zurück zur Übersicht

UBA: Heute schon wissen, dass morgen der Datendieb zuschlägt

Insider Attacken gehören zu den gefährlichsten Angriffen, unabhängig davon, ob es sich um einen Datendieb, Datenintegritätsbedrohung oder andere Szenarien handelt. Im Vergleich zu Attacken von Externen ist es hier erforderlich, sehr zuverlässig versehentliche Vorfälle von absichtlichem Verhalten zu unterscheiden.

Da ein Mitarbeiter oft weitreichende Zugänge besitzt, kann ein unentdeckter Insider eventuell monatelang unzulässige Aktivitäten ausüben und dabei erheblichen Schaden anrichten – direkt oder in Zusammenarbeit mit einem externen Auftraggeber.

Dieses Problem ist nich neu. Es wurde bereits von Matthias Röhr in seinem Artikel umrissen. Relativ neu ist allerdings der Faktor Darknet: Heutzutage sind sogar schon Plattformen verfügbar, auf denen Angreifer gezielt versuchen, Insider mit sensitiven Informationen oder Zugängen gegen zum Teil erhebliche Summen anzuwerben.

Besonders im Finanzsektor wird mit viel Geld gelockt, da der Aufwand für Hacker, ohne Hilfe von Innen in die Systeme zu gelangen, erheblich gestiegen ist. Ob der verräterische Mitarbeiter indes tatsächlich je Geld sieht, oder am Ende nur als der gelackmeierte Mittäter dasteht, ist mehr als fraglich. Dennoch herrscht im Darknet ein blühender Handel. Einer der bekanntesten Marktplätze nennt sich Kick Ass Marketplace. Ein Abonnent kann von dem Portal wertvolle Daten über Abwehrtools und Netzwerkarchitektur abgreifen, die vor der Veröffentlichung noch geprüft werden, um dadurch deren Gewissheit zu erhöhen. Oder er wirbt gleich einen Komplizen an, der Malware z.B. auf einem präparierten USB-Stick direkt ins Netzwerk einspeist.

Es stellt sich also die Frage: Wie sieht ein moderner Ansatz zur Erkennung von Insider-Aktivitäten aus?

User Behaviour Analytics: Warum reichen Regeln allein nicht aus?

User Behaviour Analytics (UBA, auch User Entity Behaviour Analytics – UEBA) unterstützt bei Erkennung solcher Vorfälle kräftig. Dabei geht die Tendenz weg vom regelbasierten, deterministischen Ansatz hin zur selbstlernenden Analyse.

Was bedeutet das in der Praxis? Statt eine Menge an unterschiedlichen Abuse Use Cases mit Regeln zu beschreiben, wird verdächtiges und abnormales Verhalten durch den Abgleich mit historischen Daten direkt identifiziert. Was normal ist und was nicht ergibt sich aus verschiedenen Informationen abhängig vom Kontext: Benutzer-relevante Informationen wie der Benutzername und seine Berechtigungen, Uhrzeit, technische Informationen wie IP-Adressen und Systemfunktion und was unmittelbar vorher und nachher passiert ist – eine Sequenz von Events.

Eine Anmeldung auf dem Zielserver nach der Anmeldung auf dem Jumpserver von einem technischen Mitarbeiter scheint in Ordnung zu sein, hingegen eine Anmeldung auf dem Zielserver als root ohne dazugehöriger Anmeldung auf dem Jumpserver, die zusätzlich zum ersten Mal beobachtet wird, ist äußerst verdächtig. Das System „lernt“ quasi, was normales Userverhalten ist und kann dadurch schnell Vorgänge erkennen, die aus dem Rahmen fallen, weil sie aus dem „Grundrauschen“ hervorstechen.

Zutaten für effektive UBA

Welche Quellen sind denn für eine verhaltensbasierte Auswertung notwendig?

