In allen anderen Fällen gilt: Sind Workflows für den Ereignisfall bereits festgelegt, können die IT-Mitarbeiter zügig nach Plan reagieren und Bedrohungen effektiv abwenden.
 
Fazit
UEBA ist smarte IT-Security ohne unangenehme Nebengeräusche: Sie gewährleistet höchstmögliche Sicherheit in Verbindung mit einem vollständig weiterlaufenden Betrieb, Administratoren können manuelle Eingriffe erheblich reduzieren und die Zeit anders nutzen. Ein weiterer, positiver Nebeneffekt: Die IT Security kommt weg von ihrem Ruf, ein "notwendiges Übel" zu sein. Sie agiert intelligent im Hintergrund und verschafft Usern Schutz, ohne, dass diese unter Restriktionen leiden.

Daniel Döring, Technical Director Security and Strategic Alliances bei Matrix42/dr

Ähnliche Beiträge

Schatten-IT im Home Office verhindern

Seit Beginn der Pandemie boomt das Home Office. Mehr Flexibilität, ein geringeres Infektionsrisiko und hohe Produktivität sind die Folgen. Doch wie immer gibt es auch eine Kehrseite: Gefahren aufgrund von Schatten-IT. Mitarbeiter nutzen unautorisierte Soft- und Hardware, um ihren Aufgaben nachzugehen und öffnen Hackern damit oft unbewusst Tür und Tor. Der Online-Artikel zeigt die Risiken auf und beleuchtet, was IT-Verantwortliche tun können, um die eigene Infrastruktur wirkungsvoll zu sichern.

Datenklau im Home Office – so schützen sich Unternehmen

Das Arbeiten im Home Office ist nicht zuletzt durch die Corona-Pandemie für viele Arbeitnehmer mittlerweile zu einer Selbstverständlichkeit im Job geworden. Remote Work bringt aber auch viele Schwachstellen in Sachen Datenschutz und Zusammenarbeit im Team mit sich. Doch moderne Werkzeuge können beide Probleme umgehen.