agsandrew - Fotolia

Mit verhaltensbasierten Analysen die Sicherheit verbessern

Mit verhaltensbasierten Erkennungsmethoden lassen sich Bedrohungen schneller erfassen. Bei den Produkten gilt es einige Punkte zu berücksichtigen.

Die Bedrohungen für Unternehmen ändern sich jedes Jahr, immer mehr und neue Angreifer erscheinen auf der Bildfläche. Entsprechend nimmt die Zahl der Zwischenfälle im Bereich der digitalen Sicherheit zu, parallel dazu werden die Attacken immer ausgefeilter.

In 2016 wurden 48 Prozent aller Attacken von bösartigen oder kriminellen Insidern begangen, so die Studie „2016 Cost of Data Breach“ des Ponemon Instituts. Traditionelle Systeme sind so aufgebaut, dass sie nach bekannten Signaturen oder Exploits suchen.

Sie fokussieren sich auf einen Bereich zu einem festen Zeitpunkt. Immer mehr Angreifer fahren ihre Attacken aber kontinuierlich und umgehen Verteidigungsmechanismen der Unternehmen. Entsprechend müssen Unternehmen schnell auf diese wechselnden Anforderungen reagieren. Eine verhaltensbasierte Analyse setzt hier an und bietet neue Antwortmöglichkeiten auf die Bedrohungen. Analysiert wird keineswegs nur das Verhalten von Nutzern, sondern ebenso von Geräten oder Diensten.

In jedem Unternehmen fallen bereits heute riesige Mengen an Protokolldaten an. Diese enthaltenen Nutzeraktionen, Serveraktivitäten sowie Daten von Apps und Geräten im Netzwerk. Es scheitert aber oft an der Auswertung, viele Sicherheitsteams können die Daten nicht in Kontext setzen. Genau das ist aber wichtig, um den Betrieb des Unternehmens sicherstellen zu können.

Nutzeraktionen analysieren

Die Analyse von Nutzeraktionen ist eine aktuelle Innovation im Bereich IT-Sicherheit. Sie kann Firmen helfen, die Sicherheits- und Risikoanalyse auf das nächste Level zu heben. Diese Techniken machen es für Unternehmen einfacher, das Verhalten von Nutzern und Geräten zu überwachen. Die Lösungen zeigen Muster im Verhalten auf. Sie können interne und externe Bedrohungen aufdecken, ohne dass der Betrieb unterbrochen wird.

Um diese neue Technik einzuführen und zu implementieren, müssen die Verantwortlichen die Architektur sowie die Technologie verstehen. Eine Plattform zur verhaltensbasierten Analyse besteht aus diesen drei Komponenten:

Integration der Daten: Dies ist der essentielle Bestandteil der Lösung. Die Komponente muss die Daten aus den verschiedenen Quellen integrieren und konsolidieren. Dabei müssen strukturierte Daten ebenso verarbeitet werden können wie unstrukturierte. Dazu gehören beispielsweise Informationen von Sicherheitssystemen, Logs von Applikationen sowie Informationen von VPN-Gateways, Netzwerk-Logfiles oder Daten aus CSV- und Syslog-Dateien.

Datenanalyse: Die Aufgabe dieser Komponente ist es, Daten anzureichern und zu analysieren. Dabei kommen analytische Algorithmen zum Einsatz, die ihre Umgebung ständig besser kennenlernen, etwa indem sie Server- und Nutzeraktionen unterscheiden können. Zudem erkennen sie den Unterschied zwischen normalen Anwendern und privilegierten Nutzern. Diese Komponente analysiert das Verhalten von Nutzern und Systemen, um zwischen normaler und bösartiger Aktivität zu unterscheiden.

Datenpräsentation und -Visualisierung: Dieser Bereich kümmert sich um die Aufbereitung der Ergebnisse, aus denen Unternehmensbereiche und Sicherheitsteams sinnvolle Schlüsse ziehen können. Hier werden die Muster erkennbar und zudem haben Verantwortliche die Möglichkeit tiefer in die Daten einzusteigen.

Fähigkeiten zur verhaltensbasierten Analyse aufbauen

Neue Funktionen lassen sich am einfachsten in kleinen Schritten in ein Unternehmen einführen. So kann man einfach Änderungen vornehmen, falls es zu Problemen kommen soll. Auf diese Weise können Verantwortliche das Verhalten der neuen Lösungen zur Verhaltensanalyse besser verstehen und die möglichen Geschäftsmodelle dahinter erkennen.

Der Markt für Lösungen zur Analyse von Nutzerverhalten besteht aus zahlreichen Herstellern, die Produkte und Dienste anbieten. Mit Hilfe dieser Produkte lassen sich Bedrohungen aufspüren, ob es sich nun um absichtlich oder versehentlich negativ agierende Insider oder externe Angreifer handelt. Dabei können unterschiedliche Daten wie Nutzer, System und IP-Adresse in Kontext gestellt und somit analysiert werden. Die gesammelten Informationen lassen sich im Hinblick auf bösartiges Verhalten auswerten.

Produkte richtig auswählen

Unternehmen sollten zunächst potentielle Lösungen identifizieren, die genau für ihre Umgebung die passenden Fähigkeiten mitbringen. Dabei ist wichtig festzustellen, wie die Techniken in die bestehenden Sicherheitsumgebungen integriert werden können. Dann sollten Firmen herausfinden, welche Hersteller die besten Lösungen liefern. Die Auswertung der Hersteller sollte auf verschiedenen Fragen basieren. Dazu gehören etwa die Lizenzierungsmodelle, ob die Lösung in der Cloud oder lokal installiert wird, ob die Appliance in einer Hardware oder einer virtuellen Lösung geliefert wird, ob vorkonfigurierte Berichte geliefert werden und weitere Faktoren.

In dieser Phase ist es wichtig, dass Unternehmen ein gutes Verständnis für die Technologien und die Funktionen entwickeln. Ebenso wichtig ist es herauszufinden, wie die Produkte sich in das Unternehmen einfügen, welche Sicherheitsrichtlinien erfüllt werden können und wie sie in die allgemeine Roadmap der Firma passen. Sobald ein erstes Verständnis für die neuen Technologien besteht, kann auf die nächste Phase umgestellt werden. Dabei geht es darum, die besten fünf oder sechs Angebote auszufiltern und in die Details einzusteigen. In einem Folgeartikel werden wir uns mit dem konkreten Prozess der Implementierung beschäftigen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Mit verhaltensbasierter Angriffserkennung die Sicherheit erhöhen

Wie Advanced Security Analytics die Sicherheit verbessert

Angriffe erkennen: SIEM für die Echtzeitanalyse einsetzen

IT-Security: Technologie alleine löst keine Sicherheitsprobleme

Artikel wurde zuletzt im Mai 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Vulnerability-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close