Fachartikel

UEBA für mehr Sicherheit im Home Office

Um Cyberangriffe zu unterbinden, setzen Unternehmen oft auf White- und Blacklist-Verfahren. Systeme werden so konsequent geschützt, aber der Preis ist hoch. Die Listenführung ist für die IT-Abteilung sehr aufwändig und schränkt den operativen Betrieb ein. Besser funktioniert ein intelligenter Ansatz mit User Entity & Behavior Analytics, kurz UEBA.
Verhaltensanalyse kann auch Nutzer im Home Office schützen.
Endpoint Security ist die zentrale Herausforderung für IT-Verantwortliche im Hinblick auf Cybercrime, denn 70 Prozent aller Angriffe erfolgen über Endgeräte. In der Corona-Krise haben bereits viele Unternehmen ihre Arbeitsplätze weitgehend ins Home Office verlegt. Zusätzlich zu gut verwalteten Unternehmensgeräten sind nun aber krisenbedingt BYOD-Geräte und neu angeschaffte Notebooks als Ausstattung fürs Home Office dazugekommen. Denn der Erhalt der Arbeitsfähigkeit der Mitarbeiter und der Produktivität stand und steht auch jetzt noch immer im Vordergrund. Damit ist nicht nur die Anzahl der Endpoints gestiegen, sondern es waren und sind auch nicht alle IT-Abteilungen auf solch eine Ausnahmesituation vorbereitet.

Es musste viel improvisiert werden. Angesichts der neuen Arbeitssituation bedarf es umfassender Protection-Lösungen, für die mehrere Schritte und Komponenten – etwa VPN-Zugänge, URL-Filter oder Vulnerability-Shields – nötig sind. Für ausgereifte Security-Standards im professionellen Anwender-Umfeld setzen die Verantwortlichen häufig auf Verfahren mit Positiv- und Negativlisten. Die beiden Ansätze verfolgen gegensätzliche Strategien und kommen in unterschiedlichen Bereichen zum Einsatz.

Während sich in der Whitelist vertrauenswürdige Einträge befinden, denen ein Zugang so erlaubt wird, geht die Blacklist umgekehrt heran und verbietet lediglich als kritisch bewertete Anwendungen und Daten. Ob schwarz oder weiß – beide Methoden sind problematisch. Da ist zum einen der hohen Administrationsaufwand, denn das System muss manuell eingestellt und permanent feingetunt werden, um nicht zu lax auf Angreifer zu reagieren. Und wenn umgekehrt Zugänge zu engmaschig geblockt werden, vermindert das die Betriebsfähigkeit.

UEBA: Automatisierung statt manueller Maßnahmen
Um das Dreigestirn aus maximaler Sicherheit, geringem Administrationsaufwand und optimalem Betriebslevel zu erreichen, braucht es neue Wege. Idealerweise lernen Algorithmen per Machine Learning selbst zwischen Gut und Böse zu unterscheiden: So sinkt der manuelle Aufwand und das Sicherheitslevel erhöht sich. Im Vordergrund stehen dabei heute User Entity & Behavior Analytics (UEBA), die etwaige Security Events und Vorfälle mithilfe intelligenter Analysen schnell erkennen.

Muster bewertet das System automatisiert und gleicht es auf mögliche Anomalien ab. So prüft UEBA das Nutzerverhalten in Kombination mit verschiedenen Faktoren, wie beispielsweise IP-Adressen, Standorte oder Geräte. Aussagen über mögliche Sicherheitsvorfälle können erheblich schneller und differenzierter getroffen werden – ohne, dass der User dabei in seiner Produktivität gehemmt ist. Er ist geschützt und kann auf gewohnte Weise weiterarbeiten. Die Grundlage dafür sind schnelle, im Hintergrund ablaufende Datenanalysen sowie eine automatisierte Gefahrenerkennung.

Im Kern unterstützt UEBA ohne komplizierte vordefinierte Konfigurationsregeln effizient dabei, ungewöhnliche Prozesse aufzudecken und hilft, den Verwaltungsaufwand deutlich zu reduzieren. IT-Security-Prozesse und -Anwendungen sind dabei idealerweise integral verbunden. Um Nutzerverhalten zu bewerten, braucht es etwa Data-Monitoring-Tools oder Anomaly-Detection-Systeme, die Daten auswerten, sie mit Statistiken abgleichen und so jedes abweichende Verhalten identifizieren.

