Was ist User Behavior Analytics (UBA)?

Bei User and Entity Behavior Analytics (UEBA) handelt es sich um eine andere Bezeichnung für User Behavior Analytics (UBA). Denn mit der Entwicklung der Bedrohungslandschaft hat sich auch die Marktdefinition von UBA weiterentwickelt. Das Hinzufügen des Begriffs „entities“ weist auf böswilliges Verhalten sowohl von Menschen als auch von Geräten, Anwendungen und Netzwerken hin und korreliert die Benutzeraktivität aus verschiedenen Quellen.

Laut Gartner, die den Begriff „Entity Behavior Analytics“ geprägt haben, „wird durch das E die Tatsache anerkannt, dass neben den Benutzern oft auch andere Entitäten profiliert werden, um Bedrohungen genauer zu lokalisieren – zum Teil durch Korrelation des Verhaltens dieser anderen Entitäten mit dem Benutzerverhalten“.

Warum ist User and Entity Behavior Analytics so wichtig?

Mit anderen Worten, das Verhalten von Entitäten – insbesondere von Benutzern, Geräten, Systemkonten und privilegierten Konten – kann mit Hilfe von User and Entity Behavior Analytics (UEBA) ausgewertet werden, um Anomalien aufzudecken, selbst wenn diese selten und über einen längeren Zeitraum auftreten. Nur wenige Cyber-Security-Tools sind in der Lage, eine Bedrohung zu erkennen, wenn sie nicht zu einem bestimmten Profil passt. User Behavior Analytics Tools können jedoch eine Reihe von Variablen zusammenfügen, um potenzielle Bedrohungen besser aufzuspüren. UEBA unterstützt Sie also dabei, Ihr Unternehmen gezielt vor Bedrohungen zu schützen, die es infiltrieren können oder bereits getan haben.

Behavioral Analytics, auch User Analytics oder Verhaltensanalyse genannt, ist ein Bereich der Datenanalyse, der Einblicke in das Handeln von Menschen gibt. Jede Person oder Maschine, die mit einem Unternehmen, einem System, einer Plattform oder einem Produkt interagiert, kann zum Gegenstand einer Verhaltensanalyse werden.

Wie funktioniert Behavioral Analytics?

Verhaltensanalyse-Tools erfassen große Volumen an Rohdaten aus Benutzerinteraktionen über mehrere Kanäle hinweg und untersuchen alles – von der User Journey über das Engagement in sozialen Medien und einzelnen Sitzungen bis hin zur Verweildauer auf Seiten. Diese Art von Daten kann Werbe- und Marketingmetriken wie Conversion-Rates oder Cost-per-Click sowie Pipeline- und Geldwerte beinhalten. Zudem können Verhaltensanalysen auch Informationen über demografische und geografische Gegebenheiten enthalten. Beispiele für Anwendungen der Verhaltensanalyse:

• eCommerce und Einzelhandel: Gibt Empfehlungen auf der Grundlage von Vertriebstrends.
• Online-Gaming: Untersucht Nutzung und bevorzugte Benutzereinstellungen für bestehende und künftige Versionen.
• Anwendungsentwicklung: Ermittelt die Benutzerinteraktion mit einer Anwendung, um Prognosen zu künftiger Nutzung und Vorlieben zu machen.
• Cyber-Security: Erkennt kompromittierte Anmeldeinformationen und Insider-Bedrohungen durch Aufspüren von anomalem Verhalten.

User Behavior Analytics Tools bzw. User and Entity Behavior Analytic Tools suchen nach möglichen Abweichungen im Verhalten eines Nutzers oder Assets im Vergleich zu vergangenen Aktionen oder Peer-Gruppen. Eine UBA- bzw. UEBA-Lösung erstellt Basiswerte für das Normalverhalten für alle Benutzer, Geräte, Anwendungen, privilegierte Konten und freigegebene Dienstkonten und erkennt dann Standardabweichungen von der Norm. Anschließend weist das UEBA-Tool einen Wert zur Risikoeinstufung der betreffenden Bedrohung, sodass das Unternehmen nicht nur täglich Benachrichtigungen überprüfen, sondern auch die schlimmsten böswilligen User beobachten und vorbeugende Maßnahmen ergreifen kann.

