Angriffe haben in den meisten Fällen eine auffallende Gemeinsamkeit: ungewöhnliche, auffällige Verhaltensmuster, die in Netzwerken nachvollzogen werden können.

Die wichtige Frage ist: Wie kann man dies schon frühzeitig erkennen? Dafür braucht es kontinuierliches Monitoring und die Analyse von internem und externem Netzwerkverhalten. In Kombination mit der Analyse des Userverhaltens sind dies zwei grundlegende Methoden, um Sicherheit in Unternehmensnetzwerken zu überwachen. Da die Herausforderungen in der Cybersecurity stetig steigen und komplexer werden, werden auch die Methoden, um Angriffe und Datensicherheitsverstöße zu unterbinden, immer ausgefeilter.

Network Behavior Analytics, kurz NBA, verbindet sämtliche Netzwerkaktivitäten und Datenquellen. Behavior Analysis erkennt abnormales Verhalten – von ungewöhnlichen Login-Zeiten bis zu Orten, von denen aus Login-Versuche stattfinden – und hilft Unternehmen somit, die Sicherheit zu verbessern.

Bei Verhaltensanalysen im IT-Bereich wird der Fokus verstärkt auf sicherheitsrelevante Daten gelegt. Im Mittelpunkt steht dabei, zu verstehen, wer ein Netzwerk verwendet, auf welche Art und Weise das getan wird und ob die Aktivitäten und durchgeführten Aktionen zulässig sind. Ziel ist es, auffälliges Verhalten, abnormes Verhalten im Netzwerk, frühzeitig aufzuspüren.

Mensch vs. Maschine

Technologien allein machen kein Unternehmen sicher, sondern nur das Zusammenspiel aus technischen Lösungen und menschlicher Expertise kann für optimale Cybersecurity sorgen. Die beste Lösung ist jene, in der Technik und Mensch effizient zusammenarbeiten. Denn bei grundlegenden Fragen sind Menschen gefragt, ihr fachliches Wissen, ihre jahrelange Erfahrung und ihr daraus geschärftes Urteilsvermögen. Diese Kombination bietet den entscheidenden Vorteil und sorgt für optimale Sicherheit.

Network Behavior Analysis bedient sich spezieller Algorithmen und Methoden des Machine Learnings. So wird ein breites Framework an Daten unter anderem auch aus dem Bereich der Log Data Analytics, kurz LDA genannt, für einen ganzheitlichen Sicherheitszugang eingebunden. Angriffe können so entdeckt und geblockt werden. Mit Vergleichswerten, wie „normales“ Anwender- und Netzwerkverhalten aussieht, können Aktionen, die nicht dem üblichen Muster entsprechen, aufgespürt werden, um weitere Maßnahmen einzuleiten.

Die Kombination macht es: ausgefeilte Analyticstools und Machine Learning in Verbindung mit unterschiedlichsten Datenquellen. Das Ziel ist es, Erkennungsraten für auffälliges Verhalten im Netzwerk zu verbessern und False Positives gering zu halten. Denn mit diesem neuen Zugang werden Anomalien, die zu Risiken werden können, früher aufgespürt. Eine Abkehr von reiner Erkennung, Alarmierung und Absperren von Systemen auf Basis von Bedrohungen.

Die unerkannte Serientat

Alle Cyberangriffe haben eine Gemeinsamkeit: Das Angriffsverhalten weicht von normalen Verhaltensmustern ab. Dieses Wissen ist entscheidend, um künftige Verletzungen der IT-Sicherheit zu verhindern. Die Zukunft der Cybersecurity wird von Technologie geprägt sein, die konsistent und präzise Verhaltensweisen identifiziert, die nicht normal sind. Durch den Einsatz einer entsprechenden Analyse, die diese Auffälligkeiten erkennt, werden diese innerhalb der endlosen Datenmengen leichter und schneller aufgespürt.

Aber wie kann man nun auffälliges Verhalten erkennen? Der Prozess erfordert laufende Überwachung, Analyse und den Einsatz von Machine Learning, um die ersten Anzeichen eines Angriffs zu identifizieren. Dabei ist Genauigkeit natürlich von größter Bedeutung, um zu vermeiden, dass wertvolle Ressourcen durch Fehlalarme jeglicher Art verschwendet werden.

Oft bleiben Angriffe lange unerkannt, auffälliges Verhalten bleibt zu lange unbemerkt, manchmal sogar mehrere Jahre lang. Wie in den letzten Monaten zu lesen war, kann es Hotelketten, Fluglinien, Sportartikelhersteller oder auch Bauunternehmen treffen.