Möglich sind im Zusammenhang mit UEBA sowohl szenario- als auch verhaltensbasierte Analysen, die im Idealfall beide miteinander verbunden sind. szenariobasierte Analysen erkennen bekannte Bedrohungen in Echtzeit. Bei verhaltensbasierten Analysen hingegen erfolgt eine Reaktion auf Anomalien im Nutzerverhalten manuell. Die Kombination beider Verfahren führt sämtliche Daten zusammen und erhöht deren Aussagekraft.
Adhoc-Reaktion auf Anomalien
Eine Stärke von UEBA liegt in einer starken Breitenwirkung, lassen sich doch in der Mustererkennung alle Angriffsvarianten einbeziehen. Zum Beispiel Malware-Attacken von außen, die Daten zu entwenden oder Systeme lahmzulegen sollen. Bei internen Bedrohungen sind es die eigenen Mitarbeiter, die Sicherheitslücken öffnen. Meist passiert das versehentlich, mitunter auch vorsätzlich, um dem Unternehmen zu schaden. Die Akteure können aktuelle oder ehemalige Mitarbeiter, Dienstleister oder Partner sein. Manche haben weitreichende Zugriffe auf interne Systeme und sind so beispielsweise in der Lage, sensible Dokumente zu entwenden. Eine automatisierte IT Protection erkennt solche Aktivitäten wesentlich schneller und kann sie in Echtzeit unterbinden.

Selbst Zero-Day-Exploits lassen sich mithilfe von UEBA deutlich effektiver abwenden. Durch fehleranfällige Codes ausgelöste und binnen kürzester Zeit erfolgende Angriffe werden mitunter erst zu spät erkannt. Dem steuert UEBA entgegen, denn eine ungewöhnliche Zahl oder Art an Zugriffen wird sofort erkannt und eine Manipulation schneller registriert. Auf die Alerts hin können Entwickler zügige Patches oder Updates einsetzen. So schließen sie Sicherheitslücken, bevor der Schaden groß ist.

In vielen Fällen funktioniert das sogar vollständig automatisiert; sämtliche Prozesse laufen im Hintergrund ab. Die Software führt beim Event selbst weitere Aktionen aus oder informiert andere Anwendungen über einen Non-compliant Status. In allen anderen Fällen gilt: Sind Workflows für den Ereignisfall bereits festgelegt, können die IT-Mitarbeiter zügig nach Plan reagieren und Bedrohungen effektiv abwenden.
 
Fazit
UEBA ist smarte IT-Security ohne unangenehme Nebengeräusche: Sie gewährleistet höchstmögliche Sicherheit in Verbindung mit einem vollständig weiterlaufenden Betrieb, Administratoren können manuelle Eingriffe erheblich reduzieren und die Zeit anders nutzen. Ein weiterer, positiver Nebeneffekt: Die IT Security kommt weg von ihrem Ruf, ein "notwendiges Übel" zu sein. Sie agiert intelligent im Hintergrund und verschafft Usern Schutz, ohne, dass diese unter Restriktionen leiden.
12.05.2020/Daniel Döring, Technical Director Security and Strategic Alliances bei Matrix42/dr

Nachrichten

Flexiblere Firewalls [19.05.2020]

Durch die Umstellung auf Home Office ist in Unternehmen die Nachfrage nach einfachen IT-Lösungen sprunghaft angestiegen. Mit einem Firewall-Servicemodell von Securepoint können Managed Service-Anbieter auf den wachsenden Bedarf reagieren. Sie profitieren ab sofort zusätzlich von Hardwareerweiterungen, Clusterlizenz und umfassenden Reportmöglichkeiten. [mehr]

Kostenfreie Security-Kurse für Profis [30.04.2020]

Fortinet stellt sein gesamtes Online-Angebot an Fortgeschrittenen-Trainings für Netzwerk-Sicherheitsexperten zum Selbststudium kostenlos zur Verfügung. Dies umfasst 24 kostenlose Security-Kurse, die Themen wie Secure SD-WAN, Public Cloud Security und Secure Access behandeln. [mehr]

Tipps & Tools

Remotezugriff via Unified Access Gateway [9.05.2020]

Für den Fernzugriff auf VMware-Horizon-Desktops und -Apps bietet VMware das Unified Access Gateway an. Damit ist der Zugriff auch ohne umfangreiche VPN-Konfiguration möglich. In unserem Tipp beschreiben wir, welche Einstellungen für den externen Zugriff auf eine Horizon-VDI-Umgebung durch ein Unified Access Gateway nötig sind. [mehr]

Download der Woche: Wire [6.05.2020]

Ein Großteil der Kommunikation erfolgt derzeit über Dienste wie WhatsApp oder Zoom. Eine äußerst sichere Alternative bietet das Tool "Wire". Die Software kombiniert Messenger- und Video-Funktionen und ist sowohl für Windows als auch macOS und Linux verfügbar. [mehr]

Buchbesprechung

Microsoft Office 365

von Markus Widl

Anzeigen