IT-Security

Big Data und Machine Learning im Kampf gegen Cyberkriminalität

5. Juni 2018, 11:58 Uhr | Autor: Ross Brewer / Redaktion: Axel Pomper

Ohne Automatisierung, Big-Data-Analysen und Machine Learning können Unternehmen eine Vielzahl von Herausforderungen nicht mehr bewältigen. So setzen Firmen beispielsweise immer öfter intelligente Cloud-basierte Systeme ein, um den Kundenservice, die Lieferketten und die IT-Sicherheit zu verbessern.

Insbesondere Lösungen für schnellere und einfachere sowie automatisierte Sicherheit sind wichtiger denn je. Denn Sicherheitsexperten sind Mangelware, wohingegen Anzahl, Umfang sowie Komplexität von Cyberbedrohungen stetig weiterwachsen. Glücklicherweise kann User and Entity Behaviour Analytics (UEBA) hier eingreifen und die Fachkräfte auf der Jagd nach Cyberkriminellen unterstützen. UEBA überwacht automatisiert, wie Benutzer und Geräte innerhalb der Systeme eines Unternehmens agieren und macht auf Anomalien und ungewöhnliches Verhalten aufmerksam.

Angesichts einer schnelllebigen und komplexen Bedrohungslandschaft ist es wichtig, Cyberbedrohungen schnell zu erkennen und effektiv zu bekämpfen, um Schäden zu minimieren. Noch besser wäre es jedoch, Attacken bereits in ihrer Entstehung aufzuspüren, oder sogar schon zu verhindern, bevor Schäden sichtbar werden. Und das ist möglich, denn normalerweise werden schon frühzeitig Warnzeichen erkennbar. Viele Unternehmen halten jedoch nicht nach diesen Informationen Ausschau oder analysieren die Daten auf die falsche Weise. Schnelle Reaktionen sind somit nicht möglich.

Bedrohungen in Echtzeit verwalten

UEBA-Lösungen werden automatisiert und in Echtzeit ausgeführt. Sie können riesige Mengen an Benutzer- und Entitätsdaten überwachen, die hingegen von Menschen alleine nicht so einfach gehandhabt oder verstanden werden könnten. Unternehmen können daher Bedrohungen erkennen, sobald sie auftreten, und nicht erst danach. Aus bereits vorhandenen strukturierten und unstrukturierten Daten können somit tiefere Einblicke gewonnen werden: beispielsweise Daten über Netzwerkverkehr, Endpunkte, Webcrawler und mehr.

Das System lernt die Verhaltensmuster von Benutzern und Entitäten (mit anderen Worten Geräten, Servern und anderen Endpunkten), indem es Szenario-basierte Algorithmen anwendet, die wiederum maschinelles Lernen, statistische sowie Peer-Group-Analysen und andere Techniken verwenden. Sobald das System eine Basis für das "normale" Benutzer- oder Entitätsverhalten erstellt hat, kann es Anomalien und ungewöhnliche Aktivitäten schneller erkennen und melden als es eine manuelle Prüfung je tun könnte.

Ein Beispiel: "Benutzer A" meldet sich normalerweise um 09:00 Uhr an, startet sein Outlook und nutzt während des Mittagessens seinen Internet Explorer – alles soweit in Ordnung. Wenn sich Benutzer A jedoch eines Morgens um 03:00 Uhr von einem Standort in Übersee anmeldet, eine große Menge an Daten aus einer Firmendatenbank exportiert und sich bei einer Cloud-Speicher-Website anmeldet, klingeln (zu Recht) die Alarmglocken.

Die Technologie hilft somit nicht nur den bereits sehr dünnen IT-Teams, besser mit der Flut von Cyberbedrohungen umzugehen, sondern ermöglicht auch die Entwicklung besserer, prädiktiverer Modelle zur Bekämpfung solcher Angriffe.

Identifizieren von internen und externen Bedrohungen

Die Geschwindigkeit, mit der sich moderne Hacker heutzutage an die neuesten Sicherheitstechnologien anpassen, macht es Sicherheitsteams zunehmend schwieriger, wenn nicht sogar unmöglich, ihre Fähigkeiten zur schnellen Erkennung und Abwehr von Bedrohungen weiterzuentwickeln, sodass sie ihren Gegnern auf selber Augenhöhe begegnen können. Wenn jedoch wegbereitende und innovative Technologien Abweichungen vom normalen Verhalten automatisiert erkennen, können Unternehmen etablierte Muster erstellen und sowohl interne als auch externe Bedrohungen identifizieren, sobald sie auftreten.

Obwohl es dadurch nicht unwichtig wird, das Unternehmensnetz auch weiterhin manuell zu überwachen, müssen sich Sicherheitsexperten dennoch an die zunehmende Anzahl von Angriffen anpassen und auf deren immer ausgefeiltere Art und Weise reagieren, in der Systeme durchbrochen werden können. Sicherheitstechnologien und Tools wie UEBA unterstützen deshalb Unternehmen dabei, Bedrohungen besser zu erkennen und zu mindern, noch bevor sie Schaden anrichten können.

Ross Brewer ist Vice President und Managing Director EMEA bei LogRhythm