UEBA und das Mitre Att&ck Framework
Kenne deinen Feind
Fortsetzung des Artikels von Teil 2
Von Rohdaten zur Information
Im Kern basiert UEBA auf Techniken der Datenwissenschaften (Data Science), um mittels statistischer Ansätze Anomalien zu erkennen. Die Herausforderung besteht darin, diesen Anomalien einen Sinn zu geben und sie mit Kontext und Fachwissen anzureichern, damit ein Sicherheitsanalyst darauf reagieren kann: Statt die Analysten einfach nur auf ein anomales Ereignis ohne jeglichen Kontext hinzuweisen, muss die Software verwertbare Informationen in klaren und eindeutigen Begriffen liefern.
UEBA bietet zwei Vorteile: Erstens erkennt es anomale Verhaltensweisen und trifft mit hoher Sicherheit eine Entscheidung darüber, ob sie verdächtig oder legitim sind. Diese Analyse basiert auf dem Verständnis des Kontextes und ist mit nicht-verhaltensbasierten Methoden nur schwer oder gar nicht zu automatisieren. Der zweite Vorteil besteht darin, dass die Software jedem Benutzer und jeder Entität in der Organisation eine Risikobewertung zuweist, die der Anzahl und dem Schweregrad der anomalen Ereignisse entspricht. Diese Risikowerte stellen eine zusätzliche Dimension der regelbasierten Analyse im SIEM dar: Statt jedes Mal einen Alarm auszulösen, wenn ein Nutzer auf eine File-Sharing-Website zugreift, warnt ein vorkonfigurierter intelligenterer Alarm nur dann, wenn dieser Benutzer einen hohen Risikowert aufweist. Dies steigert letztendlich die Zuverlässigkeit der Warnungen und senkt die Zahl falsch-positiver und falsch-negativer Ergebnisse.
Für „Defense in Depth“ ist es sinnvoll, sich überschneidende Kontrollmechanismen zu nutzen, durchaus also auch traditionelle Methoden der Signaturerkennung wie IDS, Blacklists und Virenschutz. Eine Verhaltensanalyse ergänzt traditionelle Ansätze und füllt viele Lücken, die diese Ansätze schaffen. Unternehmen verfügen dabei über zwei Möglichkeiten, verhaltensbasierte Techniken zu implementieren: Erstens gibt es mit der Ausrichtung an Mitre Att&ck einen einfachen Weg, das Angreiferverhalten besser zu verstehen und zu erkennen. Zweitens hilft UEBA mit einer ergänzenden Verhaltensanalyse zu verstehen, wann etwas Ungewöhnliches ein Hinweis auf eine Kompromittierung sein könnte.
Jake McCabe ist CISSP und Presales Director bei LogPoint.
- Kenne deinen Feind
- Angreiferverhalten analysieren
- Von Rohdaten zur Information
Lesen Sie mehr zum Thema
