UEBA ist die Abkürzung für „User and Entity Behavior Analytics“ („Analyse des Verhaltens von Benutzern und Entitäten“). Es handelt sich dabei um eine Art von Sicherheitssoftware, die Verhaltensanalysen, Algorithmen des maschinellen Lernens und Automatisierung einsetzt, um ungewöhnliches und potenziell gefährliches Verhalten von Benutzern und Geräten zu erkennen. UEBA ist besonders effektiv bei der Identifizierung von Insider Threats (d. h. Bedrohungen durch böswillige Insider oder durch Hacker, die kompromittierte Zugangsdaten von Insidern verwenden), die autorisierten Netzwerkverkehr nachahmen und daher von anderen Sicherheitstools möglicherweise nicht erkannt werden.

Der Begriff UEBA wurde erstmals 2015 von Gartner verwendet und ist eine Weiterentwicklung von „User Behavior Analytics“ (UBA). Während UBA nur Verhaltensmuster von Endbenutzern nachverfolgte, überwacht UEBA auch Entitäten, die keine Benutzer sind. Dazu gehören beispielsweise Server, Router und Geräte aus dem Bereich des Internets der Dinge. Dabei wird überwacht, ob ungewöhnliches Verhalten oder verdächtige Aktivitäten vorliegen, die auf Sicherheitsbedrohungen oder Angriffe hinweisen könnten.

UEBA wird in SOCs (Security Operations Center) zusammen mit anderen Sicherheitstools für Unternehmen eingesetzt. UEBA-Funktionen sind außerdem häufig in Sicherheitslösungen für Unternehmen wie SIEM (Security Information and Event Management), EDR (Endpoint Detection and Response), XDR (Extended Detection and Response) und IAM (Identity and Access Management) integriert.

UEBA-Lösungen nutzen Datenanalysen und maschinelles Lernen, um Erkenntnisse im Zusammenhang mit der Sicherheit bereitzustellen. Die Tools zur Verhaltensanalyse im UEBA-System erfassen und analysieren große Datenmengen aus verschiedenen Quellen, um sich zunächst ein Bild davon zu machen, wie Benutzer und Entitäten mit privilegierten Berechtigungen normalerweise vorgehen. Dies wird als Referenz bezeichnet. Anschließend wird maschinelles Lernen eingesetzt, um die Referenzdaten zu optimieren. Da maschinelles Lernen im Laufe der Zeit dazulernt, muss die UEBA-Lösung immer weniger Stichproben zum normalen Verhalten sammeln und analysieren, um genaue Referenzdaten zu erhalten.

Nach der Modellierung des Referenzverhaltens wendet UEBA dieselben fortschrittlichen Analyse- und maschinellen Lernfunktionen auf Daten über aktuelle Benutzer- und Entitätsaktivitäten an, um in Echtzeit zu ermitteln, ob verdächtige Abweichungen vom Referenzverhalten erkennbar sind. UEBA bewertet das Verhalten von Benutzern und Entitäten durch die Analyse von Daten aus so vielen Unternehmensquellen wie möglich. Dabei gilt: Je mehr, desto besser. Zu diesen Quellen gehören in der Regel:

• Netzwerkgeräte und Netzwerkzugangslösungen wie Firewalls, Router, VPNs und IAM-Lösungen.
   

• Sicherheitstools und -lösungen wie Antivirus-/Antimalware-Software, EDR, Intrusion Detection and Prevention Systems (IDPS) und SIEM.
   

• Authentifizierungsdatenbanken wie Active Directory, die wichtige Informationen über eine Netzwerkumgebung, die aktiven Benutzerkonten und Computer im System sowie die erlaubten Benutzeraktivitäten enthalten.
   

• Threat-Intelligence-Feeds und -Frameworks wie MITRE ATT&CK, die Informationen über häufige Cyberbedrohungen und Schwachstellen bereitstellen, darunter Zero-Day-Angriffe, Malware, Botnets und andere Sicherheitsrisiken.
   

• ERP-Systeme (Enterprise Resource Planning) oder HR-Systeme (Human Resources), die relevante Informationen über Benutzer enthalten, die eine Bedrohung darstellen könnten, z. B. Mitarbeiter, die gekündigt haben oder möglicherweise unzufrieden sind.

