User Behavior Analytics

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

User Behavior Analytics (UBA) bzw. User and Entity Behavior Analytics (UEBA) ist die Analyse des Verhaltens von IT-Usern mit dem Ziel, Attacken auf IT-Systeme und den Diebstahl von Daten durch externe und interne Angreifer zu erkennen und zu unterbinden. Zu diesem Zweck nutzen UBA-Lösungen spezielle Algorithmen und Machine-Learning-Verfahren, mit denen typische Verhaltensmuster von IT-Nutzern ermittelt und analysiert werden. Insofern sind eine starke Nähe bzw. Überschneidungen zu host-orientierte Sensoren von NBA-Systemen (Network Behavior Analysis) zu verzeichnen.

Anhand dieses Profils lässt sich zum Beispiel abschätzen, ob der legitime User auf Systeme, Applikationen und Daten im Unternehmensnetz zugreift oder ob es sich um einen Angreifer handelt, der die Account-Informationen eines Nutzers entwendet hat.

Privileged User Behavior Analytics (PUBA)

Die Erfassung der „digitaler Fußspuren“ von IT-Usern mit privilegierten Zugriffsrechten mithilfe einer Lösung für Privileged User Behavior Analytics. (Grafik: Balabit)
Eine spezielle Variante von UBA ist die Privileged User Behavior Analytics (PUBA). Sie erfasst die digitalen Fußabdrücke von IT-Nutzern mit privilegierten Rechten. Zu dieser Kategorie zählen beispielsweise IT-Administratoren und User mit Zugriff auf unternehmenskritische Applikationen und Daten. Auch Mitarbeiter von IT-Dienstleistungsunternehmen, Service-Providern und Cloud-Service-Providern verfügen in der Regel über privilegierte Rechte.

Eine verhaltensbasierte Analyse der Aktivitäten dieser Nutzergruppe ist von besonderer Bedeutung. Ein Grund ist, dass Privileged User über weitreichende Zugriffsrechte verfügen.


Funktionsweise einer UBA-Lösung

Die grundlegende Funktionsweise einer UBA-oder PUBA-Lösung unterteilt sich in folgende Schritte.

Im ersten Schritt wird der digitale Fingerabdruck eines IT-Users ermittelt. Als Grundlage dienen die Benutzeraktivitäten beim Umgang mit den IT-Systemen im Unternehmen sowie die Informationen von Log-Systemen und SIEM-Lösungen. Auf Basis dieser Daten wird ermittelt, welches Nutzerverhalten eines IT-Users als normal angesehen werden kann (Baselining).

Bei gravierenden Abweichungen zukünftiger Verhaltensmuster vom Normzustand informiert das UBA-System die zuständigen IT-Fachleute. Einige UBA-Lösungen sind zudem in der Lage, umgehend (in Echtzeit) potenziell schädliche Nutzeraktivitäten zu unterbinden. Beispiele solcher Aktionen sind der Zugriff auf besonders sensible Daten wie Forschungs- und Kundendaten durch Mitarbeiter, die nicht in diesen Unternehmensbereichen tätig sind oder die Änderung der Konfigurationseinstellungen von Servern, Netzwerksystemen und IT-Sicherheitskomponenten.

Indikatoren dafür, dass sich ein Angreifer Zugang zu einem IT-Nutzer-Account verschafft hat, sind unter anderem

  • wiederholte Log-in-Versuche auf Host-Rechnern, auf die der User normalerweise nicht zugreift,
  • Log-in-Versuche von Rechnern aus anderen Ländern, vor allem solchen, zu denen ein Unternehmen keine Geschäftsverbindungen unterhält,
  • ein Anstieg von Nutzeraktivitäten außerhalb der regulären Arbeitszeiten.


Datenquellen

Um ein möglichst eindeutiges Profil eines IT-Nutzers zu erstellen, werten UBA- und PUBA-Lösungen diverse nutzerbezogene Informationen aus. Dazu zählen unter anderem:

  • Die Dateien und Server, auf die ein IT-Nutzer in der Regel zugreift.
  • An welchem physischen Standort Nutzer normalweise tätig sind, also ein Büro in einer bestimmten Unternehmens-Niederlassung.
  • Die typischen Arbeitszeiten: Wann ein User mit der Arbeit beginnt und wie lange er tätig ist.
  • Welche Applikationen er typischerweise für privilegierte Tätigkeiten nutzt, beispielsweise Remote-Access-Tools, wenn IT-Systeme ferngewartet werden.
  • Welche Endgeräte und Systeme ein User verwendet: PCs mit bestimmten Betriebssystem-Versionen, Smartphones, Tablets, Notebooks etc.

