Wie UEBA aus rohen Log-Daten sofort nutzbare und relevante Informationen macht
UEBA (User and Entity Behavior Analytics) könnte man als die „weise Schwester“ des SIEM (Security Incident and Event Management) bezeichnen. Es korreliert die Daten aus einem Pool mit zahlreichen Log-Quellen und entwickelt daraus eine intelligente Baseline. An den Abweichungen von diesem Normalzustand erkennt UEBA ungewöhnliches Verhalten von Assetes und Useren und meldet es. Das Ergebnis sind umfassende Security Erkenntnisse, die ansonsten nicht oder nur extrem zeitaufwändig zu bekommen wären. Zugleich ist SIEM/UEBA ein Werkzeug, das nicht an den Grenzen des Perimeters Halt macht, sondern jedwede interne und externe Kommunikation einbezieht. Mit diesen Eigenschaften wird UEBA zum echten Enabler in Sachen Securityreife für Unternehmen und zur unverzichtbaren Basis für eine sichere Digitalisierung.
Spätestens mit dem Aufbau einer mobilen Workforce, remote Workern und Road-Worriors und dem Engagement von Gig-Workern begeben sich Unternehmen in eine Situation, die sie nicht mehr mit klassischen Endpoint-Security-Tools oder einfacher Erweiterung der Perimeter Security kontrollieren können. Viele Unternehmen sind schon bei der Einrichtung sicherer Heimarbeitsplätze überfordert, besonders wenn es schnell gehen soll und in größerem Stil stattfindet. SIEM-Systeme funktionieren sowohl inner- als auch außerhalb des Unternehmensnetzwerks – sie gelten daher als wichtige Instanz, um Security in solchen Umgebungen zu kontrollieren. Mittel und Fähigkeiten eines SIEM allein sind jedoch begrenzt. Um Wirksamkeit und Steuerung von Security auf ein Niveau zu heben, das mit den Angreifern auf Augenhöhe liegt, braucht SIEM die Ergänzung durch UEBA.
LogPoint UEBA nutzt Technologien wie maschinelles Lernen (ML) und Deep Learning (DL), um eine dynamische Baseline zu erzeugen und abnormales und riskantes Verhalten von Benutzern, Gruppen, Maschinen und anderen Entitäten inner- und außerhalb des Unternehmensnetzwerks zu erkennen. Anders als SIEM arbeitet UEBA nicht nur mit vordefinierten Korrelationsregeln oder Angriffsmustern, sondern bildet selbst logische Relationen. Darüber hinaus betrachtet UEBA nicht nur die Vorgänge innerhalb eines Organisationssystems wie etwa einer Nutzergruppe, sondern auch Organisations-übergreifend. Ein weiterer Vorteil von UEBA ist, dass es mehrere, darunter auch einige UEBA-spezifische Datenquellen gleichzeitig einbeziehen kann, sich die Daten aus dem SIEM also mit zusätzlichen Informationen etwa aus herstellereigenen und öffentlichen Bedrohungsdatenbanken etc. anreichern lassen. Unter dem Strich ist UEBA damit in der Lage, die Daten und Schlüsse eines SIEM erheblich zu präzisieren und gegebenenfalls auch zu korrigieren.
Erkenntnisse direkt ab Werk
Eine Besonderheit bei LogPoint ist die Bereitstellung von elf typischen Angriffsmustern, die heute ein Firmennetzwerk bedrohen können. Diese sogenannten „Use Cases“ basieren auf jahrelangen Datensammlungen, Analysen und Auswertungen des Herstellers und decken Fälle wie „Account Missbrauch“, „Datenklau“, „verdächtige Aktivitäten“ etc. sehr detailliert ab. Im Grunde verbergen sich hinter jedem Use Case viele verschiedene Angriffsmuster, die sich aber jeweils unter einem der elf Oberbegriffe subsummieren lassen. Nutzer erhalten damit „ab Werk“ tiefe Erkenntnisse zu nahezu allen bekannten Angriffen, beziehungsweise ungewöhnlichem Verhalten, das das auf eine Angriffsvorbereitung hindeutet. Moderne Visualisierungs-Tools wie Dashboards und klar strukturierte Berichte sorgen dafür, dass diese wichtigen Infos analystengerecht aufbereitet und leicht verständlich dargestellt werden.
