Fachartikel

UEBA für mehr Sicherheit im Home Office

Um Cyberangriffe zu unterbinden, setzen Unternehmen oft auf White- und Blacklist-Verfahren. Systeme werden so konsequent geschützt, aber der Preis ist hoch. Die Listenführung ist für die IT-Abteilung sehr aufwändig und schränkt den operativen Betrieb ein. Besser funktioniert ein intelligenter Ansatz mit User Entity & Behavior Analytics, kurz UEBA.
Verhaltensanalyse kann auch Nutzer im Home Office schützen.
Endpoint Security ist die zentrale Herausforderung für IT-Verantwortliche im Hinblick auf Cybercrime, denn 70 Prozent aller Angriffe erfolgen über Endgeräte. In der Corona-Krise haben bereits viele Unternehmen ihre Arbeitsplätze weitgehend ins Home Office verlegt. Zusätzlich zu gut verwalteten Unternehmensgeräten sind nun aber krisenbedingt BYOD-Geräte und neu angeschaffte Notebooks als Ausstattung fürs Home Office dazugekommen. Denn der Erhalt der Arbeitsfähigkeit der Mitarbeiter und der Produktivität stand und steht auch jetzt noch immer im Vordergrund. Damit ist nicht nur die Anzahl der Endpoints gestiegen, sondern es waren und sind auch nicht alle IT-Abteilungen auf solch eine Ausnahmesituation vorbereitet.

Es musste viel improvisiert werden. Angesichts der neuen Arbeitssituation bedarf es umfassender Protection-Lösungen, für die mehrere Schritte und Komponenten – etwa VPN-Zugänge, URL-Filter oder Vulnerability-Shields – nötig sind. Für ausgereifte Security-Standards im professionellen Anwender-Umfeld setzen die Verantwortlichen häufig auf Verfahren mit Positiv- und Negativlisten. Die beiden Ansätze verfolgen gegensätzliche Strategien und kommen in unterschiedlichen Bereichen zum Einsatz.

Während sich in der Whitelist vertrauenswürdige Einträge befinden, denen ein Zugang so erlaubt wird, geht die Blacklist umgekehrt heran und verbietet lediglich als kritisch bewertete Anwendungen und Daten. Ob schwarz oder weiß – beide Methoden sind problematisch. Da ist zum einen der hohen Administrationsaufwand, denn das System muss manuell eingestellt und permanent feingetunt werden, um nicht zu lax auf Angreifer zu reagieren. Und wenn umgekehrt Zugänge zu engmaschig geblockt werden, vermindert das die Betriebsfähigkeit.

UEBA: Automatisierung statt manueller Maßnahmen
Um das Dreigestirn aus maximaler Sicherheit, geringem Administrationsaufwand und optimalem Betriebslevel zu erreichen, braucht es neue Wege. Idealerweise lernen Algorithmen per Machine Learning selbst zwischen Gut und Böse zu unterscheiden: So sinkt der manuelle Aufwand und das Sicherheitslevel erhöht sich. Im Vordergrund stehen dabei heute User Entity & Behavior Analytics (UEBA), die etwaige Security Events und Vorfälle mithilfe intelligenter Analysen schnell erkennen.

Muster bewertet das System automatisiert und gleicht es auf mögliche Anomalien ab. So prüft UEBA das Nutzerverhalten in Kombination mit verschiedenen Faktoren, wie beispielsweise IP-Adressen, Standorte oder Geräte. Aussagen über mögliche Sicherheitsvorfälle können erheblich schneller und differenzierter getroffen werden – ohne, dass der User dabei in seiner Produktivität gehemmt ist. Er ist geschützt und kann auf gewohnte Weise weiterarbeiten. Die Grundlage dafür sind schnelle, im Hintergrund ablaufende Datenanalysen sowie eine automatisierte Gefahrenerkennung.

Im Kern unterstützt UEBA ohne komplizierte vordefinierte Konfigurationsregeln effizient dabei, ungewöhnliche Prozesse aufzudecken und hilft, den Verwaltungsaufwand deutlich zu reduzieren. IT-Security-Prozesse und -Anwendungen sind dabei idealerweise integral verbunden. Um Nutzerverhalten zu bewerten, braucht es etwa Data-Monitoring-Tools oder Anomaly-Detection-Systeme, die Daten auswerten, sie mit Statistiken abgleichen und so jedes abweichende Verhalten identifizieren.

