zurück zur Übersicht

Das schwarze Schaf im eigenen Stall

Insider Threats: wie findet man "Schwarze Schafe"?Das Horrorszenario schlechthin besteht darin, dass ein Angreifer in den eigenen Reihen sitzt. Kein Perimeterschutz kann ihn aufhalten, denn als Insider besitzt er bereits die erforderlichen Berechtigungen in der Systemlandschaft. Die Schwierigkeit, böswillige Angriffe von Insidern (sog. Insider Threats) zu entdecken, liegt darin, das normale, alltägliche Business von bösartigen Aktivitäten zu unterscheiden ohne selbiges zu behindern. Schließlich will auch niemand vorschnell einen Verdacht aussprechen, der sich im nachhinein als unberecchtigt herausstellt.

Ein herkömmliches, regelbasierendes Überwachungssystem ist dafür häufig nicht mehr ausreichend, denn viele Angriffe sehen harmlos und legitim aus. Damit gehören Insider Threats zu den am schwersten zu entdeckenden Angriffen und ziehen oft Datendiebstahl, Finanzbetrug und andere ernsthafte Konsequenzen für Unternehmen nach sich.

Wie kann man schwarze Schafe enttarnen?

Im vereinfachten Sinne, kann betrügerisches oder böswilliges Verhalten leicht entdeckt werden, wenn die Aktivitäten eines Users Abweichungen mit seinen Aktivitäten aus der Vergangenheit oder der Kollegen aus dem gleichen Arbeitsumfeld enthalten. Solche Abweichungen können allerdings auch entstehen, wenn sich selten auftretende Aufgaben, Änderungen oder Neuerungen im Arbeitsablauf ergeben, was das Erkennen dieser Angriffe so schwierig macht. Mit besonders lernfähigen und adaptiven Machine-Learning-Algorithmen ist es jedoch möglich auch Insider Threats ausfindig zu machen. Dabei ist nicht eine einzelne verdächtige Aktivität ausschlaggebend, sondern die kombinierte Häufung von Tätigkeiten welche nur einen Schluss zulassen: Es liegt eine absichtliche und systematische Schädigung vor.

Unterstützung durch User Behaviour Analytics (UBA) von Splunk

Die neuen Versionen Splunk Enterprise Security (ES) 4.1 und Splunk User Behavoir Analytics (UBA) 2.2 sind seit April diesen Jahres verfügbar und bieten verbesserte Funktionen für maschinelles Lernen, Anomalie-Erkennung, kontextbasierte Korrelationen und schnelle Untersuchungen. Mit den beiden Lösungen von Splunk ist es möglich sowohl Bedrohungen durch Insider als auch Angreifer, die sich bereits einen vertrauenswürdigen Zugriff auf die Umgebung ergaunert haben, aufzuspüren.

Es gibt mannigfaltige Möglichkeiten wie Sie Betrugsaktivitäten in Ihrem Unternehmen erkennen können. So haben eventuelle Wölfe im Schafspelz keine Chance, der Herde ernsthaften Schaden zuzufügen. Und zwar ohne den friedlichen Tieren das grasen zu verleiden.

Kontaktieren Sie und wir beraten Sie gern!


Quellen:
http://www.bigdata-insider.de/splunk-ueberarbeit-sicherheitsloesungen-a-530437/
https://www.info-point-security.com/cloud-virtualisierung/splunk-erweitert-user-behavior-analytics-auf-siem
http://www.splunk.com/en_us/products/premium-solutions/user-behavior-analytics/insider-threats.html
http://www.splunk.com/content/dam/splunk2/pdfs/technical-briefs/using-splunk-user-behavior-analytics.pdf

Bild: ©iT-CUBE SYSTEMS AG 2016

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer