Risiko Mitarbeiter – 10 Tipps für mehr Datensicherheit
Tipp 4 – Profiling ist nicht länger dem FBI vorbehalten
05.02.2010 | Autor / Redakteur: Brian Contos / Stephan Augsten
Traditionelle Netzwerk-Security-Devices wie Firewalls können zwar bestimmte Ereignisse identifizieren und blocken. Einen Bezug zwischen Anwenderverhalten und kritischen Daten stellen sie in der Regel aber nicht her. Der heutige Tipp befasst sich mit der Anomalienentdeckung mithilfe des Profiling.
Kritische Datenverluste sind überall dort zu erwarten, wo Anwender mit sensiblen Daten in Kontakt kommen. Sobald ein Unternehmen weiß, wie „normale“ Aktivitäten in diesen Bereichen aussehen, kann es entsprechende Nutzungsprofile erstellen.
Ein ideales Profiling beinhaltet
- den Ausgangspunkt: Nutzer, Anwendung, Standort,
- das Ziel: Datenbank und Datenbank-Objekte sowie
- den Kontext der Aktivität: Tageszeit, regelmäßige Zugriffe, erfolgreiche und geblockte Aktivitäten, …
Mithilfe der Nutzungsprofile kann man Anomalien erkennen, wenn Signaturen und Binary-Protection-Mechanismen nicht greifen. Ein gutes Beispiel hierfür sind Business-Logic-Attacken.
Entgegen SQL Injection oder Cross-Site Scripting sendet der Angreifer bei einem Missbrauch der Business-Logik keine manipulierten Anfragen. Denn eine Web Application Firewall würde diese umgehend entdecken und blocken. Stattdessen versucht der Hacker, sich die legitimen Funktionen einer Webseite oder -anwendung zunutze zu machen. Ein einfaches aber offensichtliches Beispiel ist, wenn Spammer die Mailing-Funktion sozialer Netzwerke für ihre Zwecke nutzen.
Ebenso wichtig ist es, Nutzungsprofile über legitime Interaktionen mit Anwendungen oder Datenbanken zu erstellen. Dadurch kann man sich besser vor SQL-Injektionen schützen und erkennt ungewöhnliche Datenbank-Anfragen, die aus Fehlern bei der Anwendungsentwicklung resultieren.
Man kann mithilfe regulärer Nutzungsprofile also böswillige Verhaltensmuster erkennen, wie beispielsweise:
- Unverhältnismäßig hohe Datei-Downloadraten
- Aktivitäten außerhalb der üblichen Geschäftszeiten
- Unauthorisierte Zugriffsversuche auf klassifizierte Daten, beispielsweise wenn ein Entwickler sich Zugang zum Human-Ressource-System verschaffen will
- Verdächtige fehlgeschlagene Interaktionen wie eine hohe Anzahl ungültiger Log-in-Versuche
Darüber hinaus kann man mithilfe des Profiling von Anwendungen legitime Aktivitäten erkennen, die in den falschen Kontext gesetzt zunächst gefährlich erscheinen:
- Wenn ein einzelnes System mit vielen anderen kommuniziert, muss dahinter nicht zwingend eine Malware stecken. Es könnte sich auch um einen Backup-Server oder einen Proxy handeln.
- Große Datentransfers außerhalb der regulären Geschäftszeiten mögen zunächst auf Informationsdiebstahl hindeuten, obwohl dahinter eigentlich die Datenbank-Replikation steckt.
Profiling darf keine einmalige Maßnahme sein, da Anwendungen und Datenbanken dynamische Umgebungen sind, die sich ständig verändern. Deshalb ist es wichtig, einen Prozess zu implementieren, in dessen Rahmen man die Nutzungsprofile ständig aktualisiert. Eine regelmäßige Anpassung der Nutzungsprofile ist unverzichtbarer Bestandteil einer umfassenden Datensicherheitsstrategie.
Brian Contos ist Chief Security Strategist bei Imperva.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2043238)
