zurück zur Übersicht

Das schwarze Schaf im eigenen Stall

Insider Threats: wie findet man "Schwarze Schafe"?Das Horrorszenario schlechthin besteht darin, dass ein Angreifer in den eigenen Reihen sitzt. Kein Perimeterschutz kann ihn aufhalten, denn als Insider besitzt er bereits die erforderlichen Berechtigungen in der Systemlandschaft. Die Schwierigkeit, böswillige Angriffe von Insidern (sog. Insider Threats) zu entdecken, liegt darin, das normale, alltägliche Business von bösartigen Aktivitäten zu unterscheiden ohne selbiges zu behindern. Schließlich will auch niemand vorschnell einen Verdacht aussprechen, der sich im nachhinein als unberecchtigt herausstellt.

Ein herkömmliches, regelbasierendes Überwachungssystem ist dafür häufig nicht mehr ausreichend, denn viele Angriffe sehen harmlos und legitim aus. Damit gehören Insider Threats zu den am schwersten zu entdeckenden Angriffen und ziehen oft Datendiebstahl, Finanzbetrug und andere ernsthafte Konsequenzen für Unternehmen nach sich.

Wie kann man schwarze Schafe enttarnen?

Im vereinfachten Sinne, kann betrügerisches oder böswilliges Verhalten leicht entdeckt werden, wenn die Aktivitäten eines Users Abweichungen mit seinen Aktivitäten aus der Vergangenheit oder der Kollegen aus dem gleichen Arbeitsumfeld enthalten. Solche Abweichungen können allerdings auch entstehen, wenn sich selten auftretende Aufgaben, Änderungen oder Neuerungen im Arbeitsablauf ergeben, was das Erkennen dieser Angriffe so schwierig macht. Mit besonders lernfähigen und adaptiven Machine-Learning-Algorithmen ist es jedoch möglich auch Insider Threats ausfindig zu machen. Dabei ist nicht eine einzelne verdächtige Aktivität ausschlaggebend, sondern die kombinierte Häufung von Tätigkeiten welche nur einen Schluss zulassen: Es liegt eine absichtliche und systematische Schädigung vor.

Unterstützung durch User Behaviour Analytics (UBA) von Splunk

Die neuen Versionen Splunk Enterprise Security (ES) 4.1 und Splunk User Behavoir Analytics (UBA) 2.2 sind seit April diesen Jahres verfügbar und bieten verbesserte Funktionen für maschinelles Lernen, Anomalie-Erkennung, kontextbasierte Korrelationen und schnelle Untersuchungen. Mit den beiden Lösungen von Splunk ist es möglich sowohl Bedrohungen durch Insider als auch Angreifer, die sich bereits einen vertrauenswürdigen Zugriff auf die Umgebung ergaunert haben, aufzuspüren.

Es gibt mannigfaltige Möglichkeiten wie Sie Betrugsaktivitäten in Ihrem Unternehmen erkennen können. So haben eventuelle Wölfe im Schafspelz keine Chance, der Herde ernsthaften Schaden zuzufügen. Und zwar ohne den friedlichen Tieren das grasen zu verleiden.

Kontaktieren Sie und wir beraten Sie gern!


Quellen:
http://www.bigdata-insider.de/splunk-ueberarbeit-sicherheitsloesungen-a-530437/
https://www.info-point-security.com/cloud-virtualisierung/splunk-erweitert-user-behavior-analytics-auf-siem
http://www.splunk.com/en_us/products/premium-solutions/user-behavior-analytics/insider-threats.html
http://www.splunk.com/content/dam/splunk2/pdfs/technical-briefs/using-splunk-user-behavior-analytics.pdf

Bild: ©iT-CUBE SYSTEMS AG 2016

Schreibe einen Kommentar