zurück zur Übersicht

Insider Threats: Vertrauen ist gut, Sicherheit ist besser!

hpe_pri_grn_pos_rgb_bDer Schutz des Perimeters ist für jede Organisation essentiell. Wenn die Sicherheitsbedrohung jedoch von innen kommt („Insider Threat“), ist dieser Perimeterschutz wirkungslos. Ein SIEM System (Security Information and Event Management) alleine kann zwar die Aktivitäten einzelner – womöglich hochprivilegierter Benutzer – überwachen und mitverfolgen. Allerdings müssen die zu überwachenden Anwendungsfälle vorab bekannt sein und zum Beispiel in Form von Regeln detailliert definiert und implementiert werden.

HP entwickelt gemeinsam mit dem Partnerunternehmen SECURONIX das Produkt HP User Behavior Analytics (UBA), bei dem Benutzern in der IT-Landschaft ein so genannter „Risk Score“ zugewiesen wird. Dieser „Risk Score“ berechnet sich beispielsweise aus Policy Violations, die eine Abweichung des Nutzerverhaltens vom Normalverhalten des gleichen Benutzers oder von vergleichbaren Benutzern (gleiche Abteilung, gleiche Position, usw.) feststellen. Weiteren Einfluss auf den „Risk Score“ hat beispielsweise, wenn ein Mitarbeiter ganz neu im Unternehmen ist oder gekündigt hat und in Kürze das Unternehmen verlassen wird.

Grundlage für diese Analysen sind Benutzerdaten, welche z.B. aus einem Active Directory importiert werden. So kann das Verhalten von Nutzern mit ähnlichen Eigenschaften automatisiert miteinander verglichen werden. Das Verhalten dieser Nutzer wird in Form von Eventdaten an UBA gesendet, z.B. von Betriebssystemen, Firewalls und Applikationen. Bestandteil dieser Eventdaten sind unter anderem Anmeldungsinformationen oder Zugriffe auf Dateien, für die über einen ausgewählten Zeitraum das Normal- bzw. Baseline-Verhalten festgehalten wird. In Policies wird festgelegt, welche Verhaltensweisen ausgewertet werden sollen und gegen welche Referenz- und Schwellwerte verglichen werden.

Die gemeldeten Policy Violations können optional als Event an ein SIEM gesendet werden, um diese Informationen in Korrelationsregeln weiter verarbeiten zu können. Ebenso erlaubt UBA die Anzeige von Dashboards, die direkt aus einem SIEM heraus aufgerufen werden können.

Benutzerdaten werden optional verschlüsselt verarbeitet und abgespeichert, um den Datenschutz zu wahren. Im Verdachtsfalle können bei Bedarf die betreffenden Benutzerinformationen entschlüsselt werden.

Sie möchten mehr über UBA und die SIEM-Integration erfahren? Kommen Sie auf uns zu!

Schreibe einen Kommentar