Fachartikel

UEBA für mehr Sicherheit im Home Office

Um Cyberangriffe zu unterbinden, setzen Unternehmen oft auf White- und Blacklist-Verfahren. Systeme werden so konsequent geschützt, aber der Preis ist hoch. Die Listenführung ist für die IT-Abteilung sehr aufwändig und schränkt den operativen Betrieb ein. Besser funktioniert ein intelligenter Ansatz mit User Entity & Behavior Analytics, kurz UEBA.
Verhaltensanalyse kann auch Nutzer im Home Office schützen.
Endpoint Security ist die zentrale Herausforderung für IT-Verantwortliche im Hinblick auf Cybercrime, denn 70 Prozent aller Angriffe erfolgen über Endgeräte. In der Corona-Krise haben bereits viele Unternehmen ihre Arbeitsplätze weitgehend ins Home Office verlegt. Zusätzlich zu gut verwalteten Unternehmensgeräten sind nun aber krisenbedingt BYOD-Geräte und neu angeschaffte Notebooks als Ausstattung fürs Home Office dazugekommen. Denn der Erhalt der Arbeitsfähigkeit der Mitarbeiter und der Produktivität stand und steht auch jetzt noch immer im Vordergrund. Damit ist nicht nur die Anzahl der Endpoints gestiegen, sondern es waren und sind auch nicht alle IT-Abteilungen auf solch eine Ausnahmesituation vorbereitet.

Es musste viel improvisiert werden. Angesichts der neuen Arbeitssituation bedarf es umfassender Protection-Lösungen, für die mehrere Schritte und Komponenten – etwa VPN-Zugänge, URL-Filter oder Vulnerability-Shields – nötig sind. Für ausgereifte Security-Standards im professionellen Anwender-Umfeld setzen die Verantwortlichen häufig auf Verfahren mit Positiv- und Negativlisten. Die beiden Ansätze verfolgen gegensätzliche Strategien und kommen in unterschiedlichen Bereichen zum Einsatz.

Während sich in der Whitelist vertrauenswürdige Einträge befinden, denen ein Zugang so erlaubt wird, geht die Blacklist umgekehrt heran und verbietet lediglich als kritisch bewertete Anwendungen und Daten. Ob schwarz oder weiß – beide Methoden sind problematisch. Da ist zum einen der hohen Administrationsaufwand, denn das System muss manuell eingestellt und permanent feingetunt werden, um nicht zu lax auf Angreifer zu reagieren. Und wenn umgekehrt Zugänge zu engmaschig geblockt werden, vermindert das die Betriebsfähigkeit.

UEBA: Automatisierung statt manueller Maßnahmen
Um das Dreigestirn aus maximaler Sicherheit, geringem Administrationsaufwand und optimalem Betriebslevel zu erreichen, braucht es neue Wege. Idealerweise lernen Algorithmen per Machine Learning selbst zwischen Gut und Böse zu unterscheiden: So sinkt der manuelle Aufwand und das Sicherheitslevel erhöht sich. Im Vordergrund stehen dabei heute User Entity & Behavior Analytics (UEBA), die etwaige Security Events und Vorfälle mithilfe intelligenter Analysen schnell erkennen.

Muster bewertet das System automatisiert und gleicht es auf mögliche Anomalien ab. So prüft UEBA das Nutzerverhalten in Kombination mit verschiedenen Faktoren, wie beispielsweise IP-Adressen, Standorte oder Geräte. Aussagen über mögliche Sicherheitsvorfälle können erheblich schneller und differenzierter getroffen werden – ohne, dass der User dabei in seiner Produktivität gehemmt ist. Er ist geschützt und kann auf gewohnte Weise weiterarbeiten. Die Grundlage dafür sind schnelle, im Hintergrund ablaufende Datenanalysen sowie eine automatisierte Gefahrenerkennung.

Im Kern unterstützt UEBA ohne komplizierte vordefinierte Konfigurationsregeln effizient dabei, ungewöhnliche Prozesse aufzudecken und hilft, den Verwaltungsaufwand deutlich zu reduzieren. IT-Security-Prozesse und -Anwendungen sind dabei idealerweise integral verbunden. Um Nutzerverhalten zu bewerten, braucht es etwa Data-Monitoring-Tools oder Anomaly-Detection-Systeme, die Daten auswerten, sie mit Statistiken abgleichen und so jedes abweichende Verhalten identifizieren.