Es gilt, dass nur das analysiert werden kann, was tatsächlich sichtbar ist. Vollständige Logs von verschiedenen Systemen wie Active Directory (AD), Betriebssystem, Netzwerkgeräten und Sicherheitssystemen wie IPS-Lösungen sind eine absolute Voraussetzung. Je mehr Logs, desto besser. Die Logdaten sollten in Echtzeit und auch manuell ins auswertende System fließen können. Je detaillierter die Informationen über das Grundrauschen, desto zuverlässiger die Erkennung von Anomalien.

Um den Kontext besser zu verstehen, sind User Directories wie AD zusammen mit erweiterten Informationen über Gruppen und Berechtigungen anzubinden. Denn es ist ein Unterschied, ob sich auf dem SAP System ein Administrator oder ein Vertreter anmeldet.

Diese Daten werden mithilfe von komplexen technischen und statistischen Algorithmen verarbeitet. Maschinelles Lernen trägt dazu bei, dass die neuen Muster mit mathematischen Techniken selbständig erkannt und gemerkt werden. Darüber hinaus nutzen moderne UBA-Lösungen oft auch eigene Regeln und externe Feeds mit IoC um genauere Ergebnisse zu liefern.

 

UBA in Aktion: über einen Session Score wird ermittelt, wie "normal" eine aktivität ist
Wie ein Anomaly Score kalkuliert werden kann (Quelle: Exabeam)

 

Beispiel : Ausscheidender Mitarbeiter

Die aktuelle Forschung von Deloitte (Insider threats: What Every Government Agency Should Know and Do.) hat gezeigt, dass 59% der gekündigten Mitarbeiter irgendwelche sensitive Daten von ihrem Arbeitgeber mitnehmen.

Diesen Fall mit Regeln zu beschreiben ist sehr schwierig, denn sowohl die Liste der Betroffenen als auch das Verhalten in diesem Fall sind sehr dynamisch. Was hier benötigt wird, ist eine Liste von Systemen und Identitäten, die von dem Benutzer verwendet werden. Des Weiteren soll das normale Verhalten mit dem neuen, eventuell abweichenden Verhalten verglichen werden. Einige Beispiele von den Abuse Use Cases:

  • Viele ausgehende E-Mails
  • Zugang zu ungewöhnlichen Systemen
  • Verwenden von neuen Applikationen
  • Übermäßiges Löschen, kopieren oder verschieben von Daten

In dem Moment, wenn der Mitarbeiter zu überprüfen ist, müssen die alten Logs ad-hoc zur Verfügung stehen. Dann fallen ungewöhliche Vorgänge, selbst wenn sie im Rahmen eigentlich erlaubter Regeln stattfinden, sofort auf.

Innovative Lösungen auf der it-sa

Noch vor wenigen Jahren wären solche selbstlernenden Algorithmen nicht verfügbar gewesen. Wir dürfen gespannt sein, welche Neuerungen es in diesem Bereich noch geben wird. Bald steht wieder die it-sa ins Haus. Es ist anzunehmen, dass dort die neuesten Entwicklungen auch im Bereich UBA und selbstlernende Systeme präsentiert werden. Praktisch jeder führende Anbieter wird dort zu finden sein.

Übrigens, falls Sie noch keine Eintrittskarte haben: Unter diesem Link vergeben wir kostenlose Tickets.

 


Links:

http://thehackernews.com/2017/02/insider-threat-darkweb-trading.html

http://secure.redowl.com/rs/145-MYR-237/images/RedOwl_Intsights_Report.pdf

https://cdn2.hubspot.net/hubfs/472699/White_Paper/Exabeam_Incident_Response_for_Top_3_Security_Scenarios.pdf?

http://deloitte.wsj.com/cio/files/2016/04/2688954-Insider-Threat_4.pdf

https://www.exabeam.com/data-science/user-entity-behavior-analytics-scoring-system-explained/

 

Bild: ©istock/ranplett

Schreibe einen Kommentar