Eine typische Meldung, mit der sich das LogPoint-UEBA beim Security-Analysten meldet, könnte etwa lauten:
„Es war sehr ungewöhnlich, dass User-A 38 Mal in einer Stunde auf das gemeinsame Laufwerk Kundendaten zugegriffen hat. User-A greift typischerweise 1,1 Mal auf dieses Laufwerk zu, höchstens bislang 2 Mal.“
Mit dieser Information hat der Analyst eine valide Grundlage, um angemessene Entscheidungen zu treffen – zum Beispiel sich User-A einmal genauer anzusehen. An dieser Stelle empfiehlt es sich, auch einmal einen Blick auf den Risiko-Score zu werfen, den das LogPoint UEBA für jeden Nutzer und jeden Vorfall errechnet (von 0 für unkritisch bis 100 für extrem kritisch). Nutzer mit nur wenigen Rechten sind natürlich erheblich weniger kritisch zu sehen, also solche mit umfangreichem Rechtepaket. Nutzer, deren Namen beispielsweise in einschlägigen Datenbanken im Darknet auftauchen, müssen als in irgendeiner Form korrumpiert eingestuft werden – bei ihnen sollte jede Aktion kritisch untersucht werden. Die Verbindung zum Darknet bewältigt das UEBA jedoch nicht von Haus aus.
Auch weniger geübte Security-Analysten gelangen auf einen Blick zu Erkenntnissen, die sie sonst oft erst nach monatelangen eigenen Untersuchungen gewinnen würden– und das erheblich fundierter, als es für einzelne Unternehmen überhaupt möglich wäre. Aktionen zu den Entdeckungen lassen sich teilweise über angeschlossene SOAR-Tools (Security Orchestration and Automation Response) automatisieren – grundsätzlich muss jedoch immer ein Analyst die Meldungen ansehen.
Peer-Groups sorgen für erhöhte Sicherheit
Sollten Angreifer ein Angriffsszenario verwenden, das noch nicht mit den Use Cases abgedeckt ist, sorgen ML-/DL-unterstützte Prozesse dafür, dass auch diese zeitnah enttarnt und abgewehrt werden. LogPoint nutzt dabei auf sehr raffinierte Weise den Entitäts-übergreifenden UEBA-Ansatz: Über Peer-Group-Berechnungen entwickelt das System einen „Normalzustand“ auch für ganze Gruppen von Entitäten. Auf diese Weise können auch hoch entwickelte, langfristig angelegte Angriffe (APTs – Advanced Persistent Threats), die über harmlos scheinende Aktionen die Baseline in einer Entität unauffällig nach und nach verschieben wollen, vergleichsweise rasch ausgemacht werden. Das ist eine Funktion, die selbst unter Einsatz von Scharen hoch bezahlter Analysten so nicht zu stemmen wäre. Wonach sollten sie auch suchen? Wollte ein Angreifer versuchen, die Baseline einer ganzen Peer-Group langsam zu verschieben, würde das nicht gelingen: Davon abgesehen, dass so etwas nicht mehr unterhalb des „Radars“ stattfinden könnte – der Angreifer hat auch keine Chance zu erfahren, wie die Peer-Group aktuell zusammengesetzt ist. Denn das macht das System automatisch und dynamisch mit den Mitteln von ML und DL.
