Data Insider

Was ist UBA (User Behavior Analytics) bzw. UEBA (User Entity Behavior Analytics)?

Was ist UBA (User Behavior Analytics)?

UBA (User Behavior Analytics), manchmal auch UEBA (User Entity Behavior Analytics) genannt, ist eine Softwarekategorie, die Cyber-Security-Teams dabei unterstützt, Insider-Bedrohungen zu identifizieren und abzuwehren, die ansonsten übersehen werden könnten. Mit Hilfe von Machine Learning und Analysen identifiziert und verfolgt UBA die Verhaltensweisen von Bedrohungsakteuren auf ihrem Weg durch Unternehmensumgebungen. Dazu werden Daten durch eine Reihe von Algorithmen geschickt, um vom „normalen“ Benutzerverhalten (User Behavior) abweichende Aktivitäten zu erkennen.

Da Insider-Bedrohungen am schwersten aufzudecken sind und potenziell den größten Schaden anrichten können, ist UBA ein wertvolles Instrument zur Erkennung verdächtiger Muster, die auf Identitätsdiebstahl, Betrug und andere böswillige Aktivitäten hinweisen können.

Zu möglichen Bedrohungen zählen:

  • Missbrauch privilegierter Konten: Da jede Transaktion von mehreren Geräten im Netzwerk bestätigt wird, müssten Hacker im Prinzip alle Geräte in einer Blockchain gleichzeitig hacken, was nahezu unmöglich ist.
  • Rechteausweitung (Privilege Escalation): IoT-Plattformen mit vernetzten intelligenten Produkten sind Ziele für eine Vielzahl von Angriffen. Dies macht es schwierig, sie zu schützen und zu verwalten. Der auf Hash-Werten basierende Sicherheits- und Prüfprozess von Blockchain kann die Authentifizierung verstärken und dazu beitragen, viele Schwachstellen der Technologie zu beseitigen.
  • Datenexfiltration: Die Daten werden vollständig verschlüsselt und sind nur autorisierten Personen innerhalb des Netzwerks zugänglich. Die Technologie kann es Ihnen auch erleichtern, proprietäre Informationen und Verträge sicher mit anderen zu teilen.
  • Anomales Verhalten: Blockchains fungieren als Zeiterfassungsmechanismen, die einen nachweisbaren Datenverlauf bereitstellen, sodass sie im Prinzip Angaben zu allen aktuellen und vergangenen Geschehnissen mit den Daten in Ihrem Netzwerk machen können.
  • Kompromittierung von Anmeldeinformationen: Die Technologie hat keine isolierte Schwachstelle (Single Point of Failure), und da mehrere Kopien der Blockchain beibehalten werden, funktioniert das System weiterhin, auch wenn einige Geräte ausfallen oder angegriffen werden.
UBA und UEBA

Was ist UEBA (User and Entity Behavior Analytics)?

UEBA (User and Entity Behavior Analytics) ist eine andere Bezeichnung für UBA (User Behavior Analytics). Mit der Entwicklung der Bedrohungslandschaft hat sich auch die Marktdefinition von UBA weiterentwickelt. Das Hinzufügen des Begriffs „entities“ weist auf böswilliges Verhalten sowohl von Menschen als auch von Geräten, Anwendungen und Netzwerken hin und korreliert die Benutzeraktivität aus verschiedenen Quellen. Laut Gartner, die den Begriff UEBA geprägt haben, „wird durch das E die Tatsache anerkannt, dass neben den Benutzern oft auch andere Entitäten profiliert werden, um Bedrohungen genauer zu lokalisieren, zum Teil durch Korrelation des Verhaltens dieser anderen Entitäten mit dem Benutzerverhalten“.

data-sources

Mit anderen Worten, das Verhalten von Entitäten – insbesondere von Benutzern, Geräten, Systemkonten und privilegierten Konten – kann ausgewertet werden, um Anomalien aufzudecken, selbst wenn diese selten und über einen längeren Zeitraum auftreten. Nur wenige Cyber-Security-Tools sind in der Lage, eine Bedrohung zu erkennen, wenn sie nicht zu einem bestimmten Profil passt. UEBA kann jedoch eine Reihe von Variablen zusammenfügen, um potenzielle Bedrohungen besser aufzuspüren. Mit UEBA schützen Sie Ihr Unternehmen vor Bedrohungen, die Ihr Unternehmen infiltrieren können, oder dies bereits getan haben.

