false
Splunk-Blogs
Splunk-Blogs
Splunk-Blogs
Learn
24. Oktober 2023
 | 
9 Minuten Lesedauer

Unternehmenssicherheit mit User and Entity Behavior Analytics (UEBA)

Von Laiba Siddiqui

Wie lassen sich Insider-Angriffe effektiv vorbeugen? Eine schwierige Frage, ist solchen Bedrohungen doch auch mit Intrusion-Prevention-System(IPS)-Lösungen und Antivirensoftware nur schwer beizukommen. Und sie verursachen immer höhere Kosten: In den vergangenen zwei Jahren war hier ein Anstieg um 44 % zu verzeichnen. 

Dabei belief sich die Zahl der Datensätze, die im Jahr 2023 durch Insider ausgeschleust wurden, auf knapp eine Milliarde. Vor diesem Hintergrund etabliert sich User and Entity Behavior Analytics (UEBA) zunehmend zu einem modernen Security-Ansatz für Unternehmen. Unregelmäßige Verhaltensmuster, die auf eine bevorstehende Sicherheitsverletzung hindeuten, werden damit kontinuierlich erfasst.

Wie UEBA konkret funktioniert und ob sich die Lösung effektiv im Unternehmenskontext einsetzen lässt, beleuchten wir im Folgenden. 

Darum reichen bestehende Cybersecurity-Ansätze nicht mehr aus

74 % der Unternehmen sehen sich mit Sicherheitsrisiken konfrontiert, die von ihrem eigenen Netzwerk (durch Insider-Bedrohungen) ausgehen. Problematisch ist dabei, dass sie sich in erster Linie auf signaturbasierte Erkennung stützen, um Bedrohungen aufzuspüren. Entsprechende Lösungen, also IPS und Antivirensoftware, funktionieren so, dass sie Angriffsmuster mit bekannten Signaturen abgleichen. Diese Sicherheitsmaßnahmen können Angreifer jedoch anhand verschiedener Methoden umgehen. Dazu gehören etwa: 

Einige IPS- oder auch Intrusion-Detection-System(IDS)-Lösungen führen durch den Vergleich des vorliegenden mit dem Baseline-Traffic zwar eine Gegenmaßnahme ins Feld. Die Kehrseite dabei ist aber, dass eine derartige anpassbare Erkennung von Einbruchsversuchen mit einem hohen Kosten- und Ressourcenaufwand verbunden ist.

Und selbst unter Anwendung dieser Maßnahmen tun sich bestehende IPS oder IDS schwer, wirklich alle Angriffe zu erkennen. So verursachen sie mitunter Fehlalarme, was sich wiederum in einem unzureichenden ROI der Lösungen niederschlägt. 

Definition von User and Entity Behavior Analytics (UEBA)

UEBA ist eine wichtige Lösung für das Risikomanagement, die unter Einsatz von Algorithmen für maschinelles Lernen (ML) und Verhaltensanalysen umfassende Einblicke zu Benutzern und Entitäten liefert. Durch deren Auswertung sind Security-Teams in der Lage, Anomalien zu identifizieren und Maßnahmen einzuleiten, anhand derer sich die potenziellen Auswirkungen eingrenzen lassen.

Dabei deckt UEBA einen noch breiteren Anwendungsbereich ab als User Behavior Analytics (UBA). Denn beim UBA wird ausschließlich das Nutzerverhalten analysiert. UEBA erstreckt sich dagegen zusätzlich auf das Verhalten von Entitäten innerhalb des Netzwerks, darunter etwa:

  • Netzwerkgeräte
  • Router
  • Datenbanken

Nehmen wir hierzu einmal an, dass ein Unternehmensnetzwerk üblicherweise 1.000 Datenanfragen pro Stunde verzeichnet. An einem Tag schnellen die Anfragen jedoch plötzlich auf 10.000 pro Stunde in die Höhe. UEBA würde diese Unregelmäßigkeit erkennen und direkt das Admin-Team benachrichtigen.

UEBA im Vergleich mit anderen Security-Ansätzen

Als alternative Security-Ansätze sind insbesondere die folgenden beiden zu nennen:

Diese funktionieren wie folgt:

Signaturbasierte Erkennung bringt vordefinierte Regeln zur Anwendung, um bekannte Bedrohungen aufzudecken. Im Falle einer Erkennung werden Warnmeldungen basierend auf den in der überwachten Umgebung festgestellten Signaturen ausgegeben.

Anomaliebasierte Erkennung setzt dagegen daran an, dass sich böswillige Aktivitäten von regulären Verhaltensmustern unterscheiden. Entsprechend werden Modelle für typisches Verhalten erstellt, um diese Abweichungen zu identifizieren. Damit lassen sich zwar auch unbekannte Bedrohungen aufdecken, doch wird dabei auch eine große Zahl an Fehlalarmen produziert.

