Was ist User and Entity Behavior Analytics (UEBA)?

Was ist UEBA?

UEBA ist die Abkürzung für „User and Entity Behavior Analytics“ („Analyse des Verhaltens von Benutzern und Entitäten“). Es handelt sich dabei um eine Art von Sicherheitssoftware, die Verhaltensanalysen, Algorithmen des maschinellen Lernens und Automatisierung einsetzt, um ungewöhnliches und potenziell gefährliches Verhalten von Benutzern und Geräten zu erkennen. UEBA verschafft den Teams einen besseren Einblick in die Sicherheit und verbessert die Zero-Trust-Sicherheitsprogramme.

Der Begriff UEBA wurde erstmals 2015 von Gartner verwendet und ist eine Weiterentwicklung von „User Behavior Analytics“ (UBA). Während UBA nur Verhaltensmuster von Endbenutzern nachverfolgte, überwacht UEBA auch Entitäten, die keine Benutzer sind. Dazu gehören beispielsweise Server, Router und Geräte aus dem Bereich des Internets der Dinge (IoT). Dabei wird überwacht, ob ungewöhnliches Verhalten oder verdächtige Aktivitäten vorliegen, die auf Sicherheitsbedrohungen oder Angriffe hinweisen könnten.

UEBA ist besonders effektiv bei der Identifizierung von Insider Threats (d. h. Bedrohungen durch böswillige Insider oder durch Hacker, die kompromittierte Zugangsdaten von Insidern verwenden), die autorisierten Netzwerkverkehr nachahmen und daher von anderen Sicherheitstools möglicherweise nicht erkannt werden.

UEBA wird in SOCs (Security Operations Center) zusammen mit anderen Sicherheitstools für Unternehmen eingesetzt. UEBA-Funktionen sind außerdem häufig in Sicherheitslösungen für Unternehmen wie SIEM (Security Information and Event Management), EDR (Endpoint Detection and Response), XDR (Extended Detection and Response) und IAM (Identity and Access Management) integriert.

Think-Newsletter

Würde Ihr Team den nächsten Zero-Day rechtzeitig erkennen?

Schließen Sie sich Führungskräften im Bereich Sicherheit an, die von den kuratierten Nachrichten zu KI, Cybersicherheit, Daten und Automatisierung im Think Newsletter profitieren. Lernen Sie schnell von Experten-Tutorials und Erläuterungen, die direkt in Ihren Posteingang geliefert werden. Weitere Informationen finden Sie in der IBM Datenschutzerklärung.

Ihr Abonnement wird auf Englisch geliefert. In jedem Newsletter finden Sie einen Abmeldelink. Hier können Sie Ihre Abonnements verwalten oder sich abmelden. Weitere Informationen finden Sie in unserer IBM Datenschutzerklärung.

https://www.ibm.com/de-de/privacy

So funktioniert UEBA

UEBA-Lösungen nutzen Datenanalysen und maschinelles Lernen, um Erkenntnisse im Zusammenhang mit der Sicherheit bereitzustellen. Die Tools zur Verhaltensanalyse im UEBA-System erfassen und analysieren große Datenmengen aus verschiedenen Quellen, um sich zunächst ein Bild davon zu machen, wie Benutzer und Entitäten mit privilegierten Berechtigungen normalerweise vorgehen. Dies wird als Referenz bezeichnet. Anschließend wird maschinelles Lernen (ML) eingesetzt, um die Referenzdaten zu optimieren. Da ML im Laufe der Zeit dazulernt, muss die UEBA-Lösung immer weniger Stichproben zum normalen Verhalten sammeln und analysieren, um genaue Referenzdaten zu erhalten.

Nach der Modellierung des Referenzverhaltens wendet UEBA dieselben fortschrittlichen Analyse- und maschinellen Lernfunktionen auf Daten über aktuelle Benutzer- und Entitätsaktivitäten an, um in Echtzeit zu ermitteln, ob verdächtige Abweichungen vom Referenzverhalten erkennbar sind. UEBA bewertet das Verhalten von Benutzern und Entitäten durch die Analyse von Daten aus so vielen Unternehmensquellen wie möglich. Dabei gilt: Je mehr, desto besser. Zu diesen Quellen gehören in der Regel:

  • Netzwerkgeräte und Netzwerkzugangslösungen wie Firewalls, Router, VPNs und IAM-Lösungen.
     

  • Sicherheitstools und -lösungen wie Antivirus- und Antimalware-Software, EDR, Intrusion Detection and Prevention Systems (IDPS) und SIEM.
     

  • Authentifizierungsdatenbanken, wie z. B. Active Directory, enthalten wichtige Informationen über eine Netzwerkumgebung, einschließlich Benutzerkonten, aktive Computer innerhalb des Systems und die Aktivitäten, die Benutzer durchführen dürfen.

  • Threat-Intelligence-Feeds und -Frameworks wie MITRE ATT&CK, die Informationen über häufige Cyberbedrohungen und Schwachstellen bereitstellen, darunter Zero-Day-Angriffe, Malware, Botnets und andere Sicherheitsrisiken.
     