Wie lassen sich Bedrohungen mit UBA bzw. UEBA beheben?

Anstatt eine Flut von Benachrichtigungen zu generieren, die durch statische Regelverstöße ausgelöst werden, liefert User Behavior Analytics (UBA) eine kürzere Liste von zu behebenden Bedrohungen sowie zugehörige Beweise, die erklären, warum eine bestimmte Bedrohung beachtet werden sollte.

Sicherheitsanalysten haben eine Reihe von Möglichkeiten, von UBA bzw. UEBA entdeckte Bedrohungen zu beheben. Zusätzlich zur Anzeige von Bedrohungen in der Benutzeroberfläche können Bedrohungsinformationen per E-Mail an Einrichtungen zur Bedrohungsabwehr wie bspw. IT-/Security-Helpdesks gesendet, in einem Cyber-Security-Dashboard veröffentlicht oder an ein externes Ticketing- oder Security-System weitergeleitet werden. Abhängig davon, wo Ihr User Behavior Analytics Tool ansetzt, gibt es möglicherweise auch eine automatisierte Reaktion, die ausgelöst wird, wenn ein Incident oder Event erkannt wird.

Welche Rolle spielt Machine Learning bei UBA?

Machine Learning (ML) spielt bei User and Entity Behavior Analytics eine entscheidende Rolle und ist die Triebfeder für eine skalierbare Datenplattform, die erweiterte Analysen unterstützt. Die Bedrohungserkennung über ein UEBA-Tool kann Anomalien über mehrere Datenquellen hinweg in jeder Umgebung korrelieren, die Maschinendaten erzeugt.

User and Entity Behavior Analytics Tools, die auf ML-Algorithmen basieren, erfordern keine Signaturen oder menschliche Analysen und ermöglichen die Erstellung von Profilen zum Verhalten mehrerer Entitäten sowie Peer-Gruppen-Analysen. Dies eröffnet für UEBA differenziertere Monitoring- und Reaktionsfähigkeiten. Das Ergebnis dieser Auswertungen ist eine automatisierte, exakte Bedrohungs- und Anomalie-Erkennung. Durch das Zusammensetzen von Bedrohungsindikatoren, die von einer Vielzahl von Algorithmen erkannt werden, hilft Machine Learning der UEBA-Software oder UBA-Lösung, etwaige Bedrohungen mit hoher Wahrscheinlichkeit zu identifizieren.

Mit Machine Learning können Analysten und SOC-Teams (Security Operations Center) schnelle Untersuchungen durchführen, aussagekräftige Erkenntnisse gewinnen und die Kernursache eines Incidents ermitteln. Ebenso können sich die IT-Experten mit Hilfe von User Behavior Analytics auf historische Trends stützen und Ergebnisse untereinander austauschen, ohne durch Tausende von Benachrichtigungen und Fehlalarmen behindert zu werden. Oder einfach ausgedrückt: Unternehmen können dank UEBA die Erkennung von Bedrohungen beschleunigen, die möglichen Auswirkungen analysieren und schneller auf Security-Incidents reagieren.

Wie lässt sich UBA mit SIEM verwenden?

UBA ist eine wichtige Komponente jedes SIEM-Systems (Security Incident and Event Management). User and Entity Behavior Analytics Tools arbeiten in Verbindung mit SIEM-Lösungen, um einen Einblick in die Verhaltensmuster im Netzwerk zu erhalten. Durch die Kombination beider Lösungen können Sie von den Vorteilen von Bedrohungserkennungsverfahren profitierten, die sowohl das Verhalten von Menschen als auch das von Maschinen untersuchen.