UEBA sticht gegen diese beiden Optionen als Technologie heraus, mit der sich sicherheitsbezogene Anomalien und Bedrohungen in Echtzeit erkennen lassen. Umgesetzt wird dies durch eine visuelle Darstellung von Verhaltensmustern einschließlich Einstufung damit verbundener Risiken. Dies ermöglicht es Admin-Teams, verdächtiges Verhalten zu identifizieren und entsprechend der Analyseergebnisse direkt die passenden Maßnahmen einzuleiten. 

Funktionsweise von UEBA

Nachfolgend eine Aufschlüsselung der Schritte, durch die UEBA einen umfassenden Security-Ansatz ermöglicht.

1. Erfassung von Daten

Die erste Phase beinhaltet systematisches Monitoring, in dessen Rahmen Daten aus Quellen wie Firewall-Protokollen, Web-Proxys, DNS-Aufzeichnungen und VPN-Aktivitäten zusammengetragen und für weitere Analysen in das UEBA-System eingespeist werden.

2. Korrelation

Die erfassten Daten werden nun integriert, um Beziehungen zwischen verschiedenen Elementen innerhalb des Systems zu identifizieren. Auf diese Weise werden Zusammenhänge zwischen Nutzerverhalten, Host-Aktivitäten und Geräteoperationen erkennbar.

3. Analyse

Fortschrittliche ML-Algorithmen werten die integrierten Daten aus, um Anomalien, Muster und potenzielle Bedrohungen aufzudecken. 

4. Bewertung

Im Rahmen des durchgängigen System-Monitorings werden auf Grundlage der Erkenntnisse aus früheren Instanzen Anpassungen vorgenommen, wobei das Feedback erfahrener Analystenteams mit einfließt. Durch diesen fortlaufenden Bewertungsmechanismus wird sukzessive die Fähigkeit des UEBA-Systems verbessert, schnell und effektiv auf neue Bedrohungen zu reagieren.

5. Reaktion

Das UEBA-System liefert eine 360-Grad-Komplettsicht auf die Entität, die kompromittierte Nutzer, Hosts und Geräte erkennbar macht. Aufspüren lassen sich so auch böswillige Insider, außerdem erleichtert diese umfassende Ansicht das Netzwerk-Monitoring durch Partner. Security-Teams wiederum können damit Prioritäten für Warnmeldungen definieren und geeignete Maßnahmen einleiten, um das Sicherheitsniveau zu erhöhen.

Warum UEBA für Enterprise Security? 

Mit der Funktionsweise von UEBA seid ihr nun vertraut. Falls ihr euch aber fragen solltet, ob ihr die Technologie einsetzen solltet, findet ihr hier einige Gründe:

Verkürzte Reaktionszeit

UEBA verhilft dem Security-Team zu der nötigen Zeit, um effektiv auf Insider-Bedrohungen zu reagieren. Da Hochrisiko-Verhaltensmuster deutlich schneller erkannt werden, kann auch schneller auf Angriffe reagiert werden. Potenzielle Schäden lassen sich so eingrenzen, bevor sie zu größeren Problemen auswachsen.

Minimierung von Sicherheitsrisiken

Durch die frühzeitige Erkennung von Anomalien trägt User and Entity Behavior Analytics zum Schutz von Daten und dazu bei, dass die Integrität der Sicherheitsinfrastruktur des Unternehmens gewahrt bleibt. Zugleich beugt die Technologie Datenverlusten vor und sorgt dafür, dass potenzielle Schäden durch frühere Bedrohungen in Grenzen gehalten werden. 

Bedrohungserkennung automatisieren

Der Verlass auf menschliche Expertise allein erweist sich als Wachstumsbremse, dies umso mehr im Zeitalter von KI. Mit UEBA lassen sich entsprechende Lücken durch den Einsatz von maschinellem Lernen und Verhaltensanalysen schließen. So sind Unternehmen in der Lage, potenzielle Kompetenzdefizite im Hinblick auf Cybersecurity zu kompensieren. 

Reduzierung von Fehlalarmen

Falsch positive Warnmeldungen lenken die Aufmerksamkeit von tatsächlichen Sicherheitsverletzungen ab. UEBA wirkt dem entgegen, da Administratoren leichter die wirklich verdächtigen Aktivitäten identifizieren können. Indem Fehlalarme herausgefiltert werden, sorgt die Technologie für mehr Effizienz im Security-Betrieb; die Teams können gezielt genau dort ansetzen, wo Handlungsbedarf besteht.

Nimmt man all diese Faktoren zusammen, ergibt sich im Ergebnis ein deutlich höheres Sicherheitsniveau für euer Unternehmen.

Die Effektivität von User and Entity Behavior Analytics in Zahlen

2021 führten Studierende der renommierten Xi'an University of Architecture & Technology Experimente mit UEBA durch, in deren Rahmen die Technologie innerhalb des Testzeitraums auf 530 Events angewendet wurde. 

