Cybersicherheit wird für Unternehmen jeder Größe immer wichtiger. Selbst kleine Unternehmen verwenden mittlerweile eine Vielzahl von Tools wie SIEMs, Firewalls und VPNs, um sich vor Eindringlingen zu schützen.
Hacker werden jedoch immer raffinierter. Ihr Erfolg hängt von ihrer Fähigkeit ab, Angriffe durchzuführen, ohne von solchen Tools entdeckt zu werden. Und das gelingt ihnen oft. Eine mögliche Lösung hierfür ist die sogenannte User and Entity Behavior Analytics.
Was ist also UEBA und sollte Ihr Unternehmen es verwenden? Finden wir es unten heraus.
Was ist Benutzer- und Entitätsverhaltensanalyse?
UEBA ist eine Cybersicherheitslösung, die große Datensätze verwendet, um die Netzwerkaktivität zu modellieren. Es analysiert sowohl die Benutzer eines Netzwerks als auch das Netzwerk selbst, wie Router und IoT-Geräte. Es sucht dann nach verdächtigen Aktivitäten und alarmiert ein Unternehmen, wenn eine solche Aktivität erkannt wird.
Dies wird erreicht, indem eine Basislinie erstellt wird, wie normale Aktivitäten in einem Netzwerk aussehen. Anschließend verwendet es maschinelles Lernen, um abnormales Verhalten automatisch zu erkennen.
Es ist beliebt, weil viele Cybersicherheitsprodukte darauf trainiert sind, hauptsächlich nach Malware zu suchen. Hacker können solche Software besiegen, indem sie in ein Netzwerk eindringen und einfach keine schädlichen Dateien installieren.
Im Gegensatz dazu kann die UEBA nach Auffälligkeiten suchen. Dadurch kann es raffiniertere Angriffe erkennen, die nicht mit bekannten Bedrohungen übereinstimmen.
Wie funktioniert die UEBA?
UEBA-Lösungen bestehen typischerweise aus drei Hauptkomponenten: Analytik, Integration und Präsentation. Schauen wir sie uns kurz an:
Analytik
UEBA analysiert das Verhalten aller Netzwerkbenutzer und Geräte. Dadurch wird eine Basislinie erstellt, die veranschaulicht, wie ein Netzwerk aussieht, wenn kein Angriff stattfindet. Statistische Modelle werden dann verwendet, um festzustellen, wann sich ein Benutzer oder Gerät auf eine Weise verhält, die es nicht sollte.
Integration
UEBA-Lösungen sind in der Regel für die Integration mit anderer Sicherheitssoftware konzipiert. Ihr Unternehmen verfolgt wahrscheinlich bereits das Netzwerkverhalten, und Ihr UEBA-Produkt sollte in der Lage sein, Daten von solchen Produkten automatisch zu sammeln.
Präsentation
Die UEBA ergreift normalerweise keine Maßnahmen gegen Bedrohungen. Stattdessen ist es so konzipiert, dass es seine Daten dem IT-Personal zur weiteren Untersuchung präsentiert. Dies kann so einfach sein wie das Senden einer Benachrichtigung. Viele UEBA-Produkte erzeugen jedoch auch Diagramme und andere statistische Daten, die Mitarbeiter für zusätzliche Analysen verwenden können.
Wovor schützt die UEBA?
UEBA kann vor verschiedenen Bedrohungen schützen, die andere Sicherheitsprodukte möglicherweise nicht bieten. Mal sehen, was sie sind, sollen wir?
Insider-Bedrohungen
Sicherheitssoftware tut sich oft schwer damit Insider-Bedrohungen erkennen. Während ein SIEM einen Netzwerkeinbruch leicht erkennen kann, erkennt es möglicherweise nicht, dass jemand, der sich bereits in einem Netzwerk befindet, etwas tut, was er nicht tun sollte. Ein richtig konfigurierter UEBA versteht, wie sich Benutzer normalerweise verhalten, und sollte eine Warnung generieren, wenn ein Benutzer anfängt, etwas anderes zu tun.
Kompromittierte Benutzerkonten
Wenn sich ein Benutzer ungewöhnlich verhält, ist dies nicht immer auf eine Insider-Bedrohung zurückzuführen. Es kann auch bedeuten, dass ein Angreifer das Konto des Benutzers gestohlen hat. Mitarbeiter von Unternehmen werden regelmäßig zum Ziel von Phishing, und kompromittierte Benutzerkonten sind daher eine häufige Erscheinung. Ein UEBA kann eingeschlossene Konten erkennen, sobald der Angreifer beginnt, etwas Außergewöhnliches zu tun.