UEBA nutzt die gewonnenen Erkenntnisse, um ungewöhnliches Verhalten zu identifizieren und es anhand des damit verbundenen Risikos zu bewerten. So könnten beispielsweise mehrere fehlgeschlagene Authentifizierungsversuche innerhalb eines kurzen Zeitraums oder ungewöhnliche Systemzugriffsmuster auf eine Insider-Bedrohung hindeuten und würden einen Alert mit niedriger Bewertung auslösen. In ähnlicher Weise könnte ein Benutzer, der mehrere USB-Laufwerke anschließt und ungewöhnliche Download-Muster aufweist, auf eine Datenexfiltration hindeuten, wobei diesem Alert ein höherer Risikowert zugewiesen werden würde.

Diese Bewertung hilft Sicherheitsteams, Fehlalarme zu vermeiden und die größten Bedrohungen zu priorisieren. Außerdem können sie so mit der Zeit Alerts mit geringer Priorität dokumentieren und überwachen, die in Kombination auf eine langsam voranschreitende, aber ernsthafte Bedrohung hinweisen könnten.

UEBA hilft Unternehmen, verdächtiges Verhalten zu erkennen und stärkt die Maßnahmen im Bereich Data Loss Prevention (DLP). Neben diesen taktischen Einsatzmöglichkeiten kann UEBA auch für strategischere Zwecke genutzt werden, z. B. um die Einhaltung von Vorschriften zum Schutz von Benutzerdaten und der Privatsphäre nachzuweisen.

Taktische Anwendungsfälle

Böswillige Insider: Hierbei handelt es sich um Personen mit autorisiertem und sogar privilegiertem Zugriff auf das Unternehmensnetzwerk, die versuchen, einen Cyberangriff durchzuführen. Daten allein – wie z. B. Protokolldateien oder Aufzeichnungen von Ereignissen – können diese Personen nicht immer aufspüren. Mithilfe erweiterter Analysen ist dies jedoch möglich. Da UEBA im Gegensatz zu IP-Adressen Erkenntnisse über bestimmte Benutzer bereitstellt, kann es einzelne Benutzer identifizieren, die gegen Sicherheitsrichtlinien verstoßen.

Kompromittierte Insider: Hierbei verschaffen sich Angreifer durch Phishing, Brute-Force-Angriffe oder andere Mittel Zugang zu den Anmeldeinformationen autorisierter Benutzer oder Geräte. Typische Sicherheitstools finden solche Angreifer möglicherweise nicht, weil die Verwendung legitimer Anmeldedaten den Angreifer als autorisiert erscheinen lässt, auch wenn diese Anmeldedaten gestohlen sind. Sobald die Angreifer in das Netzwerk eingedrungen sind, bewegen sie sich seitwärts und verschaffen sich Zugriff auf neue Anmeldedaten, um ihre Rechte zu erweitern und auf sensiblere Assets zuzugreifen. Auch wenn diese Angreifer legitime Anmeldedaten verwenden, kann UEBA ihr ungewöhnliches Verhalten erkennen und so den Angriff abwehren.

Kompromittierte Geräte: Viele Unternehmen, insbesondere Fertigungsunternehmen und Krankenhäuser, verwenden eine große Anzahl von vernetzten Geräten, wie z. B. IoT-Geräte, die oft nur über geringe oder gar keine Sicherheitskonfigurationen verfügen. Durch den fehlenden Schutz sind diese Geräte ein bevorzugtes Ziel für Hacker, die diese Geräte in ihre Gewalt bringen können, um auf sensible Datenquellen zuzugreifen, den Betrieb zu stören oder DDoS-Angriffe (Distributed Denial-of-Service) zu starten. UEBA kann bei der Identifizierung von Verhaltensweisen helfen, die darauf hindeuten, dass diese Geräte kompromittiert wurden. So können Bedrohungen bekämpft werden, bevor sie eskalieren.

Datenexfiltration: Insider-Bedrohungen und böswillige Akteure versuchen oft, personenbezogene Daten, geistiges Eigentum oder Dokumente über Geschäftsstrategien von kompromittierten Servern, Computern oder anderen Geräten zu stehlen. UEBA hilft Sicherheitsteams dabei, Datenschutzverletzungen in Echtzeit zu erkennen, indem es die Teams auf ungewöhnliche Download- und Datenzugriffsmuster hinweist.

