Wie funktioniert User and Entity Behavior Analytics (UEBA)?
Eine UEBA-Lösung wird im gesamten Netzwerk einer Organisation auf Gerät bereitgestellt. Für einen Zeitraum nach der Bereitstellung überwacht die UEBA-Lösung ein Gerät und erstellt ein Profil der normalen Nutzung. Dazu gehören die Aktivitäten der verschiedenen Benutzer dieses Geräts. Nach einer Weile verfügt die UEBA über ein gutes Modell dafür, was als normales und abnormales Verhalten gilt. An diesem Punkt kann vom Lernmodus in den aktiven Modus übergegangen werden.
Im aktiven Modus überwacht die UEBA-Lösung verschiedene Aktionen und bewertet sie basierend auf ihrem Modell des normalen Verhaltens. Wenn es eine ungewöhnliche Aktivität beobachtet, kann es einen Administrator alarmieren und möglicherweise eine Reaktion auslösen, um die potenzielle Bedrohung zu blockieren.
Beispielsweise verbringt ein Benutzer in der Organisation normalerweise den Großteil seines Arbeitstages damit, Dokumente zu bearbeiten und im Internet zu surfen. Wenn ihr Konto plötzlich anfängt, Anfragen an andere Systeme zu stellen und das Netzwerk zu erkunden, löst die UEBA-Lösung möglicherweise eine Warnung aus. Obwohl diese Aktivitätsänderung harmlos sein mag, könnte sie auch darauf hindeuten, dass die Anmeldeinformationen des Benutzers von einem Angreifer kompromittiert wurden. Wenn dies der Fall ist, gibt die von der UEBA-Lösung bereitgestellte Warnung der Organisation die Möglichkeit, das Problem anzugehen.
Der Bedarf an Benutzer- und Entitätsverhaltensanalysen (UEBA)
Wenn ein Angreifer Zugriff auf das Konto eines Benutzers hat, muss er möglicherweise keine Malware und ähnliche Techniken einsetzen, um seine Ziele zu erreichen. Dies kann für einige Sicherheitslösungen, die darauf ausgelegt sind, diese Art von schädlichen Inhalten zu erkennen, eine Herausforderung darstellen.
Allerdings ist es wahrscheinlich, dass ein Angreifer im Zuge der Erreichung seiner Ziele von der Norm abweichende Maßnahmen ergreift. Beispielsweise kann eine Datenschutzverletzung nicht ohne Zugriff auf Daten durchgeführt werden, und Ransomware umfasst eine große Anzahl von Dateioperationen. Eine UEBA-Lösung kann diese abweichenden Aktivitäten identifizieren und melden, sodass Unternehmen Angriffe erkennen können, ohne dass Malware oder schädliche Inhalte vorhanden sind.
UEBA-Vorteile
UEBA bietet dem Security Operations Center (SOC) einer Organisation zahlreiche Vorteile, darunter die folgenden:
- Umfassende Bedrohungserkennung: UEBA identifiziert Bedrohungen, indem es nach Abweichungen vom normalen Verhalten sucht. Dadurch ist es möglich, ein breites Spektrum an Bedrohungen zu identifizieren, einschließlich solcher, die keine Malware oder bösartige Inhalte verwenden.
- Automatisierte Analyse: UEBA sammelt und analysiert automatisch große Datenmengen, um sein Modell zu erstellen und anomale Ereignisse zu erkennen. Dies liefert wertvollen Kontext, ohne dass Sicherheitsanalysten diese Analyse durchführen müssen.
- Verbesserte Sicherheit: UEBA ist in der Lage, Insider-Bedrohungen und andere Risiken zu erkennen, die mit anderen Sicherheitslösungen schwieriger zu erkennen sind. Dadurch wird das Risiko eines Cyberangriffs für ein Unternehmen verringert.
UEBA gegen NTA
UEBA und Netzwerk Traffic Analysis (NTA) – auch als Netzwerk Detection and Response (NDR) bezeichnet – können beide einige der gleichen Bedrohungen identifizieren und verwenden beide ähnliche Techniken wie Maschinelles Lernen und Datenanalyse. Sie stellen jedoch nicht die gleiche Lösung dar. Beispielsweise kann NTA einen umfassenderen Einblick in Ereignisse im Netzwerk einer Organisation bieten, nicht nur in solche, die als anomal gekennzeichnet sind. Andererseits bieten UEBA-Lösungen Einblick in lokale Ereignisse auf überwachten Geräten, während NTA nur Einblick in Ereignisse auf Netzwerkebene hat.
UEBA gegen SIEM
Sowohl UEBA- als auch SIEM-Lösungen ( Security Information and Event Management ) nutzen Maschinelles Lernen und Datenanalysen, um Bedrohungen zu identifizieren. Es handelt sich jedoch um unterschiedliche Lösungen, die darauf ausgelegt sind, unterschiedliche Arten von Bedrohungen zu identifizieren.
Im Allgemeinen sind SIEM-Lösungen besser in der Lage, weniger komplexe, einmalige Bedrohungen zu erkennen und konzentrieren sich auf das Sicherheitsmanagement. Möglicherweise mangelt es ihnen jedoch an Einblick in anspruchsvollere und subtilere Angriffskampagnen.
UEBA-Lösungen hingegen konzentrieren sich eher auf die Erstellung von Profilen von Benutzern und Geräten und die Suche nach Abweichungen von diesen Profilen. Dies ermöglicht es ihnen, subtilere Angriffe zu erkennen und Insider-Bedrohungen zu erkennen, die einem SIEM möglicherweise entgehen.
UEBA mit Infinity XDR
Eine UEBA-Lösung bietet wertvolle Funktionen, die andere Lösungen im Sicherheitsstapel einer Organisation ergänzen. Durch die Erkennung und Meldung anomaler Verhaltensweisen, die mit einem potenziellen Angriff in Zusammenhang stehen könnten, ermöglicht UEBA dem Sicherheitsteam eines Unternehmens, Insider-Bedrohungen und andere Angriffe zu erkennen, die anderen Lösungen, die sich auf die Identifizierung und Blockierung bösartiger Inhalte konzentrieren, möglicherweise entgangen sind.
UEBA-Funktionen sollten Teil einer unternehmensintegrierten Sicherheitsplattform sein. Check Point Infinity XDR (Extended Detection and Response) bietet UEBA neben einer Reihe anderer Sicherheitsfunktionen. Erfahren Sie in dieser Lösungsübersicht mehr über den gesamten Funktionsumfang von Infinity XDR. Um mehr darüber zu erfahren, wie Infinity XDR dazu beitragen kann, Ihr Unternehmen vor hochentwickelten Sicherheitsbedrohungen zu schützen, melden Sie sich noch heute für eine kostenlose Demo an.
Feedback