Im Zusammenhang mit unserem Security Operation Center werden wir oft nach der genutzten SIEM Technologie befragt. Wenn es dann um die Vorteilskommunikation geht, fällt häufig der Begriff „User Behaviour Analytics“ und oft ist nicht ganz klar, was eigentlich so genial daran ist.
Das UBA, manchmal auch UEBA(User Entity Behaviour Analytics) genannt, ist in erster Linie eine Software-Kategorie, die Cyber-Security Teams dabei unterstützt, Insider-Bedrohungen zu identifizieren und abzuwehren.
Diese Bedrohungen sind schwer zu identifizieren und können dabei großen Schaden anrichten. Damit das System überhaupt erkennen kann, was gefährlich ist und was nicht, muss das System lernen.
Mögliche Bedrohungen durch Insider:
Vorrangig werden Datenquellen korreliert, die von Benutzern, Geräten, Systemkonten und privilegierten Konten stammen. Durch die Korrelation werden Anomalien aufgedeckt und das auch über längere Zeiträume. Das System lernt alle Verhaltensmuster und kann dadurch auch potenzielle Bedrohungen aufspüren, wenn sich diese Muster auffällig ändern.
Eine UBA-Lösung erstellt Basiswerte für das Normalverhalten für alle Benutzer, Geräte, Anwendungen, privilegierte Konten und freigegebene Dienstkonten und erkennt dann Standardabweichungen von der Norm. Anschließend weist das Tool einen Wert zur Risikoeinstufung der betreffenden Bedrohung, so dass das Unternehmen nicht nur täglich Benachrichtigungen überprüfen kann, sondern auch die schlimmsten böswilligen User beobachten und vorbeugende Maßnahmen ergreifen kann. Zu sehen ist das alles in Echtzeit im Dashboard:
Das Tool liefert dann eine Liste von zu behebenden Bedrohungen sowie zugehörige Beweise, die erklären, warum eine bestimmte Bedrohung beachtet werden sollte. Diese Liste ist in erster Linie von Sicherheitsanalysten zu prüfen. Abhängig vom Ansatz der UBA-Lösung können auch automatisierte Reaktionen als Regelwerk implementiert werden. So lernt das System stetig dazu.
Machine Learning spielt hier eine entscheidende Rolle. Analysetools, die auf Machine Learning-Algorithmen basieren, erfordern keine Signaturen oder menschliche Analysen und ermöglichen die Erstellung von Profilen zum Verhalten mehrerer Entitäten sowie Peer-Gruppen-Analysen. Dies eröffnet differenziertere Monitoring- und Reaktionsfähigkeiten für UBA.
Mit Machine Learning können Analysten und SOC-Teams (Security Operations Center) schnelle Untersuchungen durchführen, aussagekräftige Erkenntnisse gewinnen, die Kernursache eines Incidents ermitteln, sich auf historische Trends stützen und Ergebnisse austauschen, ohne durch Tausende von Benachrichtigungen und Fehlalarmen behindert zu werden. Einfach ausgedrückt, können Unternehmen die Erkennung beschleunigen, die Auswirkungen analysieren und schnell auf Security-Incidents reagieren.
UBA spielt eine kritische Rolle im SOC, da es ungewöhnliche Veränderungen im Endbenutzerverhalten aufzeigt. UBA kann Benachrichtigungen filtern, bevor sie an das SOC-Team versendet werden, so dass das Team sich auf dringende, komplexe Bedrohungen konzentrieren kann.
Mit UBA können SOC-Analysten nahtlos und einfach:
Adaptive Informationssicherheitsarchitekturen, die diese Art fortschrittlicher, erweiterter Analysen beinhalten, sind besser in der Lage, Cyberangriffe in der heutigen Security-Landschaft zu verhindern, zu erkennen und abzuwehren.
Dann wäre es ratsam solch ein Tool zu evaluieren. Wir sind dabei gerne behilflich, denn die Implementierung eines solchen Tools ist nicht trivial. Damit auch der größtmögliche Nutzen erzielt werden kann, braucht es:
In unserem SOC ist UBA standardmäßig integriert. Wir haben Expert:innen, wir haben Prozesse, wir haben das Monitoring und erarbeiten gerne mit Ihnen gemeinsam eine Roadmap.
https://www.splunk.com/de_de/data-insider/user-behavior-analytics-ueba.html
https://www.secupedia.info/wiki/User_Behavior_Analytics
https://www.rapid7.com/de/cybersecurity-grundlagen/user-behavior-analytics/
Lernen Sie uns in einem unverbindlichen Erstgespräch kennen. Wir beraten Sie umfassend und besprechen gerne all Ihre Fragen.