Was ist der Unterschied zwischen UBA und UEBA?

UBA (User Behavior Analytics) und UEBA (User and Entity Behavior Analytics) sind im Prinzip synonym. Die meisten UBA-Lösungen decken ebenfalls den Aspekt „Entität“ ab, der Gartner dazu bewegt hat, die Abkürzung „UEBA“ einzuführen. UEBA ist allerdings wohl der häufigere Begriff, da es die wichtige Unterscheidung zwischen Benutzer- und Entitätsverhalten macht. („UBA“ ist auch der Name des Splunk UEBA-Tools, das Unternehmen bei der Abwehr von Insider-Bedrohungen durch mehrdimensionale Basiswerte für das Normalverhalten, dynamische Peer-Group-Analysen und Unsupervised Machine Learning unterstützt.

Wie funktionieren UBA/UEBA?

UBA/UEBA-Tools suchen nach den Abweichungen im Verhalten eines Users oder Assets im Vergleich zu vergangenen Aktionen oder Peer-Gruppen. Eine UBA-Lösung erstellt Basiswerte für das Normalverhalten für alle Benutzer, Geräte, Anwendungen, privilegierte Konten und freigegebene Dienstkonten und erkennt dann Standardabweichungen von der Norm. Anschließend weist das Tool einen Wert zur Risikoeinstufung der betreffenden Bedrohung, sodass das Unternehmen nicht nur täglich Benachrichtigungen überprüfen kann, sondern auch die schlimmsten böswilligen User beobachten und vorbeugende Maßnahmen ergreifen kann.

Wie lassen sich Bedrohungen mit UBA/UEBA beheben?

Anstatt eine Flut von Benachrichtigungen zu generieren, die durch statische Regelverstöße ausgelöst werden, liefert UBA eine kürzere Liste von zu behebenden Bedrohungen sowie zugehörige Beweise, die erklären, warum eine bestimmte Bedrohung beachtet werden sollte.

Sicherheitsanalysten haben eine Reihe von Möglichkeiten, von UBA entdeckte Bedrohungen zu beheben. Zusätzlich zur Anzeige von Bedrohungen in der Benutzeroberfläche können Bedrohungsinformationen per E-Mail an Bedrohungsabwehreinrichtungen wie IT-/Security-Helpdesks gesendet, in einem Cyber-Security-Dashboard veröffentlicht oder an ein externes Ticketing- oder Security-System weitergeleitet werden. Abhängig davon, wo Ihre UBA-Lösung ansetzt, gibt es möglicherweise auch eine automatisierte Reaktion, die ausgelöst wird, wenn ein Incident oder Event erkannt wird.

Blick hinter die Kulissen von UBA/UEBA

Was ist BA (Behavioral Analytics)?

Behavioral Analytics, auch Verhaltensanalyse genannt, ist ein Bereich der Datenanalyse, der Einblicke in das Handeln von Menschen gibt. Jede Person oder Maschine, die mit einem Unternehmen, einem System, einer Plattform oder einem Produkt interagiert, kann zum Gegenstand einer Verhaltensanalyse werden.

Verhaltensanalyse-Tools erfassen große Volumen an Rohdaten aus Benutzerinteraktionen über mehrere Kanäle hinweg und untersuchen alles – von der User Journey über das Engagement in sozialen Medien und einzelnen Sitzungen bis hin zur Verweildauer auf Seiten. Diese Art von Daten kann Werbe- und Marketingmetriken wie Conversion-Rates oder Cost-per-Click sowie Pipeline- und Geldwerte beinhalten. Zudem können Verhaltensanalysen auch Informationen über demografische und geografische Gegebenheiten enthalten.

Beispiele für Anwendungen der Verhaltensanalyse:

  • eCommerce und Einzelhandel: Gibt Empfehlungen auf der Grundlage von Vertriebstrends.
  • Online-Gaming: Untersucht Nutzung und bevorzugte Benutzereinstellungen für bestehende und künftige Versionen.
  • Anwendungsentwicklung: Ermittelt die Benutzerinteraktion mit einer Anwendung, um Prognosen zu künftiger Nutzung und Vorlieben zu machen.
  • Cyber-Security: Erkennt kompromittierte Anmeldeinformationen und Insider-Bedrohungen durch Aufspüren von anomalem Verhalten.

Welche Rolle spielt Machine Learning bei UBA?

