Was ist UEBA und warum sollte es ein wesentlicher Bestandteil Ihrer Incident Response sein?

In der Welt der Cybersicherheit tendieren Sicherheitsteams zunehmend dazu, sich von rein präventiven Ansätzen abzuwenden, wie aus einem Gartner-Bericht aus dem Jahr 2018 mit dem Titel „Market Guide for User and Entity Behavior Analytics“ hervorgeht. Sicherheitsteams tendieren dazu, die Prävention von Cyberbedrohungen mit neueren Erkennungs- und Incident-Response-Ansätzen (IR) in Einklang zu bringen. Um die Effektivität ihrer Sicherheitssysteme zu steigern, ergänzen sie ihre herkömmlichen SIEMs und andere ältere Präventionssysteme zunehmend um Technologien wie User and Entity Behavior Analytics (UEBA).

Die Entwicklung von UEBA

UEBA ermittelt das Benutzer- und Entitätsverhalten und kombiniert es mit einer Peer-Group-Analyse. Anschließend sucht und analysiert es nach anomalen Aktivitäten, um potenzielle oder tatsächliche Eindringlinge und böswillige Aktivitäten zu erkennen. UEBA geht über faktenbasierte Sicherheit und einfache Korrelationsregeln hinaus und nutzt sowohl benutzer- als auch entitätsbasierte Analysen und modelliert Bedrohungen basierend auf dem individuellen Benutzerverhalten.

Gartner prägte das Akronym UEBA vor einigen Jahren im Zuge der Umbenennung von „User Behavior Analytics“ (UBA). Das hinzugefügte „E“ betonte die Bedeutung des „Entity Behavior“ – also des Verhaltens von Entitäten, das über das reine Nutzerverhalten hinausgeht, beispielsweise bei Cloud-Anwendungen oder nicht verwalteten Endpunkten. Das „E“ trägt der Tatsache Rechnung, dass neben den Nutzern häufig auch andere Entitäten profiliert werden, um Bedrohungen genauer zu identifizieren. Dies geschieht unter anderem durch die Korrelation des Verhaltens dieser anderen Entitäten mit dem Nutzerverhalten“, so Gartner.

Warum UEBA UBA und ältere SIEMs verbessert

UEBA stellt aus mehreren Gründen eine wichtige Verbesserung gegenüber UBA und älteren SIEM-Systemen dar. Erstens überwindet es die Einschränkungen der SIEM-Korrelationsregeln – und die Tatsache, dass in vielen Fällen das gesamte Modell der Korrelationsregeln nicht mehr funktioniert. Zu den Problemen, die mit der Verwendung von SIEM-Korrelationsregeln verbunden sind, gehören:

• Sie können keine Angriffe finden, weil den Regeln der Kontext fehlt oder sie Vorfälle übersehen, die noch nie zuvor beobachtet wurden, und so falsche Negativergebnisse erzeugen.
• Die Regeln erfordern zu viel Wartung.
• Unzureichend gefilterte Regeln können die Ausführung der Vorfallreaktion verlangsamen, da Administratoren die Anwendung der Regeln filtern müssen, um zu bestimmen, welche Daten in Ihrer Ereignislandschaft relevant und welche irrelevant sind.

UEBA reduziert zudem Fehlalarme und trägt so zur Vermeidung von Alarmmüdigkeit bei. Und da Teams ihre Alarme priorisieren können, ermöglicht UEBA Ihren Sicherheitsexperten, sich auf die glaubwürdigsten und risikoreichsten Alarme zu konzentrieren.

Warum UEBA Teil des Sicherheitsrahmens jeder Organisation sein sollte

Wir alle wissen, dass Cyberangriffe immer komplexer und schwerer zu erkennen werden. Daher ist es nicht mehr praktikabel, Korrelationsregeln für Tausende verschiedener möglicher Szenarien zu schreiben. Dies gilt insbesondere für Insider-Bedrohungen. Wenn Sie Regeln wie „Benachrichtigung senden, wenn ein Benutzer einen E-Mail-Anhang größer als 4 MB sendet“ festlegen, müssen Sie jeden einzelnen Benutzer berücksichtigen und dann Ausnahmen festlegen. Beispielsweise versenden Grafikdesigner in der Marketingabteilung möglicherweise routinemäßig große PDF-Dateien. Anstatt Ihre Sicherheitsexperten zu bitten, jeden solchen Fall manuell auf die Whitelist zu setzen, ersetzt UEBA traditionelle boolesche Warnungen durch probabilistische Modelle oder Risikofaktoren auf Basis erweiterter Analysen.

