Risikoanzeichen

Online bearbeiten

IBM® Verify Adaptive Access nutzt die folgenden Risikoindikatoren zur Steuerung der kontinuierlichen adaptiven Authentifizierung.

Unregelmäßigkeit

Das System erkennt, ob das Verhaltensmuster des Benutzers vom dem üblichen Verhaltensmuster des Benutzers oder der Organisation abweicht. Beispiel: Eine Anomalie bei der Anmeldezeit des Benutzers auf der Basis des Anmeldeverlaufs des Benutzers und der Aktivitätsstunden in der Organisation des Benutzers.

Neues Gerät

Das System erkennt, ob das Gerät in dem Account neu ist. Während der Prüfung wird eine Reihe von Geräteindikatoren untersucht. Eine deutliche Änderung für ein Gerät, wie beispielsweise der Browsertyp (dies umfasst Browser, die in nativen Apps auf mobilen Geräten installiert oder in diese integriert sind), kann ein neues Gerät anzeigen. Darüber hinaus können Gerätemerkmale wie Bildschirmtyp und -abmessungen ein neues Gerät anzeigen. Wenn das Gerät nicht neu ist und häufig in dem Account verwendet wird, wird dies als normales Verhalten betrachtet und das System gibt keinen Alert aus.

Risikobehaftetes Gerät

Das System erkennt, ob die Browserversion, die in der Sitzung verwendet wird, riskant ist. Eine Browserversion kann riskant sein, wenn:
  • Alt
  • Ein bekanntes Betrügergerät
  • Spoofing-Einheitenattribute
  • Andere ähnliche Bedingungen
Bei einem Betrugsversuch verwendet der Täter möglicherweise eine alte Browserversion, die nicht mit der des legitimen Benutzers übereinstimmt. Diese Browser, insbesondere alte Versionen von Internet Explorer, sind weniger sicher und risikobehafteter als neuere Browserversionen.

Risikobehaftete Verbindung

Das System erkennt, ob die Sitzungsverbindung mit dem Hosting-Service, wie beispielsweise CyberGhost oder Hola, beendet ist.

Bei einem Betrugsversuch verwendet der Täter möglicherweise den Hosting-Service, um anonym zu bleiben und zu verhindern, dass seine tatsächliche IP-Adresse und sein tatsächlicher Standort angezeigt werden. Dieses Attribut basiert auf einer Berechnung bekannter verdächtiger IP-Adressen. Je mehr Sitzungen als betrügerisch markiert werden, desto wertvoller wird diese Logik.

Neuer Standort

Das System erkennt, ob der Standort des Benutzers in dem Account neu ist. Es erkennt außerdem, ob es sich bei dem Standort um einen nicht häufig verwendeten Standort in dem Account handelt. Wenn der Standort neu ist oder ein nicht häufig verwendeter Standort in dem Account ist, sendet das System einen Alert. Wenn der Standort nicht neu ist und häufig in dem Account verwendet wird, wird dies als normales Verhalten betrachtet und das System gibt keinen Alert aus.

Status der MFA-Einheit

Das System definiert den Authentifizierungsstatus des aktuellen Geräts im Bereich des Accounts basierend auf den Informationen, die in den aktuellen und vorherigen Anmeldungen empfangen wurden. Dieses Feld kann einen der folgenden Werte enthalten
Neu (neu)
Die erste Beobachtung des Geräts im Konto.
MFA anstehend (pending_authentication)
Das System hat kein erfolgreiches MFA-Ergebnis des Geräts in diesem Konto identifiziert.
MFA abgeschlossen (authentifiziert)
Das Gerät hat zuvor eine MFA-Abfrage bestanden.

RAT-Meldung

Das System hat festgestellt, dass in der aktuellen Sitzung ein Fernzugriffstool (Remote Access Tool, RAT) vorhanden ist.