  • ERP-Systeme (Enterprise Resource Planning) oder HR-Systeme (Human Resources), die relevante Informationen über Benutzer enthalten, die eine Bedrohung darstellen könnten, z. B. Mitarbeiter, die gekündigt haben oder möglicherweise unzufrieden sind.

UEBA nutzt die gewonnenen Erkenntnisse, um ungewöhnliches Verhalten zu identifizieren und es anhand des damit verbundenen Risikos zu bewerten. So könnten beispielsweise mehrere fehlgeschlagene Authentifizierungsversuche innerhalb eines kurzen Zeitraums oder ungewöhnliche Systemzugriffsmuster auf eine Insider-Bedrohung hindeuten und würden einen Alert mit niedriger Bewertung auslösen. In ähnlicher Weise könnte ein Benutzer, der mehrere USB-Laufwerke anschließt und ungewöhnliche Download-Muster aufweist, auf eine Datenexfiltration hindeuten, wobei diesem Alert ein höherer Risikowert zugewiesen werden würde.

Diese Bewertung hilft Sicherheitsteams, Fehlalarme zu vermeiden und die größten Bedrohungen zu priorisieren. Außerdem können sie so mit der Zeit Alerts mit geringer Priorität dokumentieren und überwachen, die in Kombination auf eine langsam voranschreitende, aber ernsthafte Bedrohung hinweisen könnten.

Anwendungsfälle für UEBA

UEBA hilft Unternehmen, verdächtiges Verhalten zu erkennen und stärkt die Maßnahmen im Bereich Data Loss Prevention (DLP). Neben diesen taktischen Einsatzmöglichkeiten kann UEBA auch für strategischere Zwecke genutzt werden, z. B. um die Einhaltung von Vorschriften zum Schutz von Benutzerdaten und der Privatsphäre nachzuweisen.

Taktische Anwendungsfälle

Böswillige Insider: Bei diesen Angreifern handelt es sich um Personen mit autorisiertem und sogar privilegiertem Zugriff auf das Unternehmensnetzwerk, die versuchen, einen Cyberangriff durchzuführen. Daten allein – wie z. B. Protokolldateien oder Aufzeichnungen von Ereignissen – können diese Personen nicht immer aufspüren. Mithilfe erweiterter Analysen ist dies jedoch möglich. Da UEBA im Gegensatz zu IP-Adressen Erkenntnisse über bestimmte Benutzer bereitstellt, kann es einzelne Benutzer identifizieren, die gegen Sicherheitsrichtlinien verstoßen.

Kompromittierte Insider: Hierbei verschaffen sich Angreifer durch Phishing, Brute-Force-Angriffe oder andere Mittel Zugang zu den Anmeldeinformationen autorisierter Benutzer oder Geräte. Typische Sicherheitstools finden solche Angreifer möglicherweise nicht, weil die Verwendung legitimer Anmeldedaten den Angreifer als autorisiert erscheinen lässt, auch wenn diese Anmeldedaten gestohlen sind. Sobald die Angreifer in das Netzwerk eingedrungen sind, bewegen sie sich seitwärts und verschaffen sich Zugriff auf neue Anmeldedaten, um ihre Rechte zu erweitern und auf sensiblere Assets zuzugreifen. Auch wenn diese Angreifer legitime Zugangsdaten verwenden, kann UEBA ihr ungewöhnliches Verhalten erkennen und so den Angriff abwehren.

Kompromittierte Geräte: Viele Unternehmen, insbesondere Fertigungsunternehmen und Krankenhäuser, verwenden eine große Anzahl von vernetzten Geräten, wie z. B. IoT-Geräte, die oft nur über geringe oder gar keine Sicherheitskonfigurationen verfügen. Durch den fehlenden Schutz sind diese Geräte ein bevorzugtes Ziel für Hacker, die diese Geräte in ihre Gewalt bringen können, um auf sensible Datenquellen zuzugreifen, den Betrieb zu stören oder DDoS-Angriffe (Distributed Denial-of-Service) zu starten. UEBA kann bei der Identifizierung von Verhaltensweisen helfen, die darauf hindeuten, dass diese Geräte kompromittiert wurden. So können Bedrohungen bekämpft werden, bevor sie eskalieren.

Datenexfiltration: Insider-Bedrohungen und böswillige Akteure versuchen oft, personenbezogene Daten, geistiges Eigentum oder Dokumente über Geschäftsstrategien von kompromittierten Servern, Computern oder anderen Geräten zu stehlen. UEBA hilft Sicherheitsteams dabei, Datenschutzverletzungen in Echtzeit zu erkennen, indem es die Teams auf ungewöhnliche Download- und Datenzugriffsmuster hinweist.

Strategische Anwendungsfälle

Implementierung von Zero-Trust-Sicherheit: Ein Zero-Trust-Sicherheitsansatz ist ein Konzept, bei dem grundsätzlich keinem Benutzer oder keiner Entität vertraut wird. Stattdessen werden sie ständig überprüft werden, unabhängig davon, ob sie sich außerhalb des Netzwerks oder bereits im Netzwerk befinden. Zero Trust erfordert, dass alle Benutzer und Entitäten authentifiziert, autorisiert und validiert werden, bevor sie Zugriff auf Anwendungen und Daten erhalten. Sobald der Zugriff gewährt wurde, müssen sie sich ständig neu authentifizieren, neu autorisieren und neu validieren, um den Zugriff während einer Sitzung aufrechtzuerhalten oder zu erweitern.