Möglich sind im Zusammenhang mit UEBA sowohl szenario- als auch verhaltensbasierte Analysen, die im Idealfall beide miteinander verbunden sind. szenariobasierte Analysen erkennen bekannte Bedrohungen in Echtzeit. Bei verhaltensbasierten Analysen hingegen erfolgt eine Reaktion auf Anomalien im Nutzerverhalten manuell. Die Kombination beider Verfahren führt sämtliche Daten zusammen und erhöht deren Aussagekraft.
Adhoc-Reaktion auf Anomalien
Eine Stärke von UEBA liegt in einer starken Breitenwirkung, lassen sich doch in der Mustererkennung alle Angriffsvarianten einbeziehen. Zum Beispiel Malware-Attacken von außen, die Daten zu entwenden oder Systeme lahmzulegen sollen. Bei internen Bedrohungen sind es die eigenen Mitarbeiter, die Sicherheitslücken öffnen. Meist passiert das versehentlich, mitunter auch vorsätzlich, um dem Unternehmen zu schaden. Die Akteure können aktuelle oder ehemalige Mitarbeiter, Dienstleister oder Partner sein. Manche haben weitreichende Zugriffe auf interne Systeme und sind so beispielsweise in der Lage, sensible Dokumente zu entwenden. Eine automatisierte IT Protection erkennt solche Aktivitäten wesentlich schneller und kann sie in Echtzeit unterbinden.

Selbst Zero-Day-Exploits lassen sich mithilfe von UEBA deutlich effektiver abwenden. Durch fehleranfällige Codes ausgelöste und binnen kürzester Zeit erfolgende Angriffe werden mitunter erst zu spät erkannt. Dem steuert UEBA entgegen, denn eine ungewöhnliche Zahl oder Art an Zugriffen wird sofort erkannt und eine Manipulation schneller registriert. Auf die Alerts hin können Entwickler zügige Patches oder Updates einsetzen. So schließen sie Sicherheitslücken, bevor der Schaden groß ist.

In vielen Fällen funktioniert das sogar vollständig automatisiert; sämtliche Prozesse laufen im Hintergrund ab. Die Software führt beim Event selbst weitere Aktionen aus oder informiert andere Anwendungen über einen Non-compliant Status. In allen anderen Fällen gilt: Sind Workflows für den Ereignisfall bereits festgelegt, können die IT-Mitarbeiter zügig nach Plan reagieren und Bedrohungen effektiv abwenden.
 
Fazit
UEBA ist smarte IT-Security ohne unangenehme Nebengeräusche: Sie gewährleistet höchstmögliche Sicherheit in Verbindung mit einem vollständig weiterlaufenden Betrieb, Administratoren können manuelle Eingriffe erheblich reduzieren und die Zeit anders nutzen. Ein weiterer, positiver Nebeneffekt: Die IT Security kommt weg von ihrem Ruf, ein "notwendiges Übel" zu sein. Sie agiert intelligent im Hintergrund und verschafft Usern Schutz, ohne, dass diese unter Restriktionen leiden.
12.05.2020/Daniel Döring, Technical Director Security and Strategic Alliances bei Matrix42/dr

Nachrichten

Mehr Angriffe auf IIoT-Plattformen im Gesundheitswesen [2.08.2021]

Die Gesundheitsbranche wird seit der Corona-Pandemie zunehmend von digitalen Angriffen bedroht. Im Gesundheitssektor sind auch IIoT-Plattformen und somit Geräte wie etwa Magnetresonanztomographen (MRT) und Computertomographen (CT) betroffen. Ebenso angreifbar sind tragbare, medizinische Devices zur Fernüberwachung von Patienten, wie etwa Messgeräte für Blutzucker oder Blutdruck, sofern diese an die Büroinfrastruktur angebunden sind. [mehr]

Bequemere Forensik [2.08.2021]

ElcomSoft aktualisiert sein System Recovery, ein bootfähiges Tool zum Entsperren von Windows-Konten und verschlüsselter VMs sowie dem Zugriff auf verschlüsselte Volumes. Version 7.08 bietet die Möglichkeit, WLAN-Passwörter und den Windows-Lizenzschlüssel zu extrahieren. [mehr]

Tipps & Tools

Im Test: Red Hat OpenShift 4.7 [1.07.2021]

Leicht, effizient und komfortabel sollen IT-Verantwortliche dank OpenShift 4.7 von Red Hat in den Genuss von Container-Orchestrierung mit Kubernetes kommen. Ob dies gelingt, entscheidet sich in der Praxis an Punkten wie Betrieb, Wartung und Sicherheit sowie den vorhandenen Kubernetes-Funktionen. Im Test bewährte sich OpenShift 4.7 zwar sehr gut, gleichzeitig brachten Abweichungen von Red Hats Vorgaben jedoch Probleme mit sich. [mehr]

Vorschau Juli 2021: Container- und Applikationsmanagement [21.06.2021]

Das flexible Bereitstellen von Anwendungen und Software-Umgebungen ist dank der Container-Technologie kein Hexenwerk mehr. Dennoch gilt es für Admins, so manche Fallstricke zu umgehen. In der Juli-Ausgabe befasst sich IT-Administrator mit dem Thema "Container- und Applikationsmanagement". Darin lesen Sie, wie Sie Ihre eigenen Container-Templates erstellen und serverlose, cloudnative Anwendungen mit Knative automatisiert betreiben. Außerdem beleuchten wir das Windows Subsystem für Linux 2 und zeigen, wie Sie Kubernetes in vSphere ohne Cloud Foundation betreiben. In de Produkttests werfen wir einen Blick auf Red Hat OpenShift. [mehr]

Buchbesprechung

Windows 10 Power-Tipps

von Günter Born

Anzeigen