Anzeige: User-Verhalten liefert völlig neue Security-Erkenntnisse
Professionelle Hacker-Angriffe effizient stoppen
Fortsetzung des Artikels von Teil 1
Erkenntnisse direkt ab Werk
Eine Besonderheit bei LogPoint ist die Bereitstellung von elf typischen Angriffsmustern, die heute ein Firmennetzwerk bedrohen können. Diese sogenannten „Use Cases“ basieren auf jahrelangen Datensammlungen, Analysen und Auswertungen des Herstellers und decken Fälle wie „Account Missbrauch“, „Datenklau“, „verdächtige Aktivitäten“ etc. sehr detailliert ab. Im Grunde verbergen sich hinter jedem Use Case viele verschiedene Angriffsmuster, die sich aber jeweils unter einem der elf Oberbegriffe subsummieren lassen. Nutzer erhalten damit „ab Werk“ tiefe Erkenntnisse zu nahezu allen bekannten Angriffen, beziehungsweise ungewöhnlichem Verhalten, das das auf eine Angriffsvorbereitung hindeutet. Moderne Visualisierungs-Tools wie Dashboards und klar strukturierte Berichte sorgen dafür, dass diese wichtigen Infos analystengerecht aufbereitet und leicht verständlich dargestellt werden.
Eine typische Meldung, mit der sich das LogPoint-UEBA beim Security-Analysten meldet, könnte etwa lauten:
„Es war sehr ungewöhnlich, dass User-A 38 Mal in einer Stunde auf das gemeinsame Laufwerk Kundendaten zugegriffen hat. User-A greift typischerweise 1,1 Mal auf dieses Laufwerk zu, höchstens bislang 2 Mal.“
Mit dieser Information hat der Analyst eine valide Grundlage, um angemessene Entscheidungen zu treffen – zum Beispiel sich User-A einmal genauer anzusehen. An dieser Stelle empfiehlt es sich, auch einmal einen Blick auf den Risiko-Score zu werfen, den das LogPoint UEBA für jeden Nutzer und jeden Vorfall errechnet (von 0 für unkritisch bis 100 für extrem kritisch). Nutzer mit nur wenigen Rechten sind natürlich erheblich weniger kritisch zu sehen, also solche mit umfangreichem Rechtepaket. Nutzer, deren Namen beispielsweise in einschlägigen Datenbanken im Darknet auftauchen, müssen als in irgendeiner Form korrumpiert eingestuft werden – bei ihnen sollte jede Aktion kritisch untersucht werden. Die Verbindung zum Darknet bewältigt das UEBA jedoch nicht von Haus aus.
Auch weniger geübte Security-Analysten gelangen auf einen Blick zu Erkenntnissen, die sie sonst oft erst nach monatelangen eigenen Untersuchungen gewinnen würden– und das erheblich fundierter, als es für einzelne Unternehmen überhaupt möglich wäre. Aktionen zu den Entdeckungen lassen sich teilweise über angeschlossene SOAR-Tools (Security Orchestration and Automation Response) automatisieren – grundsätzlich muss jedoch immer ein Analyst die Meldungen ansehen.
Peer-Groups sorgen für erhöhte Sicherheit
Sollten Angreifer ein Angriffsszenario verwenden, das noch nicht mit den Use Cases abgedeckt ist, sorgen ML-/DL-unterstützte Prozesse dafür, dass auch diese zeitnah enttarnt und abgewehrt werden. LogPoint nutzt dabei auf sehr raffinierte Weise den Entitäts-übergreifenden UEBA-Ansatz: Über Peer-Group-Berechnungen entwickelt das System einen „Normalzustand“ auch für ganze Gruppen von Entitäten. Auf diese Weise können auch hoch entwickelte, langfristig angelegte Angriffe (APTs – Advanced Persistent Threats), die über harmlos scheinende Aktionen die Baseline in einer Entität unauffällig nach und nach verschieben wollen, vergleichsweise rasch ausgemacht werden. Das ist eine Funktion, die selbst unter Einsatz von Scharen hoch bezahlter Analysten so nicht zu stemmen wäre. Wonach sollten sie auch suchen? Wollte ein Angreifer versuchen, die Baseline einer ganzen Peer-Group langsam zu verschieben, würde das nicht gelingen: Davon abgesehen, dass so etwas nicht mehr unterhalb des „Radars“ stattfinden könnte – der Angreifer hat auch keine Chance zu erfahren, wie die Peer-Group aktuell zusammengesetzt ist. Denn das macht das System automatisch und dynamisch mit den Mitteln von ML und DL.
- Professionelle Hacker-Angriffe effizient stoppen
- Erkenntnisse direkt ab Werk
- UEBA als sicherer Cloud-Service
- Security-Lösungsansatz für Tech Data Partner
Lesen Sie mehr zum Thema
