Was ist die Analyse des Benutzerverhaltens (UBA)?

UBA-Tools können erkennen, wenn das Verhalten einzelner Benutzer von ihrem normalen Verhalten abweicht, wie zum Beispiel die Anmeldung von einer neuen IP-Adresse oder Einblicke in sensible Daten, mit denen die Person normalerweise nicht arbeiten würde.

Diese geringfügigen Anomalien lösen möglicherweise keine anderen Tools zur Netzwerküberwachung aus. Das UBA kann jedoch feststellen, dass diese Aktivität für diesen bestimmten Benutzer unnormal ist, und das Sicherheitsteam benachrichtigen.

Da sie in der Lage sind, subtil verdächtige Verhaltensweisen zu erkennen, können UBA-Tools Security Operations Centern (SOCs) dabei helfen, ausweichende Angriffe wie Insider-Bedrohungen, fortgeschrittene, anhaltende Bedrohungen und Hacker, die gestohlene Zugangsdaten verwenden, zu erkennen.

Diese Funktion ist für SOCs von heute besonders wichtig. Der Missbrauch gültiger Konten ist laut IBM X-Force Threat Intelligence Index die häufigste Methode, mit der Cyberkriminelle in Netzwerke eindringen.

Die Tools und Techniken des UBA kommen in verschiedenen Bereichen zum Einsatz. Vermarkter und Produktdesigner verfolgen beispielsweise häufig Daten zum Benutzerverhalten, um zu verstehen, wie Menschen mit Apps und Websites interagieren. Im Bereich der Cybersicherheit wird UBA jedoch in erster Linie zur Erkennung von Bedrohungen eingesetzt.

User and Entity Behavior Analytics (UEBA) wurde erstmals 2015 vom Analystenunternehmen Gartner definiert und ist eine Klasse von Sicherheitstools, die aus UBA hervorgegangen sind.

Wie UBA überwachen auch UEBA-Tools die Netzwerkaktivitäten, legen Referenzwerte für normale Verhaltensweisen fest und erkennen Abweichungen von diesen Normen. Der Hauptunterschied besteht darin, dass UBA nur menschliche Benutzer verfolgt, während UEBA-Systeme sich auch mit Aktivitäten und Metriken von nichtmenschlichen Entitäten wie Apps und Geräten beschäftigen.

Immer wieder wird darüber diskutiert, ob die Begriffe austauschbar sind. Einige Firmen, wie IDC, behaupten, dass es sich dabei um unterschiedliche Technologieklassen handelt^.1 Der ehemalige Gartner-Analyst Anton Chuvakin hingegen ist der Meinung, UBA und UEBA als annähernd synonym zu betrachten.

Unabhängig davon unterscheiden sich UBA und UEBA durch den Fokus auf die Benutzer von ähnlichen Sicherheitstools wie Security Information and Event Management (SIEM) und Endpoint Detection and Response (EDR). Diese Tools ermöglichen es Sicherheitsteams, Systemaktivitäten auf der Ebene des einzelnen Benutzers zu verstehen und zu analysieren. Die Verfolgung nichtmenschlicher Entitäten kann Kontext hinzufügen, ist aber nicht unbedingt der Hauptzweck dieser Tools.

Oder, um Chuvakin zu zitieren: „ Das U ist ein Muss“, aber „über U zu einem anderen E zu gehen, ist es nicht.“

Tools zur Analyse des Benutzerverhaltens sammeln kontinuierlich Benutzerdaten aus Quellen im gesamten Netzwerk. Diese verwenden sie, um Basismodelle des Benutzerverhaltens zu erstellen und zu verfeinern. Die Tools vergleichen die Benutzeraktivität in Echtzeit mit diesen Basismodellen. Wenn sie ein anomales Verhalten feststellen, das ein erhebliches Risiko darstellt, alarmieren sie die entsprechenden Stakeholder.

UBA-Tools erfassen Daten über Benutzerattribute (z. B. Rollen, Berechtigungen, Standorte) und Benutzeraktivitäten (z. B. Änderungen an einer Datei, besuchte Websites, verschobene Daten). UBAs können diese Informationen aus verschiedenen Datenquellen sammeln, darunter:

• Benutzerverzeichnisse, wie z.B. Microsoft Active Directory
   

• Netzwerkdatenverkehrsprotokolle von Intrusion Detection and Prevention Systems (IDPS), Routern, VPNs und anderer Infrastruktur
   

• Benutzeraktivitätsdaten aus Anwendungen, Dateien, Endgeräten und Datenbanken
   

• Anmelde- und Authentifizierungsdaten aus Identity und Access Management (IAM) Systemen
   

• Ereignisdaten von SIEMs, EDRs und anderen Sicherheitstools

UBA-Tools nutzen Datenanalysen, um Benutzerdaten in Referenzmodelle für normale Aktivitäten umzuwandeln.