Die Erweiterung Ihres SIEM, sodass es von UBA bzw. UEBA erkannte Verhaltensanomalien verarbeitet, bietet zudem zusätzlichen Kontext zu bekannten und unbekannten Bedrohungen und identifiziert die Bedrohungen genauer. Dadurch können Analysten viel Zeit sparen und die Effizienz Ihres SOC erhöhen, indem es Fehlalarme reduziert und nur zuverlässige Bedrohungsergebnisse liefert, die normalerweise nicht durch regelbasierte Korrelationen erkannt werden.

Welche Rolle spielt UBA im Security Operations Center (SOC)?

User Behavior Analytics spielen eine kritische Rolle im SOC, da es ungewöhnliche Veränderungen im Endbenutzerverhalten aufzeigt. UBA kann Benachrichtigungen filtern, bevor sie an das SOC-Team versendet werden, sodass das Team sich auf dringende, komplexe Bedrohungen konzentrieren kann.

Durch den Einsatz von UEBA bzw. UBA-Tools können SOC-Analysten nahtlos und einfach:

1. Insider-Bedrohungen durch Verhaltensmodelle und Peer-Gruppen-Analysen erkennen
2. den Fokus durch Anomaliebewertung auf die Erkennung interner Bedrohungen legen
3. die Incident Response automatisieren und kontinuierliches Monitoring auf Bedrohungen einrichten

Adaptive Informationssicherheitsarchitekturen, die diese Art fortschrittlicher, erweiterter Analysen beinhalten, sind besser in der Lage, Cyberangriffe in der heutigen Security-Landschaft zu verhindern, zu erkennen und abzuwehren.

Bei der Wahl eines UBA-Tools bzw. einer UEBA-Software sollten Sie vier Hauptfunktionen berücksichtigen: Bedrohungsprüfung (Threat Review), Benutzerfeedback-Learning (User Feedback Learning), optimierter Workflow (Streamlined Workflow) und Kill Chain-Erkennung (Kill-Chain Detection).

1. Bedrohungsprüfung und -untersuchung: Ermöglicht dem User, ein breites Spektrum an verdächtigem Verhalten zu visualisieren und Kontext über mehrere Quellen hinweg, darunter Benutzer, Konten, Geräte und Anwendungen, zu erhalten.
2. Benutzerfeedback-Learning: Mit Benutzerfeedback-Learning können Security-Teams Anomalie-Modelle auf der Grundlage der Prozesse, Richtlinien, Assets, Benutzerrollen und Funktionen des Unternehmens anpassen. Die Anomalie-Bewertung gründet eine Methodik auf eine Reihe von Events, um die Genauigkeit zu verbessern und den Risikograd einer Bedrohung anzuzeigen.
3. Optimierter Bedrohungs-Workflow: Wenn Milliarden von Roh-Events zunächst auf Tausende von Anomalien und dann auf wenige Hunderte Bedrohungen reduziert werden, beschleunigt dies die Prüfung und Abwehr. Der Einsatz von Machine- Learning-Algorithmen, Statistiken und Anomalie-Korrelationen verbessert Ihre Fähigkeit, böswillige Insider ohne menschliche Analyse zu identifizieren.
4. Erkennung von Malware und Insider-Bedrohungen sowie Identifikation des Angriffsvektors: Das bedeutet, dass Sie Bewegungen von Malware über Anwendungen und Geräte hinweg sowie die Ausbreitung böswilliger Insider in Echtzeit erkennen können. Sie können verhaltensbasierte Unregelmäßigkeiten (z.B. ungewöhnlicher Rechner- bzw. Maschinenzugriff oder anomale Netzwerkaktivität) erkennen oder Botnet- oder CnC-Aktivitäten (wie etwa Signalaussendung von Malware etc.) identifizieren und vieles mehr.

Letztendlich hängt die Wahl des besten User Behavior Analytics Tools für Ihr Unternehmen von Ihren individuellen Prioritäten und Herausforderungen ab. Lesen Sie Gartners Bewertung „Reviews for User and Entity Behavior Analytics Solutions“, um die Branchenführer in diesem Bereich besser kennenzulernen und zu erfahren, wie sie Ihnen helfen können, Ihr Sicherheitsniveau mit Hilfe von UBA-Tools auf die nächste Stufe zu heben oder Ihre UEBA-Security weiter auszubauen.