Machine Learning spielt bei UBA eine entscheidende Rolle und ist die Triebfeder für eine skalierbare Datenplattform, die erweiterte Analysen unterstützt. Die Bedrohungserkennung in einer UBA-Lösung kann Anomalien über mehrere Datenquellen hinweg in jeder Umgebung korrelieren, die Maschinendaten erzeugt.

Analysetools, die auf Machine Learning-Algorithmen basieren, erfordern keine Signaturen oder menschliche Analysen und ermöglichen die Erstellung von Profilen zum Verhalten mehrerer Entitäten sowie Peer-Gruppen-Analysen. Dies eröffnet differenziertere Monitoring- und Reaktionsfähigkeiten für UBA.

Das Ergebnis dieser Auswertungen ist eine automatisierte, exakte Bedrohungs- und Anomalieerkennung. Durch das Zusammensetzen von Bedrohungsindikatoren, die von einer Vielzahl von Algorithmen erkannt werden, hilft Machine Learning der Software oder Lösung, Bedrohungen mit hoher Wahrscheinlichkeit zu identifizieren.

Mit Machine Learning können Analysten und SOC-Teams (Security Operations Center) schnelle Untersuchungen durchführen, aussagekräftige Erkenntnisse gewinnen, die Kernursache eines Incidents ermitteln, sich auf historische Trends stützen und Ergebnisse austauschen, ohne durch Tausende von Benachrichtigungen und Fehlalarmen behindert zu werden. Einfach ausgedrückt, können Unternehmen die Erkennung beschleunigen, die Auswirkungen analysieren und schnell auf Security-Incidents reagieren.

what-role

Wie verwenden Sie UBA mit SIEM?

UBA ist eine wichtige Komponente jedes SIEM-Systems (Security Incident and Event Management). UBA-Tools arbeiten in Verbindung mit SIEM-Lösungen, um einen Einblick in die Verhaltensmuster im Netzwerk zu erhalten. Durch die Kombination beider Lösungen profitieren Sie von den Vorteilen von Bedrohungserkennungsverfahren, die sowohl das Verhalten von Menschen als auch das von Maschinen untersuchen.

Die Erweiterung Ihres SIEM, sodass es von UBA erkannte Verhaltensanomalien verarbeitet, bietet zudem zusätzlichen Kontext zu bekannten und unbekannten Bedrohungen und identifiziert die Bedrohungen genauer. Dies kann Analysten Zeit sparen und die Effizienz Ihres SOC erhöhen, indem es Fehlalarme reduziert und nur zuverlässige Bedrohungsergebnisse liefert, die normalerweise nicht durch regelbasierte Korrelationen erkannt werden.

Welche Rolle spielt UBA im SOC (Security Operations Center)?

UBA spielt eine kritische Rolle im SOC, da es ungewöhnliche Veränderungen im Endbenutzerverhalten aufzeigt. UBA kann Benachrichtigungen filtern, bevor sie an das SOC-Team versendet werden, sodass das Team sich auf dringende, komplexe Bedrohungen konzentrieren kann.

Mit UBA können SOC-Analysten nahtlos und einfach:

  1. Insider-Bedrohungen durch Verhaltensmodelle und Peer-Gruppen-Analysen erkennen
  2. den Fokus durch Anomaliebewertung auf die Erkennung interner Bedrohungen legen
  3. die Incident Response automatisieren und kontinuierliches Monitoring auf Bedrohungen einrichten

Adaptive Informationssicherheitsarchitekturen, die diese Art fortschrittlicher, erweiterter Analysen beinhalten, sind besser in der Lage, Cyberangriffe in der heutigen Security-Landschaft zu verhindern, zu erkennen und abzuwehren.

Einstieg

Wie finden Sie das richtige UBA-Tool?

Bei der Wahl eines UBA-Tools sollten Sie vier Hauptfunktionen berücksichtigen: Bedrohungsprüfung (Threat Review), Benutzerfeedback-Learning (User Feedback Learning), optimierter Workflow (Streamlined Workflow) und Kill Chain-Erkennung (Kill-Chain Detection).