UEBA als sicherer Cloud-Service
LogPoint UEBA wird in der unternehmenseigenen Private-Cloud in Dänemark verschlüsselt gehostetet und betrieben. Damit ist sichergestellt, dass alle in Europa geltenden Bestimmungen und Gesetze, wie GDPR (in Deutschland durch die DSGVO umgesetzt), CCPA und andere zu 100 Prozent eingehalten werden. Darüber hinaus hat LogPoint das sogenannte Data-Privacy-Modul als festen Bestandteil seiner Lösung kostenlos integriert. Data Privacy ermöglicht die Anonymisierung von zum Beispiel Benutzernamen, IP-Adressen und vielem mehr. Diese können erst nach einem Vier-Augen-Prinzip sichtbar gemacht werden. Die UEBA Berechnungen erfolgen immer mit den symmetrisch verschlüsselten Daten. Niemals werden diese außerhalb der Kundenumgebung entschlüsselt. Ein weiterer Vorteil für die Kunden ist, dass Rechenleistung und Datenvolumen elastisch je nach Anforderung skalieren. Jeder Kunde bekommt auf der Cloud-Plattform eine eigene Partition zugewiesen, auf der seine Prozesse exklusiv laufen.
Auch bei der Datenübertragung zwischen Kunde und Cloud sorgt LogPoint für ein hohes Maß an Sicherheit: So läuft auch hier nichts ohne starke Verschlüsselung – zum Einsatz kommen AES-128 und SHA-256. Auf dem UEBA-Cloud-Cluster sind nur zwei Ports dem Internet ausgesetzt. Zudem sind nur die vom Kunden bereitgestellten IP-Adressen auf der Whitelist und können sich mit diesen Ports verbinden. Auf der Verwaltungsseite kann nur eine begrenzte Anzahl ausgewählter LogPoint-Mitarbeiter den UEBA Cloud Cluster über ein VPN von einer Whitelist-IP-Adresse aus überwachen. Der Cloud-Kafka-Server verwendet TLSv1.2 und erfordert von den Clients (Vor-Ort-Konnektor von LogPoint UEBA) die Bereitstellung eines Zertifikats zur Identifizierung. Peers kommen nicht über den TLS-Handshake am Kafka-Port hinaus, es sei denn, sie verfügen über ein gültiges Client-Zertifikat.
Sicherheit gibt es bei LogPoint auch durch unabhängige Zertifizierung: Eine EAL3+-Zertifizierung erlaubt es auch Nutzern mit den strengsten Sicherheitsanforderungen, LogPoint SIEM/UEBA gesetzeskonform einzusetzen.
Mit SIEM/UEBA führt LogPoint Security im Unternehmen auf den nächsten Level. Kunden erhalten sofort hoch vorqualifizierte Informationen, die sie sonst nicht, oder bestenfalls erst nach langen Analysen und mit einer riesigen Mannschaft an teuren Top-Analysten bekämen. Sie sparen also eine Menge Zeit, Ressourcen und Kosten – und gewinnen gleichzeitig wertvolle Erkenntnisse, die es früher faktisch so nicht gab. Die frühzeitige Angriffserkennung erlaubt überlegtes Agieren, anstatt hektisch reagieren zu müssen. Die Kombination von LogPoint SIEM und UEBA hilft Kunden, sich einen riesigen Schritt in Richtung Security-Reife zu bewegen und unterstützt die ohnehin raren Analysten schnell und effizient bei ihrer Arbeit.
Wenn Sie mehr zu LogPoint SIEM/UEBA wissen möchten, klicken Sie bitte hier:
Der moderne Security Enabler: LogPoint SIEM & UEBA - Tech Data Blog
Arcserve startet neues Partnerprogramm für MSPs
PPDS beruft Marketing-Chef und EMEA Commercial Head
Schrödingers Erbe verpflichtet
Crowdstrike lanciert Schutzlösung für menschliche und nicht-menschliche Identitäten
Update: Auch Basel-Stadt baut seine E-Voting-Versuche aus
Cyberangriffe auf Schweizer Organisationen nehmen ab
Update: US-Regierung könnte sich an Intel beteiligen
John Wick in Resident Evil 4
AlpineAI muss SwissGPT umbenennen