Was sind die ersten Schritte zum Einstieg in UEBA?

Im Allgemeinen beginnen Sie mit der Verwendung von User and Entity Behavior Analytics in vier grundlegenden Schritten: Datenerfassung, Konfiguration von Workflows, Festlegen von Anwendungsfällen und Anpassung Ihrer Modelle.

Das Einspeisen von Daten in Ihre UEBA-Tools ist der erste Schritt auf dem Weg, Ihre Benutzerdaten zu verstehen. Ihr User Behavior Analytics Tool sollte eine Reihe von Optionen zum Identifizieren, Überprüfen und Einlesen von Daten aus verschiedenen Quellen in Ihrer gesamten Infrastruktur bieten – vom Lesen einfacher, bekannter Logdateiformate bis hin zum Aufrufen von Programmen für benutzerdefinierte Datenformaten.

Nachdem Sie Ihre Umgebung erfolgreich vorbereitet und relevante Eventdaten eingespeist haben, konfigurieren Sie als Nächstes Ihre Workflows. Integrierte Workflows ermöglichen es Security-Teams, schnell auf Incidents zu reagieren, indem sie Tickets öffnen oder User mit hoher Risikoeinstufung monitoren. Durch die Ausarbeitung einer optimierten Untersuchungs- und Feedbackschleife agieren die für die UEBA-Security zuständigen Teams bei Problemen organisierter und strukturierter.

Als Nächstes legen Sie fest, welche Anwendungsfälle Sie mit Ihrem UEBA-Tool angehen möchten. Die Use Cases können von Daten-Exfiltration bis hin zu Konto-Kompromittierung und Missbrauch reichen. Sie sollten die für die IT-Security zuständigen Architekten und Ingenieure Ihres Unternehmens hinzuziehen, um auch deren Meinung zu hören. Denken Sie daran: Die meisten User Behavior Analytics Tools stellen zwar durch Regelsätze Anwendungsfälle bereit, die typischerweise für jeden Kunden gelten. Doch entsprechen diese nicht unbedingt den Prioritäten Ihres Unternehmens. Die Anforderungen und Ziele in den Bereichen Einzelhandel, eCommerce, Finanzdienstleistungen, öffentliche Hand usw. variieren enorm. Weshalb immer individuell entschieden werden muss, welche UEBA-Software letztendlich zum Einsatz kommt.

Last but not least müssen Sie Ihre Anomaliebewertungsmodelle anpassen. Die Bereitstellung von Informationen über wichtige Assets oder User/Abteilungen kann den Risikowert entsprechend erhöhen (z.B. stellt die Daten-Exfiltration bei Mitarbeitern im Forschungslabor Ihres Unternehmens eventuell eher eine Bedrohung dar, als wenn Ihr Marketingteam Daten exfiltriert). Ihr UBA-Tool sollte den Risikowert auch erhöhen, wenn es von Peer-Gruppen-Profilen abweicht. Wenn eine bestimmte Risikoeinstufungslogik für Ihre Umgebung nicht anwendbar ist, passen Sie diese im Vorfeld an.

Berücksichtigen Sie bei der Entscheidung, wie Sie User Behavior Analytics in Ihrem Unternehmen implementieren wollen, folgenden Punkte:

• Menge und Art der verfügbaren Verhaltensdaten
• Das vorhandene interne Knowhow – und ob die Möglichkeit besteht, IT-Sicherheitsmitarbeiter für die Implementierung und Pflege von UBA zu schulen
• Größe und Verteilung Ihres User-Netzwerks (z.B. Anzahl entfernter Standorte und Grad an Benutzermobilität)

Wie holen Sie das Maximum aus UBA heraus?