Strategische Anwendungsfälle

Implementierung von Zero-Trust-Sicherheit: Ein Zero-Trust-Sicherheitsansatz ist ein Konzept, bei dem grundsätzlich keinem Benutzer oder keiner Entität vertraut wird. Stattdessen werden sie ständig überprüft werden, unabhängig davon, ob sie sich außerhalb des Netzwerks oder bereits im Netzwerk befinden. Zero Trust verlangt insbesondere, dass alle Benutzer und Entitäten authentifiziert, autorisiert und validiert werden, bevor sie Zugriff auf Anwendungen und Daten erhalten. Anschließend müssen sie während einer Sitzung immer wieder neu authentifiziert, autorisiert und validiert werden, um diesen Zugriff aufrechtzuerhalten oder auszuweiten.

Eine effektive Zero-Trust-Architektur setzt voraus, dass Sie einen größtmöglichen Einblick in alle Benutzer, Geräte, Assets und Entitäten im Netzwerk haben. UEBA bietet Sicherheitsanalysten einen umfassenden Echtzeit-Einblick in alle Aktivitäten von Endbenutzern und Entitäten, z. B. welche Geräte versuchen, sich mit dem Netzwerk zu verbinden, welche Benutzer versuchen, ihre Berechtigungen zu überschreiten, und vieles mehr.

Einhaltung der DSGVO: Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union stellt in Bezug auf den Schutz sensibler Daten strenge Anforderungen an Unternehmen. Gemäß der DSGVO müssen sie nachverfolgen, auf welche personenbezogenen Daten zugegriffen wird, wer darauf zugreift, wie sie verwendet werden und wann sie gelöscht werden. UEBA-Tools können Unternehmen bei der Einhaltung der DSGVO helfen, indem sie das Nutzerverhalten und die sensiblen Daten, auf die diese Benutzer zugreifen, überwachen.

UEBA – oder UEBA-ähnliche Funktionen – sind in vielen der heute verfügbaren Sicherheitstools bereits enthalten. UEBA kann zwar als eigenständiges Produkt verwendet werden, sollte aber als eine Komponente eines umfassenden Toolsets für Cybersicherheit betrachtet werden. UEBA wird vor allem in Verbindung mit den folgenden Tools verwendet oder ist in diese integriert:

SIEM (Security Information and Event Management): SIEM-Systeme fassen Sicherheitsereignisdaten aus verschiedenen internen Sicherheitstools in einem einzigen Protokoll zusammen und analysieren diese Daten, um ungewöhnliches Verhalten und potenzielle Bedrohungen zu erkennen. UEBA kann die SIEM-Transparenz im Netzwerk durch seine Funktionen zur Erkennung von Insider Threats und zur Analyse des Benutzerverhaltens erweitern. Heutzutage ist UEBA in vielen SIEM-Lösungen enthalten.

EDR (Endpoint Detection and Response): EDR-Tools überwachen Systemendpunkte wie Laptops, Drucker und IoT-Geräte auf Anzeichen für ungewöhnliches Verhalten, das auf eine Bedrohung hindeuten könnte. Wenn Bedrohungen entdeckt werden, kümmert sich das EDR-System automatisch um deren Eindämmung. UEBA ergänzt eine EDR-Lösung – und ist oft ein Teil davon –, indem es das Verhalten der Benutzer an diesen Endpunkten überwacht. So kann beispielsweise eine verdächtige Anmeldung einen Alert mit niedriger Priorität für das EDR-System auslösen. Wenn UEBA jedoch feststellt, dass der Endpunkt für den Zugriff auf vertrauliche Informationen genutzt wird, kann die Priorität des Alerts entsprechend erhöht und schnell darauf reagiert werden.

IAM (Identity and Access Management) – Tools zur Identitäts- und Zugriffsverwaltung stellen sicher, dass die richtigen Personen und Geräte bei Bedarf die richtigen Anwendungen und Daten nutzen können. IAM ist proaktiv und zielt darauf ab, unbefugten Zugriff zu verhindern und gleichzeitig den autorisierten Zugriff zu erleichtern. UEBA fügt eine weitere Schutzebene hinzu, indem es auf Anzeichen für kompromittierte Anmeldedaten oder den Missbrauch von Privilegien durch autorisierte Benutzer achtet.