Ergänzend dazu werden biometrische Informationen ausgewertet, beispielsweise

  • wie ein IT-Nutzer die Tastatur bedient: Erfasst werden beispielsweise die Schreibgeschwindigkeit, der Schreibrhythmus und die Fehlerquote bei der Eingabe.
  • Die Art, wie ein User weitere Eingabegeräte wie Trackpads oder Computermäuse bedient. Jeder Nutzer bewegt eine Maus in einer charakteristischen Art: hektisch oder langsam, mit großen oder kleinen Bewegungsradien etc.

Ein UBA-/PUBA-System greift dafür auf diverse Informationsquellen zurück. Dies sind Log-Management-Systeme, SIEM-Lösungen (Security Information and Event Management) und Systeme, die IT-Sessions von Nutzern mit privilegierten Rechten erfassen und aufzeichnen. Als weitere Quellen kommen Verzeichnisdienste wie Microsoft Active Directory und LDAP (Lightweight Directory Access Protocol) in Betracht, außerdem Daten von Cloud-Services wie Amazon Web Services, Salesforce.com und Microsoft Azure.


Datenschutz

Ein wichtiger Faktor im Zusammenhang mit UBA ist der Schutz der erfassten Daten von IT-Usern. Die EU-Datenschutzgrundverordnung (General Data Protection Regulation, GDPR), die 2016 in Kraft trat, hat die Vorgaben in Bezug auf den Schutz personenbezogener Daten nochmals verschärft.


Schutz der Privatsphäre

Wenn es um das Monitoring von Aktivitäten oder Nutzeranalysen geht, stellt sich immer auch die Frage nach der Privatsphäre der Mitarbeiter. Fest steht: Alle Daten, die über Benutzer gesammelt werden, müssen mit größtmöglicher Sorgfalt behandelt werden. Sie dürfen nur denjenigen zugänglich sein, die dafür autorisiert sind und das auch nur in bestimmten Situationen und im Rahmen der lokalen Datenschutzbestimmungen.

Log-Management-Lösungen, die Daten für die UBA liefern, müssen Funktionen zur Anonymisierung bzw. Pseudonymisierung bereitstellen. Auch beim Monitoring der Aktivitäten privilegierter User wie etwa Systemadministratoren, einer weiteren wichtigen Datenquelle für UBA-Tools, darf der Zugriff auf diese Daten nur gesichert, zum Beispiel über eine Vier-Augen-Authentifizierung erfolgen.

Eine weitere Sicherheitsmaßnahme ist die Datenverschlüsselung mithilfe starker Verfahren wie AES (Advanced Encryption Standard). Verschlüsseln lassen sich die Informationen, die UBA-Systeme generieren, sowie die Daten der Lösungen, die als Datenquellen dienen. Dies sind beispielsweise SIEM- und Log-Management-Systeme.


Fokus auf privilegierten Usern

Der Hauptzweck von UBA-Tools ist in den meisten Unternehmen die Abwehr gegen gezielte Angriffe, bei denen legitime Benutzerkonten missbraucht und Benutzerprofile gekapert werden. Das Primärziel sind dabei die privilegierten Benutzer mit Zugang zu den wirklich sensiblen Daten. Deshalb ist es sinnvoll, UBA-Tools speziell für das Monitoring dieser kleinen, aber sehr riskanten Gruppe einzusetzen – anstatt alle Mitarbeiter mit einzubeziehen.


Nutzen

Mithilfe von UBA-/PUBA-Lösungen lassen sich Angriffe durch eigene Mitarbeiter und Beschäftigte von Dienstleistern ("Insider") sowie durch externe Angreifer identifizieren. Das trifft insbesondere auf solche Attacken zu, bei denen sich ein Angreifer die Zugangsdaten von legitimen IT-Usern mit privilegierten Rechten verschafft hat. Mithilfe von User Behavior Analytics lässt sich verhindern, dass sich solche Angreifer unbemerkt einen längeren Zeitraum im Unternehmensnetz bewegen. Ein UBA-System kann die Zeitspanne zur Erkennung solcher nicht autorisierten Aktivitäten deutlich verkürzen.

UBA gibt zudem Aufschluss über potenziell gefährliche Verhaltensweisen von IT-Nutzern. Dazu zählen die gemeinsame Nutzung von Benutzerkonten durch mehrere Systemverwalter und die Verwendung von personifizierten Accounts für die Durchführung von automatisierten Systemmanagement-Aufgaben.


Literatur


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 6. Juni 2017 um 15:07 Uhr von Evi Hierlmeier geändert. Basierend auf der Arbeit von Peter Hohl und Oliver Wege.

Anzeigen