Möglich sind im Zusammenhang mit UEBA sowohl szenario- als auch verhaltensbasierte Analysen, die im Idealfall beide miteinander verbunden sind. szenariobasierte Analysen erkennen bekannte Bedrohungen in Echtzeit. Bei verhaltensbasierten Analysen hingegen erfolgt eine Reaktion auf Anomalien im Nutzerverhalten manuell. Die Kombination beider Verfahren führt sämtliche Daten zusammen und erhöht deren Aussagekraft.
Adhoc-Reaktion auf Anomalien
Eine Stärke von UEBA liegt in einer starken Breitenwirkung, lassen sich doch in der Mustererkennung alle Angriffsvarianten einbeziehen. Zum Beispiel Malware-Attacken von außen, die Daten zu entwenden oder Systeme lahmzulegen sollen. Bei internen Bedrohungen sind es die eigenen Mitarbeiter, die Sicherheitslücken öffnen. Meist passiert das versehentlich, mitunter auch vorsätzlich, um dem Unternehmen zu schaden. Die Akteure können aktuelle oder ehemalige Mitarbeiter, Dienstleister oder Partner sein. Manche haben weitreichende Zugriffe auf interne Systeme und sind so beispielsweise in der Lage, sensible Dokumente zu entwenden. Eine automatisierte IT Protection erkennt solche Aktivitäten wesentlich schneller und kann sie in Echtzeit unterbinden.

Selbst Zero-Day-Exploits lassen sich mithilfe von UEBA deutlich effektiver abwenden. Durch fehleranfällige Codes ausgelöste und binnen kürzester Zeit erfolgende Angriffe werden mitunter erst zu spät erkannt. Dem steuert UEBA entgegen, denn eine ungewöhnliche Zahl oder Art an Zugriffen wird sofort erkannt und eine Manipulation schneller registriert. Auf die Alerts hin können Entwickler zügige Patches oder Updates einsetzen. So schließen sie Sicherheitslücken, bevor der Schaden groß ist.

In vielen Fällen funktioniert das sogar vollständig automatisiert; sämtliche Prozesse laufen im Hintergrund ab. Die Software führt beim Event selbst weitere Aktionen aus oder informiert andere Anwendungen über einen Non-compliant Status. In allen anderen Fällen gilt: Sind Workflows für den Ereignisfall bereits festgelegt, können die IT-Mitarbeiter zügig nach Plan reagieren und Bedrohungen effektiv abwenden.
 
Fazit
UEBA ist smarte IT-Security ohne unangenehme Nebengeräusche: Sie gewährleistet höchstmögliche Sicherheit in Verbindung mit einem vollständig weiterlaufenden Betrieb, Administratoren können manuelle Eingriffe erheblich reduzieren und die Zeit anders nutzen. Ein weiterer, positiver Nebeneffekt: Die IT Security kommt weg von ihrem Ruf, ein "notwendiges Übel" zu sein. Sie agiert intelligent im Hintergrund und verschafft Usern Schutz, ohne, dass diese unter Restriktionen leiden.
12.05.2020/Daniel Döring, Technical Director Security and Strategic Alliances bei Matrix42/dr

Nachrichten

Malware-Untersuchung vor Ort [7.07.2020]

Die Sandboxing-Technologie von Kaspersky kann künftig auch in Kundennetzwerken eingesetzt werden. Die Umgebung unterstützt Sicherheitsexperten dabei, zielgerichtete Attacken zu entdecken und zu analysieren, während sie gleichzeitig sichergehen können, dass alle untersuchten Dateien innerhalb der eigenen Organisation verbleiben. Die eigene IT-Umgebung soll sich dabei realitätsnah nachbilden lassen. [mehr]

EU-US Privacy Shield vor dem Aus? [6.07.2020]

Die Europäische Kommission bereitet sich auf das Scheitern des EU-US Privacy Shield vor, die in der EU ansässigen Firmen sollten ebenfalls dringend mit den Vorbereitungen beginnen, rät Detlef Schmuck, Geschäftsführer der Hamburger Datensicherheits­firma TeamDrive. Würde die transatlantische Datenschutzvereinbarung vom Europäischen Gerichtshof (EuGH) wie von vielen Seiten erwartet am 16. Juli für ungültig erklärt, stünden Millionen europäischer Unternehmen, die US-amerikanische Datendienste nutzen, im Regen. [mehr]

Tipps & Tools

vCenter-Zertifikat austauschen [7.06.2020]

Jede vCenter-Serverinstanz hat nach der Installation ein selbst ausgestelltes Zertifikat. Sobald die Website der vCSA aufgerufen wird, erscheint eine Warnung bezüglich der Sicherheit. Um dies zu verhindern, können Sie entweder das Root-Zertifikat herunterladen und in den vertrauenswürdigen Speicher installieren oder das Machine-Zertifikat gegen ein eigenes ersetzen. Unser Tipp zeigt, wie das funktioniert.  [mehr]

Vorschau Juni 2020: Hybrid Cloud [25.05.2020]

Längst stehen Firmen mit einem Fuß in der Cloud. Um den Übergang in die Wolke möglichst reibungslos zu gestalten, dreht sich der Schwerpunkt im Juni-Heft um das Thema "Hybrid Cloud". Darin zeigen wir unter anderem, wie sich Firmen eine passende Hybrid-Cloud-Strategie zurechtlegen und gleichzeitig die Business Continuity im Blick behalten. Außerdem erfahren Sie, wie Sie Windows Virtual Desktop mit freien Tools verwalten und Azure AD Connect in Betrieb nehmen. In den Tests tritt unter anderem Virtana CloudWisdom zur Kostenoptimierung bei Cloudressourcen an. [mehr]

Buchbesprechung

Microsoft Office 365

von Markus Widl

Anzeigen