UBA-Tools können grundlegende Analysemethoden wie statistische Modellierung und Musterabgleich verwenden. Viele nutzen auch fortgeschrittene Analysen, wie z. B. künstliche Intelligenz (KI) und maschinelles Lernen (ML).

KI und ML ermöglichen es UBA-Tools, riesige Datensätze zu analysieren, um genauere Verhaltensmodelle zu erstellen. Algorithmen für maschinelles Lernen können diese Modelle im Laufe der Zeit auch verfeinern, sodass sie sich zusammen mit Änderungen der Geschäftsabläufe und Benutzerrollen weiterentwickeln.

UBA-Tools können Verhaltensmodelle sowohl für einzelne Benutzer als auch für Benutzergruppen erstellen.

Für einen einzelnen Benutzer kann das Modell z. B. den Ort berücksichtigen, von dem aus sich der Benutzer anmeldet und wie viel Zeit er durchschnittlich in verschiedenen Apps verbringt.

Für Benutzergruppen — wie alle Benutzer in einer Abteilung — könnte das Modell Dinge wie die Datenbanken berücksichtigen, auf die diese Benutzer zugreifen, und die anderen Benutzer, mit denen sie interagieren.

Ein einzelner Benutzer kann mehrere Benutzerkonten für die verschiedenen Apps und Dienste haben, die er an einem typischen Arbeitstag nutzt. Viele UBA-Tools lernen, die Aktivitäten von diesen Konten unter einer einzigen einheitlichen Benutzeridentität zu konsolidieren.

Durch die Konsolidierung der Kontoaktivität können Sicherheitsteams Verhaltensmuster erkennen, selbst wenn die Benutzeraktivität auf unterschiedliche Teile des Netzwerks verteilt ist.

Nach der Erstellung von Basismodellen überwachen UBA-Tools die Benutzer und vergleichen ihr Verhalten mit diesen Modellen. Wenn sie Abweichungen entdecken, die auf potenzielle Bedrohungen hinweisen könnten, alarmieren sie das Sicherheitsteam.

UBAs können Anomalien auf verschiedene Weise erkennen, und viele UBA-Tools verwenden eine Kombination aus Erkennungsmethoden.

Einige UBA-Tools nutzen regelbasierte Systeme, bei denen Sicherheitsteams manuell Situationen definieren, die einen Alarm auslösen sollen, z. B. wenn Benutzer versuchen, außerhalb ihrer Berechtigungsstufen auf Assets zuzugreifen.

Viele UBA-Tools nutzen zudem KI- und ML-Algorithmen, um das Benutzerverhalten zu analysieren und Anomalien zu erkennen. Mit KI und ML kann UBA Abweichungen vom bisherigen Verhalten eines Benutzers erkennen.

Wenn sich ein Benutzer beispielsweise bisher nur während der Arbeitszeit bei einer App angemeldet hat und sich nun nachts und am Wochenende anmeldet, könnte dies auf ein kompromittiertes Konto hindeuten.

KI und ML kann für UBA-Tools auch nützlich sein, um Benutzer mit anderen zu vergleichen und auf diese Weise Anomalien zu erkennen.

Zum Beispiel besteht eine gute Chance, dass niemand in der Marketingabteilung die Kreditkartendaten der Kunden abrufen muss. Wenn ein Marketing-Benutzer versucht, auf diese Daten zuzugreifen, kann dies auf einen Versuch der Datenexfiltration hindeuten.

Zusätzlich zum Training von KI- und ML-Algorithmen zum Nutzerverhalten können Unternehmen Threat-Intelligence Feeds verwenden, um UBA-Tools beizubringen, bekannte Indikatoren für bösartige Aktivitäten zu erkennen.

UBA-Tools lösen nicht jedes Mal einen Alarm aus, wenn ein Benutzer etwas Ungewöhnliches tut. Schließlich haben die Menschen oft berechtigte Gründe für „anomales“ Verhalten. Zum Beispiel könnte ein Benutzer Daten mit einer bisher unbekannten Partei teilen, weil er zum ersten Mal mit einem neuen Anbieter zusammenarbeitet.

Anstatt einzelne Ereignisse zu kennzeichnen, weisen viele UBA-Tools jedem Benutzer eine Risikobewertung zu. Jedes Mal, wenn ein Benutzer etwas Ungewöhnliches tut, steigt seine Risikobewertung. Je riskanter die Anomalie, desto höher der Anstieg. Wenn die Risikobewertung des Benutzers einen bestimmten Schwellenwert überschreitet, benachrichtigt das UBA-Tool das Sicherheitsteam.

Auf diese Weise überflutet das UBA-Tool das Sicherheitsteam nicht mit kleineren Anomalien. Es würde jedoch immer noch ein Muster regelmäßiger Anomalien in den Aktivitäten eines Benutzers erkennen, was eher auf eine Cyberbedrohung hinweist. Auch eine einzelne signifikante Anomalie kann einen Alarm auslösen, wenn sie ein ausreichend hohes Risiko darstellt.