Keine Digitalisierung ist auch keine Lösung

Eine intelligente Technologie zur kontinuierlichen Überwachung und Verhaltensanalyse hätte den Angriff frühzeitig erkennen können. Denn wenn plötzlich ein System, das von Angreifern manipuliert wurde, auf eine Datenbank zugreift, auf das es noch nie zugegriffen hat, weisen moderne Technologien umgehend auf diese Auffälligkeiten hin und identifizieren so eine Attacke im frühesten Stadium. Der Schaden kann so abgewandt oder möglichst gering gehalten werden.

Solche Angriffe sind Weckrufe für IT-Sicherheitsverantwortliche in Unternehmen, sie veranschaulichen die Komplexität der Cybersecurity.

Schlechtem Verhalten einen Riegel vorschieben

Es gibt keinen One-fits-all-Ansatz für die Verwendung und Einbindung einer Verhaltensanalyse. Die Erstellung von Use Cases für das normale Netzverhalten und die Identifizierung von Anomalien kann aber den Schutz erheblich verbessern. Verhaltensanalyse und Machine Learning ersetzen keine Sicherheitsexperten, aber sie ermöglichen es, Auffälligkeiten zu priorisieren und Aufgaben von IT-Teams und CDC-Analysten effizienter zu gestalten. Die Integration führt dazu, das Thema Sicherheit ganzheitlich zu denken und umfassende Cybersecurity-Strategien in Unternehmen einzuführen.

Verhaltensbasierte Analysemethoden können mehrere Anomalien aufzeigen

  1. Eine Frage der Zeit: Mitarbeiter arbeiten in der Regel zu bestimmten Arbeitszeiten. Wenn Mitarbeiter sich abseits der üblichen Arbeitszeiten einloggen oder plötzlich auf für sie nicht relevante Systeme zugreifen, sollte das weitere Untersuchungen nach sich ziehen oder eine zusätzliche Authentifizierung notwendig machen.
  2. Im Anwendungsfall: Ein Mitarbeiter, der plötzlich ungewöhnliche oder nicht autorisierte Programme wie Dropbox nutzt, kann ein erstes Warnsignal darstellen.
  3. An Ort und Stelle: Wenn sich ein Mitarbeiter von einer bislang unbekannten IP-Adresse oder einem anderen geografischen Standort aus in das Netzwerk eingeloggt hat, sollte dies aufmerksam beobachtet werden. Selbiges gilt für Mitarbeiter und Geräte, die ein ungewöhnliches WiFi-Netzwerk nutzen. Ein Mitarbeiter, der in Berlin arbeitet, sollte keine IP-Adresse in Brüssel anzeigen. Ebenso könnte die Verwendung unterschiedlicher oder sich ändernder IP-Adressen darauf hindeuten, dass der Anwender ein Virtual Private Network, VPN, verwendet, um den wahren Standort zu verschleiern.
  4. Geräte aller Art: Eine Anmeldung von einem unbekannten Gerät aus kann ebenfalls ein erster Warnhinweis sein. Ein Angreifer könnte gestohlene Zugangsdaten für den Zugriff auf Daten verwenden. Das Einloggen von einem öffentlichen Computer aus birgt ebenfalls Risiken.
  5. Menschliches Verhalten registrieren: Ein interessanter Analyseaspekt kann unter anderem auch die Geschwindigkeit sein, in der Mitarbeiter üblicherweise tippen, einen Touchscreen benutzen oder die Mouse bewegen. Verhaltensbasierte Biometrie kann Nutzer aufgrund des Tippverhaltens erkennen. Dafür werden Art und Geschwindigkeit des Tastendrucks wie Wörter pro Minute, häufige Fehler und Buchstabenfolgen zur Auswertung und Identifizierung herangezogen.
  6. Richtiges Netzwerken: Erfahrene Experten wissen, wie Datenflüsse unter normalen Bedingungen ver- bzw. ablaufen. Denn auch das kann ungewöhnliches Verhalten aufzeigen. Network Behavior Analytics geht nämlich auch der Frage nach, wie ein gutes Netzwerk aussieht. Mit einem klaren Modell für normales Verhalten ist es für Angreifer schwierig, sich dem normalen, unauffälligen Netzwerkverhalten anzupassen, um einer Erkennung zu entgehen.

Download – Aktuelle Ausgabe von IT Security Magazin