Auf diese Weise bietet UEBA im Vergleich zu herkömmlichen SIEM-Korrelationsregeln eine überlegene Erkennung von Insider-Bedrohungen. Darüber hinaus verfolgt UEBA anomales Nutzerverhalten und verdächtige laterale Bewegungen nicht nur innerhalb Ihrer Organisation/Ihres Netzwerks, sondern kann auch mit Ihren Cloud-Diensten, Maschinen, Mobilgeräten und IoT-Geräten in Verbindung gebracht werden. Die Analyse des Nutzerverhaltens kann zudem erhebliche Zeitersparnisse bringen, da Teams nicht in Protokollen an verschiedenen Standorten wühlen müssen, um einen Vorfallsbericht zusammenzustellen. Ein ausgeklügeltes UEBA-System erfasst Daten aus allen verschiedenen Protokollquellen – wie Windows AD, VPN, Datenbank, Badge, Datei, Proxy und Endpunkten – und erstellt einen Kontextbericht rund um den Vorfall, den Ihre Sicherheitsteams analysieren können.

Hier sind einige der vielen Vorteile von UEBA:

• Verbindet verschiedene Arten von Risikoinformationen, um eine endgültige Punktzahl für die Risikoeinstufung zu ermitteln
• Ermöglicht Priorisierung und effektive Reaktion
• Bietet eine automatisierte Reaktion auf Vorfälle, sodass Teams schnell und mit weniger Aufwand auf Sicherheitsvorfälle reagieren können.

Modelle und Mathematik ersetzen Wahr/Falsch-Warnungen

Modelle bieten Teams, die UEBA verwenden, weitere Vorteile. Modelle, die Wahrscheinlichkeiten ausgeben, sind effektiver als Wahr/Falsch-Warnungen und ermöglichen die Nutzung der Datenwissenschaft, um mehrere Beweisstücke aus verschiedenen Datensätzen zu kombinieren und so die Wahrscheinlichkeit zu bestimmen, dass ein Benutzerkonto kompromittiert wurde oder an illegalen Aktivitäten beteiligt war.

Mit einer erweiterten UEBA können Sie modellieren:

• Die normalen Prozesse, die Authentifizierungen aufrufen, damit Sie die anomalen Prozesse abfangen können
• Die Tageszeit und der Wochentag, zu dem ein Benutzer ein Konto erstellt, und ob es für diesen Benutzer im Vergleich zu seinen Kollegen normal ist, Konten zu erstellen.
• Mit welchen Ports und IP-Adressen sich bestimmte Geräte regelmäßig verbinden
• Welche Benutzer führen welche Power Shell-Operationen aus?
• Subnetze pro Benutzer, die mit dem Internet kommunizieren
• Welche Benutzer welche Subnetze von bestimmten kritischen Assets durchqueren

Mehr als statische, schwellenwertbasierte Risikobewertung

Es besteht zunehmend das Bewusstsein, dass eine statische, auf Schwellenwerten basierende Risikobewertung den raffinierten Kriminellen und technisch versierten Insidern von heute nicht mehr standhält.

Mit UEBA können Sie komplexe Bedrohungen mit ausgefeilter Erkennung abgleichen, beispielsweise durch die Anpassung des Risiko-Scores anhand von Indikatoren der Peergroup. Beispielsweise kann UEBA das anomale Verhalten eines einzelnen Buchhalters im Vergleich zu seiner Peergroup untersuchen. Mithilfe von Modellen und Abgleich berücksichtigt UEBA nicht nur ein, sondern mehrere anomale Verhaltensweisen, die von der Peergroup abweichen, um eine Bedrohung anzuzeigen, beispielsweise wenn ein bestimmter Buchhalter untypischerweise ein Subnetz wie HR trifft.

Oder denken Sie an einen Benutzer, der zum ersten Mal über VPN aus Barbados ankommt. Nur weil das Verhalten der Entität anomal ist, heißt das nicht, dass es schlecht ist; der Benutzer ist möglicherweise einfach nur unterwegs. UEBA würde jedoch Benutzeranalysen für verwandtes Verhalten durchführen, beispielsweise wenn sich derselbe Benutzer über mehrere Subnetze bewegt, was den Risikowert drastisch erhöhen würde.

Im Falle eines APT könnte ein Hacker, der kompromittierte Anmeldeinformationen verwendet, für ein Altsystem wie ein gewöhnlicher Mitarbeiter der Personalabteilung aussehen. Greift derselbe Benutzer jedoch plötzlich auf das Subnetz der industriellen Steuerung zu, würde UEBA dieses Benutzerverhalten als anomal erkennen.

Schließlich kann maschinelles Lernen in UEBA-Systemen wie Exabeam in all diesen Szenarien dazu beitragen, den Kontext einer potenziellen Warnung besser einzuschätzen, sodass Sie deren Risikobewertung kalibrieren und so eine hohe Rate an Fehlalarmen vermeiden können.