User and Entity Behavior Analytics (UEBA): Definition und Erklärung
XDR & SIEM LösungUser and Entity Behavior Analytics (UEBA), auch bekannt als User Behavior Analysis (UBA), ist der Prozess des Sammelns von Einblicken zu Netzwerkereignissen, die Benutzer täglich erzeugen. Nach deren Erfassung und Analyse können sie dazu verwendet werden, die Verwendung manipulierter Anmeldedaten und anderes unberechtigtes Verhalten zu erkennen.
Der Gartner Market Guide fügte Entität der Analyse von Benutzerverhalten hinzu, da die Bedrohungen durch externe Kräfte und nicht nur durch einzelne Benutzer zunehmen. Diese externen Kräfte beinhalten, sind aber nicht beschränkt auf: Router, Server, Anwendungen und andere Netzwerkgeräte, die möglicherweise gefährdet sind.
Zusammenfassend lässt sich sagen, dass diese anderen Arten der Verhaltensanalyse von der traditionellen Analyse des Verbraucherverhaltens abweichen und sich auf das Verhalten der Systeme und der Benutzerkonten konzentrieren.
In den heutigen Netzwerken werden unendlich viele Informationen erfasst, insbesondere dann, wenn Benutzer nahtlos zwischen IPs, Anlagen, Cloud-Diensten und mobilen Geräten wechseln. UBA konzentriert sich im Gegensatz zu statischen Bedrohungsindikatoren auf die Benutzeraktivität, d. h. es kann Angriffe erkennen, die noch nicht mit Bedrohungsdaten verknüpft wurden, und im früheren Stadium eines Angriffs vor schädlichem Verhalten warnen.
Da Netzwerke immer komplexer geworden sind, ist es einfacher denn je, erfolgreich in ein Unternehmensnetzwerk einzudringen und sich als interner Mitarbeiter auszugeben, um so die externen Schutzmaßnahmen zu umgehen. Gelingt es einem Angreifer, in ein Netzwerk einzudringen und dort unentdeckt zu bleiben, kann er wiederholt vertrauliche Daten stehlen und finanziellen Schaden anrichten. Im Rahmen von User Behavior Analytics werden heimliche Angreifer-Aktivitäten aufgedeckt, indem Muster im Benutzerverhalten als normales Verhalten erkannt werden, wodurch Anomalien als Anzeichen für eine Kompromittierung durch Eindringlinge, Insider-Bedrohungen oder riskantes Verhalten in einem Netzwerk identifiziert werden können.
Durch die Analyse des Benutzer- und Entitätsverhaltens können Sie leichter feststellen, ob eine potenzielle Bedrohung durch eine externe Partei vorliegt, die sich als Arbeitnehmer oder tatsächlicher Mitarbeiter des Unternehmens ausgibt, oder ob ein Risiko hierfür vorhanden ist, sei es durch Fahrlässigkeit oder böswillige Absicht.
UEBA verbindet die Aktivität im Netzwerk mit einem bestimmten Benutzer anstatt mit einer IP-Adresse oder einem Asset. Das bedeutet, dass Sie bei einem ungewöhnlichen oder untypischen Benutzerverhalten in der Lage sind, das Verhalten schnell zu erkennen und festzustellen, ob es anomal ist, und bei Bedarf eine Untersuchung einzuleiten, selbst wenn dies noch nicht von herkömmlichen Perimeter-Überwachungstools erfasst wurde.
So sind beispielsweise gestohlene Zugangsdaten ein häufiger Angriffsvektor, der sowohl von Penetrationstestern als auch von echten Kriminellen genutzt wird. Ob Kriminelle sich Anmeldedaten über Phishing-Attacken, Malware, Key Logging oder sogar durch eine Datenverletzung durch Dritte beschaffen – sie brauchen nur die korrekte Kombination aus Benutzername und Passwort, um tätig zu werden; sobald sie sich anmelden können, können sie sich unbemerkt innerhalb eines Netzwerks bewegen.
Ist ein Angreifer jedoch erst einmal im Netzwerk, so fängt er in der Regel an, sich anders zu verhalten als ein normaler Benutzer, z. B. indem er lateral zwischen den Assets wechselt. Der Eindringling bewegt sich Schritt für Schritt in Richtung der häufig „Angriff“ oder „Kill-Chain“ genannten Agenda und sucht nach immer interessanteren Zielen, die er angreifen und aus denen er Daten exfiltrieren kann.
Die Fähigkeit, eine Bestandsaufnahme zu erstellen, welche Art von Benutzerverhalten in einem Netzwerk normal ist und welche nicht, ist entscheidend. Die Analyse des Benutzerverhaltens liefert Ihnen die Daten, um Trends zu erkennen und Ausreißer leicht auszumachen, sodass Sie potenzielle Bedrohungen leichter und schneller identifizieren und untersuchen und so die Angriffskette unterbrechen können.
Um Trends zu erkennen und Zusammenhänge herzustellen, müssen Sie zunächst eine Möglichkeit haben, wichtige Verhaltensdaten an einem zentralen Ort zu erfassen, damit diese später von Analysetools untersucht werden können. Traditionell wird die Analyse des Benutzerverhaltens als Ebene in bestehende Implementierungen von Security Information and Event Management (Sicherheitsinformations- und -ereignismanagement, SIEM) eingefügt.
User und Entity Behavior Analytics ist ein Teil einer vielschichtigen, integrierten IT- und Informationssicherheitsstrategie, um Angriffe zu verhindern und Bedrohungen zu untersuchen. Sie können ein unglaublich leistungsfähiges Werkzeug sein, um eine Gefährdung frühzeitig zu erkennen, Risiken zu mindern und einen Angreifer daran zu hindern, die Daten eines Unternehmens zu exfiltrieren.
Die Implementierung von User und Entity Behavior Analytics ist für jedes Unternehmen unerlässlich, um seinen Schutz vor internen Schäden zu gewährleisten. UEBA ist in den letzten Jahren exponentiell gewachsen, da sich das Internet der Dinge (IoT) ausbreitet und es immer mehr Geräte gibt, die möglicherweise Schwachstellen im Netzwerk ausnutzen könnten. Ganz gleich, ob Sie versuchen, verdächtige Insider-Bedrohungen zu identifizieren oder berechtigte Konten zu überwachen, UEBA bietet eine aktualisierte Sicherheitslinie für die IT-Infrastruktur vor eindringenden Angriffen.