Eine effektive Zero-Trust-Architektur setzt voraus, dass Sie einen größtmöglichen Einblick in alle Benutzer, Geräte, Assets und Entitäten im Netzwerk haben. UEBA bietet Sicherheitsanalysten einen umfassenden Echtzeit-Einblick in alle Aktivitäten von Endbenutzern und Entitäten, z. B. welche Geräte versuchen, sich mit dem Netzwerk zu verbinden, welche Benutzer versuchen, ihre Berechtigungen zu überschreiten, und vieles mehr.

Einhaltung der DSGVO: Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union stellt in Bezug auf den Schutz sensibler Daten strenge Anforderungen an Unternehmen. Gemäß der DSGVO müssen sie nachverfolgen, auf welche personenbezogenen Daten zugegriffen wird, wer darauf zugreift, wie sie verwendet werden und wann sie gelöscht werden. UEBA-Tools können Unternehmen bei der Einhaltung der DSGVO helfen, indem sie das Nutzerverhalten und die sensiblen Daten, auf die diese Benutzer zugreifen, überwachen.

UEBA, SIEM und andere Sicherheitstools

UEBA – oder UEBA-ähnliche Funktionen – sind in vielen der heute verfügbaren Sicherheitstools bereits enthalten. UEBA kann zwar als eigenständiges Produkt verwendet werden, sollte aber als eine Komponente eines umfassenden Toolsets für Cybersicherheit betrachtet werden. UEBA wird vor allem mit den folgenden Tools verwendet oder ist in diese integriert:

SIEM (Security Information and Event Management): SIEM-Systeme fassen Sicherheitsereignisdaten aus verschiedenen internen Sicherheitstools in einem einzigen Protokoll zusammen und analysieren diese Daten, um ungewöhnliches Verhalten und potenzielle Bedrohungen zu erkennen. UEBA kann die SIEM-Transparenz im Netzwerk durch seine Funktionen zur Erkennung von Insider Threats und zur Analyse des Benutzerverhaltens erweitern. Heutzutage ist UEBA in vielen SIEM-Lösungen enthalten.

EDR (Endpoint Detection and Response): EDR-Tools überwachen Systemendgeräte wie Laptops, Drucker und IoT-Geräte auf Anzeichen für ungewöhnliches Verhalten, das auf eine Bedrohung hindeuten könnte. Wenn Bedrohungen entdeckt werden, kümmert sich das EDR-System automatisch um deren Eindämmung. UEBA ergänzt eine EDR-Lösung – und ist oft ein Teil davon –, indem es das Verhalten der Benutzer an diesen Endgeräten überwacht. So kann beispielsweise eine verdächtige Anmeldung einen Alert mit niedriger Priorität für das EDR-System auslösen. Wenn UEBA jedoch feststellt, dass das Endgerät für den Zugriff auf vertrauliche Informationen genutzt wird, kann die Priorität des Alerts entsprechend erhöht und schnell darauf reagiert werden.

IAM (Identity and Access Management): Tools zur Identitäts- und Zugriffsverwaltung stellen sicher, dass die richtigen Personen und Geräte bei Bedarf die richtigen Anwendungen und Daten nutzen können. IAM ist proaktiv und zielt darauf ab, unbefugten Zugriff zu verhindern und gleichzeitig den autorisierten Zugriff zu erleichtern. UEBA fügt eine weitere Schutzebene hinzu, indem es auf Anzeichen für kompromittierte Anmeldedaten oder den Missbrauch von Privilegien durch autorisierte Benutzer achtet.
Weiterführende Lösungen
Threat Management Services

Prognostizieren, verhindern und reagieren Sie auf moderne Bedrohungen und erhöhen Sie so die Resilienz Ihres Unternehmens.

 

 Mehr über Threat Management Services erfahren
Lösungen für die Bedrohungserkennung und -reaktion

Verwenden Sie IBM Bedrohungserkennungs- und Reaktionslösungen, um Ihre Sicherheit zu stärken und die Bedrohungserkennung zu beschleunigen.

 Lösungen zur Bedrohungserkennung erkunden
Lösungen zur Abwehr von mobilen Sicherheitsbedrohungen (Mobile Threat Defense, MTD)

Schützen Sie Ihre mobile Umgebung mit den umfassenden Lösungen von IBM MaaS360 zur Abwehr von mobilen Sicherheitsbedrohungen.

 Lösungen zur Abwehr von mobilen Sicherheitsbedrohungen kennenlernen
Machen Sie den nächsten Schritt

Profitieren Sie von umfassenden Lösungen für das Bedrohungsmanagement, die Ihr Unternehmen fachkundig vor Cyberangriffen schützen.

 Mehr über Threat Management Services erfahren Bedrohungsorientiertes Briefing buchen