Intelligente Verhaltensanalyse
Sicherheit auf die clevere Art
Fortsetzung des Artikels von Teil 1
Erst lernen, dann schützen
Damit die Analyse funktioniert, muss das Sicherheitssystem zunächst einmal eine Menge lernen. In dieser Phase, die zwischen vier und sechs Wochen dauern kann, erfährt das System zum Beispiel, wer mit wem kommuniziert und wer welche Applikationen und Dateien verwendet. Bei diesem Baselining des Systems wird für jede Entität ein Eintrag angelegt. Dabei kann es sich um einen Benutzer oder Benutzernamen, eine IP-Adresse, einen Rechner, eine Applikation oder auch eine Aktivität, wie einen Login handeln. Daraus entsteht ein Relationship Graph, der beispielsweise aussagt, dass Benutzer X normalerweise auf Rechner Y bestimmten Aufgaben nachgeht und dabei mit anderen Mitarbeitern im Austausch steht. Immerhin werden pro User rund 20.000 Datenpunkte erfasst, so dass das System am Ende der Lernphase recht genau weiß, wie sich die kleinen und großen Zusammenhänge im IT-Alltag des Unternehmens darstellen.
Zusätzlich liefern aktuelle Lösungen sogenannte Threat Modelle. In diesen ist hinterlegt, wie ein Angreifer agieren könnte. Dadurch fällt es der Lösung noch leichter, Anomalien zuverlässig zu entdecken. Solche Unregelmäßigkeiten sind unterschiedlich leicht erkennbar: Dass ein Mitarbeiter in einer schlaflosen Nacht seine E-Mails ausnahmsweise um 3 Uhr in der Früh abruft, ist durchaus denkbar. Die Uhrzeit ist als entscheidender Faktor also in diesem Fall eher weniger geeignet. Anders sieht es bei der Wahl der genutzten Geräte aus. So benutzen wohl die meisten Anwender mit relativ hoher Wahrscheinlichkeit stets die gleichen Laptops, Smartphones und Tablets. Auch der Ort lässt sich relativ sicher eingrenzen. Dabei erlaubt es eine moderne Lösung sogar, Orte miteinander in Verbindung zu bringen: Wer morgens in München seine E-Mails abfragt, kann nicht fünf Stunden später in Asien sein und von dort auf das Firmennetzwerk zugreifen. In diesem Fall erfolgt ein Alarm.
Angesichts der umfangreichen Erfassung von Daten, stellen sich selbstverständlich auch Fragen des Datenschutzes und der Vertraulichkeit im Unternehmen. Diese lassen sich lösen: So muss hierzulande der Betriebsrat eingebunden werden, und über Vereinbarungen zur Zweckbindung der Daten lassen sich entsprechende Befürchtungen entkräften. In der gemeinsamen „Orientierungshilfe Protokollierung“ der Datenschutzbeauftragten von Bund und Ländern gibt es dazu ausführliche Informationen.
Umstieg seit langem fällig
Banken und Kreditkartenunternehmen setzen bereits seit etlichen Jahren auf das Potenzial der Behavior Analytics. In der Mehrheit der Unternehmen kommt diese Technik allerdings noch immer nicht zum Einsatz. Dabei ist es an der Zeit, dass Firmen sich eingestehen, dass Sicherheitsverstöße unvermeidbar sind. Statt in immer neue klassische Security-Maßnahmen zu investieren, wäre es an der Zeit die Analyse des Benutzerverhaltens voranzutreiben. Nur so können Bedrohungen in Echtzeit erkannt und verhindert werden. Egal, ob es sich um externe Angreifer, unbedachte Benutzer oder böswillige Insider handelt.
Matthias Maier ist Security Evangelist bei Splunk
- Sicherheit auf die clevere Art
- Erst lernen, dann schützen
Lesen Sie mehr zum Thema