Wenn die Risikobewertung eines Benutzers hoch genug ist, benachrichtigt das UBA-Tool das SOC, das Notfallteam oder andere Stakeholder.

Einige UBA-Tools verfügen über spezielle Dashboards, über die Sicherheitsteams Benutzeraktivitäten überwachen, Risikobewertungen verfolgen und Warnmeldungen erhalten können. Viele UBA-Tools können auch Warnungen an SIEMs oder andere Sicherheitstools senden.

Obwohl UBA-Tools in der Regel nicht in der Lage sind, direkt auf Bedrohungen zu reagieren, können sie in andere Tools integriert werden, die dies tun.

Einige Plattformen für Identity und Access Management (IAM) verwenden beispielsweise UBA-Daten für die adaptive Authentifizierung. Wenn die Risikobewertung eines Benutzers einen bestimmten Schwellenwert überschreitet — vielleicht weil er sich von einem neuen Gerät aus anmeldet — fragt das IAM-System möglicherweise nach zusätzlichen Authentifizierungsfaktoren.

Da sie sich auf die Aktivitäten von Benutzern innerhalb des Netzwerks konzentrieren, können UBA-Tools Sicherheitsteams dabei helfen, böswillige Akteure zu erwischen, die ihre Perimeter-Verteidigung überwinden.

Darüber hinaus kann UBA durch die Verfolgung langfristiger Muster im Nutzerverhalten die kaum wahrnehmbaren Spuren erkennen, die die ausgeklügeltesten Cyberangriffe hinterlassen.

UBA-Tools können unter Umständen falsch-positive oder falsch-negative Ergebnisse liefern. Unternehmen sind dazu in der Lage, diese Möglichkeiten einzudämmen, indem sie Risikobewertungen verwenden und KI- und ML-Algorithmen auf die individuellen Muster ihrer Benutzer trainieren. Allerdings kann das Risiko dadurch möglicherweise nicht vollständig ausgeschlossen werden.

Angenommen, ein Benutzer beginnt im Rahmen einer geplanten Migration damit, große Mengen sensibler Daten von einer Cloud in eine andere zu übertragen. Das Basismodell des UBA berücksichtigt diese genehmigte, aber seltene Aktivität möglicherweise nicht und lässt daher die Alarmglocken schrillen.

Falsch negative Ergebnisse entstehen, wenn ein UBA-Tool lernt, potenzielle Bedrohungen als akzeptables Verhalten zu behandeln. Dies kann passieren, wenn Anomalien wiederholt auftreten, ohne dass sie korrigiert werden.

Nehmen Sie zum Beispiel einen Anbieter, der die Fähigkeiten seines UBA zur Erkennung von Bedrohungen demonstriert, indem er während der Demos für die Kunden Datenverletzungen simuliert. Das UBA-Tool sieht denselben Verstoß immer und immer wieder. Irgendwann stellt das Tool fest, dass dieser Verstoß normal ist – weil er regelmäßig vorkommt – und gibt keine Warnungen mehr darüber aus.

Während einige Anbieter eigenständige UBA-Lösungen anbieten, verlagert sich der Markt zunehmend darauf, UBA-Funktionen als Integration oder Ergänzung zu anderen Sicherheitstools anzubieten. Insbesondere sind UBA-Funktionen häufig in SIEMs, EDRs und IAM-Plattformen eingebettet.

SIEMs fassen Sicherheitsereignisdaten aus unterschiedlichen internen Sicherheitstools in einem einzigen Protokoll zusammen und analysieren diese Daten, um ungewöhnliche Aktivitäten zu erkennen. Viele SIEMS enthalten jetzt UBA-Funktionen oder lassen sich problemlos in UBA-Tools integrieren, die Unternehmen bei der Optimierung ihrer SIEM-Daten helfen können.

Durch die Kombination von Daten zum Benutzerverhalten mit Daten zu Sicherheitsereignissen können Unternehmen Bedrohungen früher erkennen und die riskantesten Anomalien bei der Untersuchung priorisieren.

UBAs ergänzen EDR-Tools, indem sie Daten zum Benutzerverhalten zu Daten zur Endgerätaktivität hinzufügen. Dadurch erhält das Sicherheitsteam einen besseren Einblick in die Aktivitäten der Benutzer auf ihren Endgeräten, was die Erkennung von Mustern für verdächtiges Verhalten auf verschiedenen Geräten erleichtern kann.

Unternehmen verwenden IAM-Tools, um zu kontrollieren, welche Benutzer auf welche Ressourcen zugreifen können. Wie bereits erwähnt, ermöglicht die Integration von UBA-Tools mit IAM-Systemen Unternehmen, intelligente adaptive Authentifizierungsprozesse zu entwickeln, die Authentifizierungsanforderungen verschärfen, wenn die Risikobewertung eines Benutzers steigt.