Next-Gen SIEM wird zur Basistechnik des SOCs
Intelligenz für mehr Sicherheit
Fortsetzung des Artikels von Teil 1
Beispiele der Analyse
Selbst wenn das IT-Team in der Lage ist, effektiv zu verfolgen, wer auf das Netzwerk zugreift und worauf genau, bleibt die Frage, ob es sich um ein „normales“ Verhalten handelt, im Einzelfall schwierig zu beantworten. Dies liegt daran, dass der organisatorische Kontext, der für eine effektive Beurteilung des Nutzerverhaltens erforderlich ist, nicht von den Daten des Netzwerkflusses erfasst wird. Aber die Daten zeigen eindeutig, ob sich eine Person innerhalb der Grenzen dessen verhält, was sich für sie oder ihre Gruppe in der Vergangenheit als „normal“ erwiesen hat. Ein klassisches Beispiel: Ein Mitarbeiter loggt sich am Computer im Büro mit seinen persönlichen Zugangsdaten ins Netzwerk ein. Während diese Session noch läuft, meldet er sich dann über ein persönliches Gerät von zu Hause aus mit einem Admin-Konto an. Ist dies legitim oder illegitim?
Im Regelfall würden diese beiden Aktionen nicht mit derselben Identität verbunden werden. Mithilfe von Verhaltensdaten kann das Next-Gen SIEM diese nicht nur miteinander verbinden, sondern auch die Aktionen des Mitarbeiters über die Zeit hinweg verfolgen und so einen umfassenden Überblick über seine tatsächlichen Netzwerkaktivitäten gewinnen. Ein SOC-Mitarbeiter, der diese Informationen aggregiert erhält, kann sich nun sehr schnell ein Bild davon machen, ob es sich einfach nur um einen Administrator handelt, der den Nachmittag vom Home-Office arbeitet und vor dem Verlassen des Büros vergessen hat, sich auszuloggen, oder ob es sich um ein kompromittiertes Endgerät oder einen kompromittierten Administratoren-Account handelt.
Das gewonnene Verhaltensprofil jedes Benutzers hilft, auf einen Blick den dringend benötigten Kontext zu schaffen, um jede Aktivität zu erkennen und zu kennzeichnen, die zu weit von dem abweicht, was als akzeptabel oder normal angesehen wird. Darüber hinaus können SOCs verschiedene Techniken des maschinellen Lernens verwenden, um genaue Netzwerk-Asset-Modelle zu erstellen, die ein genaues Bild des gesamten Netzwerks vermitteln. Dadurch ist es viel einfacher, genau zu verfolgen, welche Systeme und Daten wann von wem abgerufen werden. Entsprechend können Führungskräfte, Vorstandsmitglieder und auch ihre persönlichen Arbeitsrechner als hochkritisch klassifiziert werden. Das heißt, sie unterliegen einer stärkeren Prüfung und/oder strengeren Sicherheitsmaßnahmen.
Egon Kando ist Area Vice President of Sales Central, Southern, and Eastern Europe bei Exabeam, www.exabeam.com.
- Intelligenz für mehr Sicherheit
- Beispiele der Analyse
Lesen Sie mehr zum Thema