Privilegienausweitung
Eine Privilegienausweitung tritt auf, wenn einem Benutzer zusätzliche Privilegien für den Zugriff auf andere Teile eines Netzwerks gewährt werden. Davon würde ein Hacker profitieren. Ein UEBA kann so eingestellt werden, dass es erkennt, wenn die Berechtigungen eines Benutzers erhöht werden, und eine Warnung zur Untersuchung sendet.
Brute-Force-Angriffe
Brute-Force-Angriffe beinhalten wiederholte Versuche, auf Benutzerkonten und Netzwerke zuzugreifen. Da dies offensichtlich nicht zum normalen Verhalten gehört, kann es von einem UEBA leicht erkannt werden. In diesem Szenario kann ein UEBA eine Warnung generieren oder so eingerichtet werden, dass es den Angreifer automatisch ausschaltet.
Eingeschränkter Informationszugriff
Ein UEBA kann überwachen, wer auf vertrauliche Informationen zugreift. Es kann daher Datenschutzverletzungen verhindern, indem es eine Warnung generiert, wenn ein Benutzer auf etwas zugreift, das für seine Arbeit nicht erforderlich ist.
UEBA vs. SIEM
Sicherheitsinformations- und Ereignisverwaltungstools ähneln UEBA, sind aber nicht ganz gleich. SIEM-Tools analysieren auch ein Netzwerk und generieren Warnungen, wenn verdächtige Aktivitäten erkannt werden.
Der Unterschied besteht darin, dass SIEM nur dann eine Warnung generiert, wenn ein Angreifer etwas tut, das als bösartig bekannt ist. Wenn ein Angreifer also vorsichtig ist, kann er immer noch in ein Netzwerk eindringen und einer Entdeckung entgehen.
UEBA wurde entwickelt, um Angriffe zu erkennen, nicht aufgrund von böswilligem Verhalten, sondern aufgrund von Verhalten, das außerhalb der Norm liegt. Dadurch kann es Angriffe erkennen, die keiner bekannten Bedrohung entsprechen.
Viele SIEM-Tools integrieren aus diesem Grund jetzt UEBA, die meisten jedoch nicht.
Sollten alle Unternehmen UEBA verwenden?
Alle Unternehmen sollten die Verwendung einer UEBA-Lösung in Betracht ziehen, aber wie bei vielen neuen Cybersicherheitslösungen ist es wichtig, die Vor- und Nachteile abzuwägen, bevor sie implementiert werden.
UEBA ist in der Lage, Bedrohungen zu erkennen, die SIEM nicht erkennen würde. Es ist auch in der Lage, Bedrohungen zu erkennen, die dem Sicherheitspersonal möglicherweise entgehen. In Anbetracht der Verluste, die nach einem erfolgreichen Cyberangriff entstehen, lohnt es sich oft, in diesen zusätzlichen Schutz zu investieren.
UEBA-Lösungen bieten auch automatisierten Schutz. Dies kann es einem Unternehmen ermöglichen, eine kleinere Cybersicherheitsabteilung zu haben und folglich erhebliche Lohneinsparungen zu erzielen.
Der Nachteil von UEBA ist, dass es teuer zu implementieren ist. Es kann das Budget vieler kleiner Unternehmen übersteigen, obwohl es nicht unbedingt erforderlich ist. Die Implementierung einer UEBA-Lösung erfordert auch eine Schulung des Personals, um sie zu verwenden, was zusätzliche Kosten verursacht.
UEBA ist auch kein geeigneter Ersatz für andere Cybersicherheitsprodukte. Obwohl ein SIEM-Produkt UEBA enthalten kann, ist UEBA kein Ersatz für SIEM oder andere Sicherheitsprodukte, die ein Unternehmen bereits hat.
UEBA bietet überlegenen Schutz
UEBA-Produkte bieten eine erhebliche Verbesserung gegenüber standardmäßigen SIEM-Produkten und sind in der Lage, Bedrohungen zu identifizieren, die andernfalls unentdeckt bleiben würden. Während SIEM oft mit Insider-Bedrohungen zu kämpfen hat, kann UEBA ungewöhnliche Netzwerkaktivitäten von autorisierten Benutzern automatisch erkennen.
Ob UEBA für Ihr Unternehmen geeignet ist oder nicht, hängt von Ihrem Budget für Cybersicherheit ab. Während UEBA überlegen ist, sind die hohen Installationskosten und die Tatsache, dass es andere Produkte nicht ersetzt, ein offensichtlicher Nachteil.
