Was ist User Behaviour Analystics (UBA)?
Was ist User Behaviour Analystics (UBA)?
User Behaviour Analytics (UBA) bezeichnet das Verfolgen, Sammeln und Auswerten von Benutzerdaten und -aktivitäten mithilfe von Überwachungssystemen.
UBA-Lösungen erschienen erstmals nach der Jahrtausendwende als Werkzeuge, mit denen Marketing-Teams das Kaufverhalten von Kunden analysieren und voraussagen konnten.
Heute verfügen Tools zur Analyse des Benutzerverhaltens über fortschrittliche Profiling- und Ausnahmeüberwachungsfunktionen und werden für zwei Hauptfunktionen eingesetzt.
UBA-Tools verwendet erstens verwendet, um eine Basislinie normaler Aktivitäten zu ermitteln, die für das Unternehmen und seine einzelnen Benutzer spezifisch sind.
Zweitens können sie auch verwendet werden, um Abweichungen vom Normalzustand zu identifizieren. UBA nutzt Big Data und maschinelle Lernalgorithmen, um diese Abweichungen nahezu in Echtzeit zu bewerten.
Wie funktioniert UBA?
UBA-Lösungen analysieren historische Datenprotokolle (Logs) - einschliesslich Netzwerk- und Authentifizierungslogs, die in Logmanagement- und SIEM-Systemen gesammelt und gespeichert werden -, um Muster des Datenverkehrs zu erkennen, die durch normales und bösartiges Benutzerverhalten verursacht werden.
UBA-Systeme sind in erster Linie dazu gedacht, Cybersecurity-Teams mit umsetzbaren Erkenntnissen zu versorgen.
UBA sammelt dazu verschiedene Arten von Daten, z. B. Benutzerrollen und -titel, einschließlich Zugriff, Konten und Berechtigungen, Benutzeraktivität und geografischer Standort sowie Sicherheitswarnungen.
Diese Daten können aus vergangenen und aktuellen Aktivitäten gesammelt werden, und die Analyse berücksichtigt Faktoren wie genutzte Ressourcen, Sitzungsdauer, Konnektivität und Peer-Group-Aktivität, um anomales Verhalten damit zu vergleichen.
UBA-Systeme melden nicht alle Anomalien als riskant. Stattdessen bewerten sie die potenzielle Auswirkung des Verhaltens. Wenn das Verhalten weniger sensible Ressourcen betrifft, erhält es eine niedrige Auswirkungsbewertung.
Handelt es sich um etwas Sensibleres, wie z. B. personenbezogene Daten, erhält es eine höhere Einstufung. Auf diese Weise können Sicherheitsteams priorisieren, was weiterverfolgt werden soll, während das UBA-System automatisch die Authentifizierung für den Benutzer, der ein anormales Verhalten zeigt, einschränkt oder erschwert.
Phasen der UBA
Zunächst sammeln die Systeme Daten über das Nutzerverhalten aus verschiedenen Quellen. Anhand dieser Daten lernt UBA das normale Nutzerverhalten kennen. Hierfür wird beispielsweise untersucht, auf welche Server und Dateien Nutzer normalerweise zugreifen, von wo aus und zu welchen Zeiten dies geschieht, welche typischen Anwendungen ausgeführt werden oder welche Endgeräte, Betriebssysteme und Netzwerke der Anwender nutzt.
Nach diesem Baselining ist das UBA-System in der Lage, Abweichungen vom normalen Nutzerverhalten in Echtzeit zu identifizieren und weitergehende Maßnahmen wie die Alarmierung der Verantwortlichen oder das Blockieren bestimmter Nutzer einzuleiten.
Typische Abweichungen, die User Behaviour Analytics erkennt, sind beispielsweise:
• in Art und Umfang ungewöhnliche Dateizugriffe
• User-Zugriffe von ungewöhnlichen Endgeräten, Standorten oder Netzwerken
• von den Standardzeiten abweichende Nutzeraktivität
• ungewöhnliche Veränderungen der Systemkonfigurationen
• ungewöhnlich viele Login-Versuche
• Login-Versuche auf üblicherweise von einem Anwender nicht verwendete Systeme
• Verwendung ungewöhnlicher Nutzerkonten
Verwendungszwecke der Analyse des Benutzerverhaltens
Während die Anwendung von User Behaviour Analytics auf nur einen Benutzer nicht unbedingt nützlich ist, um bösartige Aktivitäten zu finden, kann die Anwendung in großem Maßstab einer Organisation die Möglichkeit geben, Malware oder andere potenzielle Cybersecurity-Bedrohungen wie Datenexfiltration, Insider-Bedrohungen und kompromittierte Endpunkte zu erkennen.
User Behaviour Analytics wertet das Verhalten von IT-Nutzern aus. Ziel ist es, vom normalen Verhalten abweichende Muster in Echtzeit zu erkennen und Angriffe oder gefährliche Transaktionen zu identifizieren und zu verhindern. UBA reduziert das Risiko für Insider-Bedrohungen. Zum Einsatz kommen Big-Data-Technologien und Methoden des Maschinellen Lernens (ML).
Vorteile durch User Behaviour Analytics
Mit Hilfe von User Behaviour Analytics lässt sich das Risiko für Insider-Bedrohungen oder für Angriffe von Personen mit unberechtigt verschafftem Zugriff reduzieren. UBA erkennt gefährliches oder kritisches Verhalten von Mitarbeitern, Dienstleistern oder von externen Angreifern, die unberechtigten Zugriff haben.
Da die Analysen in Echtzeit erfolgen, werden Bedrohungen direkt aufgedeckt. Gegenmaßnahmen können unmittelbar eingeleitet werden. Dank Einsatz des Maschinellen Lernens optimieren die UBA-Systeme ihre Erkennungsmuster selbständig. Sicherheitsteams werden von Standardaufgaben und manuellen Analysetätigkeiten entlastet.
Fazit
User Behaviour Analytics ist ein wichtiger Teil einer vielschichtigen, integrierten IT- und Informationssicherheitsstrategie, um Angriffe zu verhindern und Bedrohungen zu untersuchen. Sie können ein unglaublich leistungsfähiges Werkzeug sein, um eine Gefährdung frühzeitig zu erkennen, Risiken zu mindern und einen Angreifer daran zu hindern, die Daten eines Unternehmens zu exfiltrieren.
UBA ist in den letzten Jahren exponentiell gewachsen, da sich das Internet der Dinge (IoT) ausbreitet und es immer mehr Geräte gibt, die möglicherweise Schwachstellen im Netzwerk ausnutzen könnten. Ganz gleich, ob Sie versuchen, verdächtige Insider-Bedrohungen zu identifizieren oder berechtigte Konten zu überwachen, UBA bietet Ihrer IT-Infrastruktur zusätzlichen Schutz vor Angriffen.
Gerne stellen wir Ihnen unsere Lösungen IBM QRadar UBA oder Rapid7 UBA in einem persönlichen Gespräch vor. Wir freuen uns auf Ihre Kontaktaufnahme.
Quellen:
https://searchsecurity.techtarget.com/definition/user-behaviour-analytics-UBA
https://www.splunk.com/de_de/data-insider/user-behaviour-analytics-ueba.html
https://www.computerweekly.com/de/definition/Analyse-des-Nutzerverhaltens-oder-User-Behaviour-Analysis-UBA
https://www.security-insider.de/was-ist-user-behaviour-analytics-uba-a-983970/
https://www.rapid7.com/de/Cybersecurity-Grundlagen/user-behaviour-analytics/