  1. Bedrohungsprüfung und -untersuchung: Ermöglicht dem User, ein breites Spektrum an verdächtigem Verhalten zu visualisieren und Kontext über mehrere Quellen hinweg, darunter Benutzer, Konten, Geräte und Anwendungen, zu erhalten.
  2. Benutzerfeedback-Learning: Mit Benutzerfeedback-Learning können Security-Teams Anomaliemodelle auf der Grundlage der Prozesse, Richtlinien, Assets, Benutzerrollen und Funktionen des Unternehmens anpassen. Die Anomaliebewertung gründet eine Methodik auf eine Reihe von Events, um die Genauigkeit zu verbessern und den Risikograd einer Bedrohung anzuzeigen.
  3. Optimierter Bedrohungs-Workflow: Wenn Milliarden von Roh-Events zunächst auf Tausende von Anomalien und dann auf wenige Hunderte Bedrohungen reduziert werden, beschleunigt dies die Prüfung und Abwehr. Der Einsatz von Machine Learning-Algorithmen, Statistiken und Anomaliekorrelationen verbessert Ihre Fähigkeit, böswillige Insider ohne menschliche Analyse zu identifizieren.
  4. Erkennung von Malware und Insider-Bedrohungen sowie Identifikation des Angriffsvektors: Das bedeutet, dass Sie Bewegungen von Malware über Anwendungen und Geräte hinweg sowie die Ausbreitung böswilliger Insider in Echtzeit erkennen können. Sie können verhaltensbasierte Unregelmäßigkeiten (z.B. ungewöhnlicher Rechner- bzw. Maschinenzugriff oder anomale Netzwerkaktivität) erkennen oder Botnet- oder CnC-Aktivitäten (wie etwa Signalaussendung von Malware etc.) identifizieren und vieles mehr.

Letztendlich hängt die Wahl des besten UBA-Tools für Ihr Unternehmen von Ihren individuellen Prioritäten und Herausforderungen ab. Lesen Sie Gartners Bewertung „Reviews for User and Entity Behavior Analytics Solutions“, um die Branchenführer in diesem Bereich kennenzulernen und zu erfahren, wie sie Ihnen helfen können, Ihr Sicherheitsniveau auf die nächste Stufe zu heben.

choose-uba-tool

Was sind die ersten Schritte zum Einstieg in UBA?

Im Allgemeinen beginnen Sie mit der Verwendung von UBA in vier grundlegenden Schritten: Datenerfassung, Konfiguration von Workflows, Festlegen von Anwendungsfällen und Anpassung Ihrer Modelle.

Das Einspeisen von Daten in Ihre UBA-Lösung ist der erste Schritt auf dem Weg, Ihre Benutzerdaten zu verstehen. Ihr Tool sollte eine Reihe von Optionen zum Identifizieren, Überprüfen und Einlesen von Daten aus verschiedenen Quellen in Ihrer gesamten Infrastruktur bieten – vom Lesen einfacher, bekannter Logdateiformate bis hin zum Aufrufen von Programmen für benutzerdefinierte Datenformaten.

Nachdem Sie Ihre Umgebung erfolgreich vorbereitet und relevante Eventdaten eingespeist haben, konfigurieren Sie als Nächstes Ihre Workflows. Integrierte Workflows ermöglichen es Security-Teams, schnell auf Incidents zu reagieren, indem sie Tickets öffnen oder User mit hoher Risikoeinstufung monitoren. Durch die Ausarbeitung einer optimierten Untersuchungs- und Feedbackschleife agieren Security-Teams bei Problemen organisierter und strukturierter.

Als Nächstes legen Sie fest, welche Anwendungsfälle Sie mit Ihrem UBA-Tool angehen möchten. Die Use Cases können von Datenexfiltration bis hin zu Kontokompromittierung und Missbrauch reichen. Sie sollten die Security-Achitekten und -Ingenieure Ihres Unternehmens hinzuziehen, um auch deren Meinung zu hören. Denken Sie daran: Die meisten UBA-Lösungen stellen zwar durch Regelsätze Anwendungsfälle bereit, die typischerweise für jeden Kunden gelten, doch entsprechen diese nicht unbedingt den Prioritäten Ihres Unternehmens. Die Anforderungen und Ziele in den Bereichen Einzelhandel, eCommerce, Finanzdienstleistungen, öffentliche Hand usw. variieren enorm.

Last but not least müssen Sie Ihre Anomaliebewertungsmodelle anpassen. Die Bereitstellung von Informationen über wichtige Assets oder User/Abteilungen kann den Risikowert entsprechend erhöhen (z.B. stellt die Datenexfiltration bei Mitarbeitern im Forschungslabor Ihres Unternehmens eventuell eher eine Bedrohung dar, als wenn Ihr Marketingteam Daten exfiltriert). Ihr UBA-Tool sollte den Risikowert auch erhöhen, wenn es von Peer-Gruppen-Profilen abweicht. Wenn eine bestimmte Risikoeinstufungslogik für Ihre Umgebung nicht anwendbar ist, passen Sie diese im Vorfeld an.