Um den Nutzen Ihres UBA-Tools bzw. der von Ihnen gewählten UEBA-Software voll auszuschöpfen, befolgen Sie diese vier Best Practices: Erstellen Sie eine Roadmap, verwenden Sie kontinuierliches Monitoring, richten Sie Abläufe ein und verbessern Sie die Qualifikationen Ihres Teams im Bereich Cyber-Security bzw. UEBA-Security.

1. Erstellen einer Roadmap: Was soll die UBA-Lösung für Ihr Unternehmen tun? Hat für Sie beispielsweise das Beenden der Daten-Exfiltration oberste Priorität? Oder das Entdecken kompromittierter bzw. infizierter Konten? Formulieren Sie spezifische Ziele, um sicherzustellen, dass Sie das richtige UEBA-Tool wählen, mit dem Sie auch erreichen, was Sie sich vorgenommen haben. Definieren Sie dann die Meilensteine für die Einführung der Funktionen einer entsprechenden UEBA-Software.
2. Kontinuierliches Monitoring: Nach der Bereitstellung des UBA-Tools müssen Sie es pflegen, damit es weiterhin funktioniert. Selbst bei Verwendung der intuitivsten UEBA-Tools müssen Sie das System ständig prüfen und Anpassungen vornehmen, wenn sich Ihr Unternehmen an Veränderungen anpasst. Nur so lässt sich auch eine optimale UEBA-Security gewährleisten.
3. Einrichten von Abläufen: Geben Sie Kriterien für die Generierung von Benachrichtigungen an und legen Sie die Maßnahmen fest, die das UEBA-Tool als Reaktion auf potenziell böswillige Aktivitäten ergreifen soll. Ihr Security-Team wird sonst mit Benachrichtigungen überschwemmt. Richten Sie diese Abläufe ein und optimieren Sie sie, damit Fehlalarme reduziert werden und sich Ihre Mitarbeiter auf wirklich wichtige Bedrohungen konzentrieren können.
4. Schließen Sie Qualifikationslücken: User Behavior Analytics macht Ihrer Cyber-Security-Abteilung das Leben leichter, ersetzt Ihre Mitarbeiter aber nicht! Schulen Sie Ihre Mitarbeiter, damit sie die UBA-Tools und UEBA-Software problemlos implementieren, pflegen und kontinuierlich optimieren können, um mit der sich ständig wandelnden IT-Sicherheitslandschaft fortlaufend Schritt halten zu können.

In einer Welt ständig wachsender Cyber-Bedrohungen – gepaart mit immer stärkeren regulatorischen Vorschriften seitens des Gesetzgebers und schwerwiegenderen Konsequenzen bei Sicherheitsverletzungen – setzen Security-Teams zunehmend auf UBA-Technologie und UEBA-Tools für die Event-Korrelation, Bedrohungsinformationen, Aggregation von Sicherheitsdaten und mehr.

In einer in 2018 durchgeführten Umfrage des Ponemon Institutes gaben fast ein Viertel der Unternehmen böswillige Insider oder kriminelle Angriffe Externer als Kernursache für einen Sicherheitsverstoß an. Die durchschnittlichen Kosten pro Incident lagen bei etwa 607.745,00 US-Dollar, und die durchschnittlichen Gesamtkosten eines Sicherheitsverstoßes beliefen sich auf 8,76 Millionen US-Dollar. Diese Angriffe lassen sich häufig am Verhalten der User (User Behavior) innerhalb des kompromittierten Netzwerks erkennen.

Die Unternehmenssicherheit hängt von der schnellen Identifizierung und Behebung von Sicherheitsproblemen ab, durch die solch enorme Verluste vermieden werden können. User Entity Behavior Analytics kann hier einen entscheidenden Beitrag leisten, um die Cyber-Security Ihres Unternehmens zu gewährleisten. Dementsprechend sollten Ihre IT-Security-Teams unbedingt die Fähigkeiten verschiedener UBA-Systeme und UEBA-Tools prüfen, um genau das System zu finden, das ihren Anforderungen am besten entspricht und für Ihr Unternehmen eine optimale UEBA-Security ermöglicht.