Durch die Anwendung vordefinierter Konfigurationskriterien erkannte das UEBA-System Anomalien im Zusammenhang mit dem Insider-Use-Case und verglich diese Anomalien dann mit dem historischen Profil jedes Nutzers. Von den insgesamt erkannten Events lösten 103 Warnmeldungen an den Systemadministrator aus, denen jeweils ein bestimmter Konfidenzwert zur Bestimmung ihrer Verlässlichkeit zugeordnet war. 

Nach detaillierter Analyse der vom lokalen Administrator erhaltenen Warnmeldungen zeigte sich, dass von 78 Meldungen zu Events nur eine einzige falsch war. Damit betrug die Rate falsch positiver Meldungen gerade einmal 2,13 % – ein deutlich geringerer Wert als bei anderen Systemen wie etwa SIEM.

Hindernisse für den Einsatz von UEBA

Wie das vorgenannte Experiment zeigt, liefert UEBA durchaus überzeugende Erkennungsraten und Konfidenzwerte. Eine Reihe von Problemen sind damit aber dennoch verbunden:

  • Die Anpassung der Regeln im System gestaltet sich kompliziert und zeitaufwändig.
  • Trotz der Unterstützung durch Technologie braucht es noch immer menschliche Expertise, um die Genauigkeit von Warnmeldungen zu beurteilen und Entscheidungen zu treffen.
  • Bei der Integration mit Cloud-Umgebungen ist die Anpassungsfähigkeit des Systems an verschiedene Datenquellen eingeschränkt. In der Folge ist die Sicht auf potenzielle Sicherheitsrisiken unvollständig, wodurch Lücken in der Bedrohungserkennung entstehen.
  • Einige Nutzer möchten womöglich ihre Privatsphäre geschützt wissen, daher lässt sich ihr Verhalten nicht unbedingt einfach überwachen.

Sicherheit für eure Systeme mit User and Entity Behavior Analytics

Klassische Sicherheitsmaßnahmen greifen bei komplexen Angriffstechniken häufig zu kurz. Die Analyse des Verhaltens von Benutzern und Entitäten erweist sich daher als vielversprechender Lösungsansatz. Denn dadurch nehmt ihr Nuancen im Verhalten von Nutzern und Entitäten innerhalb des Netzwerks eures Unternehmens in den Blick, die euch frühzeitig Aufschluss über verdächtige Aktivitäten liefern können. Das wiederum bedeutet, dass ihr umgehend gegen potenzielle Bedrohungen vorgehen und so eure Systeme sicherer machen könnt.

 

Ihr habt einen Fehler entdeckt oder eine Anregung? Bitte lasst es uns wissen und schreibt eine E-Mail an ssg-blogs@splunk.com.

 

Dieser Beitrag spiegelt nicht zwingend die Position, Strategie oder Meinung von Splunk wider.

 
Laiba Siddiqui Picture
Laiba Siddiqui

Laiba Siddiqui is an SEO writer who loves simplifying complex topics. She has helped companies like Data World, DataCamp, and Rask AI create engaging and informative content for their audiences. You can connect with her on LinkedIn.

Ähnliche Artikel

Learn 15 Minuten Lesedauer

IT-Event-Korrelation: Software, Techniken und Vorteile
Entdeckt die Leistungsfähigkeit der Ereigniskorrelation im IT-Betrieb. Deckt verborgene Erkenntnisse auf, erkennt Probleme und steigert die Effizienz durch aussagekräftige Ereignisanalyse. Erfahrt mehr.
Learn 8 Minuten Lesedauer

Splunk Universal Forwarder
In diesem Blogbeitrag erfahrt ihr mehr über Splunk Universal Forwarder: Was ist das überhaupt, warum werden sie verwendet, wie funktionieren sie und mit welchen Ressourcen gelingt der Einstieg?
Learn 19 Minuten Lesedauer

Was ist AIOps? AIOps erklärt
In diesem Blogbeitrag betrachten wir AIOps und wie es IT-Betriebsfunktionen in Unternehmen transformiert.

Über Splunk

Weltweit führende Unternehmen verlassen sich auf Splunk, ein Cisco-Unternehmen, um mit unserer Plattform für einheitliche Sicherheit und Observability, die auf branchenführender KI basiert, kontinuierlich ihre digitale Resilienz zu stärken.

 

Unsere Kunden vertrauen auf die preisgekrönten Security- und Observability-Lösungen von Splunk, um ihre komplexen digitalen Umgebungen ungeachtet ihrer Größenordnung zuverlässig zu sichern und verbessern.
Wiedergabe Light
Erfahrt hier mehr über Splunk
UNTERNEHMEN
UNTERNEHMEN
PRODUKTE
PRODUKTE
SITES
SITES
KONTAKT
KONTAKT
SPLUNK-MOBILE-APPS
SPLUNK-MOBILE-APPS

© 2005 - 2025 Splunk LLC All rights reserved.

Rechtliche Hinweise
Datenschutz
Sitemap
Cookies
Nutzungsbedingungen

© 2005 - 2025 Splunk LLC All rights reserved.