Berücksichtigen Sie bei der Entscheidung, wie Sie UBA in Ihrem Unternehmen implementieren, die folgenden Punkte:

  • Menge und Art der verfügbaren Verhaltensdaten
  • Das vorhandene interne Knowhow – und ob die Möglichkeit besteht, IT-Sicherheitsmitarbeiter für die Implementierung und Pflege von UBA zu schulen
  • Größe und Verteilung Ihres User-Netzwerks (z.B. Anzahl entfernter Standorte und Grad an Benutzermobilität)

Wie holen Sie das Maximum aus UBA heraus?

Um den Nutzen Ihrer UBA/UEBA-Lösung voll auszuschöpfen, befolgen Sie diese vier Best Practices: Erstellen Sie eine Roadmap, verwenden Sie kontinuierliches Monitoring, richten Sie Abläufe ein und verbessern Sie die Qualifikationen Ihres Cyber-Security-Teams.

  1. Erstellen einer Roadmap: Was soll die UBA-Lösung für Ihr Unternehmen tun? Hat für Sie beispielsweise das Beenden der Datenexfiltration oberste Priorität? Oder das Entdecken kompromittierter bzw. infizierter Konten? Formulieren Sie spezifische Ziele, um sicherzustellen, dass Sie das richtige Tool wählen, mit dem Sie auch erreichen, was Sie sich vorgenommen haben. Definieren Sie dann die Meilensteine für die Einführung der Funktionen.
  2. Kontinuierliches Monitoring: Nach der Bereitstellung des UBA-Tools müssen Sie es pflegen, damit es weiterhin funktioniert. Selbst bei Verwendung der intuitivsten Tools müssen Sie das System ständig prüfen und Anpassungen vornehmen, wenn sich Ihr Unternehmen an Veränderungen anpasst.
  3. Einrichten von Abläufen: Geben Sie Kriterien für die Generierung von Benachrichtigungen an und legen Sie die Maßnahmen fest, die das Tool als Reaktion auf potenziell böswillige Aktivitäten ergreifen soll. Ihr Security-Team wird sonst mit Benachrichtigungen überschwemmt. Richten Sie diese Abläufe ein und optimieren Sie sie, damit Fehlalarme reduziert werden und sich Ihre Mitarbeiter auf wirklich wichtige Bedrohungen konzentrieren können.
  4. Schließen Sie Qualifikationslücken: UBA macht Ihrer Cyber-Security-Abteilung das Leben leichter, ersetzt Ihre Mitarbeiter aber nicht! Schulen Sie Ihre Mitarbeiter, damit sie die Lösung implementieren, pflegen und kontinuierlich optimieren können, um mit der sich ständig wandelnden IT-Sicherheitslandschaft Schritt zu halten.
best-value

Fazit: Machen Sie sich UBA zunutze!

In einer Welt ständig wachsender Cyber-Bedrohungen – gepaart mit immer stärkeren regulatorischen Vorschriften seitens des Gesetzgebers und schwerwiegenderen Konsequenzen bei Sicherheitsverletzungen – setzen Security-Teams zunehmend auf UBA-Technologie für die Event-Korrelation, Bedrohungsinformationen, Aggregation von Sicherheitsdaten und mehr.

Fast ein Viertel der Unternehmen, die an der Ponemon Institute-Umfrage von 2018 „Cost of Insider Threats: Global“ teilnahmen, gaben einen böswilligen Insider oder kriminellen Angriff als Kernursache für einen Sicherheitsverstoßes an. Die durchschnittlichen Kosten pro Incident lagen bei etwa 607.745,00 US-Dollar, und die durchschnittlichen Gesamtkosten eines Sicherheitsverstoßes beliefen sich auf 8,76 Millionen US-Dollar. Diese Angriffe lassen sich häufig am Verhalten der User innerhalb des kompromittierten Netzwerks erkennen.

Die Unternehmenssicherheit hängt von der schnellen Identifizierung und Behebung von Sicherheitsproblemen ab, durch die solch enorme Verluste vermieden werden können. Cyber-Security-Teams sollten unbedingt die Fähigkeiten verschiedener UBA-Systeme prüfen, um das System zu finden, das ihren Anforderungen am besten entspricht.