IT-Security: Auffälliges Nutzerverhalten? Aruba IntroSpect merkt´s sofort!


Ein Vertriebsmitarbeiter, der sich innerhalb von Minuten sowohl in der deutschen Niederlassung als auch in Boston einloggt? Ein Kollege, der plötzlich jede Menge Emails an seinen privaten Email-Account schickt? Ein Abteilungsleiter, der seit Stunden massive Datenvolumen nach extern transferiert? HPE Aruba IntroSpect gibt dem Sicherheitsteam tiefe Einblicke in Insider-Bedrohungen: böswillige, unsichere oder nachlässige Benutzer, Systeme und Geräte.

Das SC Magazine für Internetsicherheit zeichnete aus diesem Grunde bei den „Trust Awards 2018“ Aruba IntroSpect UEBA als beste Technologie zur Erkennung von Sicherheitsbedrohungen aus. Aruba IntroSpect konnte die 50köpfige Jury, viele davon Chief Information Security Officers, durch die neuartige Angriffsaufdeckung überzeugen: Sicherheitsrisiken werden entdeckt und im Keim erstickt, bevor sie Schaden anrichten.

Auch der reduzierte Zeitaufwand zur Untersuchung von Sicherheitsvorfällen beeindruckte die Jury. Better together: Die Integration von IntroSpect mit der NAC-Lösung Aruba ClearPass erlaubt es zudem, Angriffen auf Grundlage mit ClearPass verwalteter Richtlinien effizient und angemessen zu begegnen. Dazu kann etwa die erneute Authentifizierung verlangt, ein infizierter Client unter Quarantäne gestellt oder vollständig gesperrt werden.

ZK Research stellte fest, dass 85-90 Prozent der Sicherheitsbudgets für den Netzwerkrand ausgegeben werden – aber nur 20-25 Prozent der Angriffe kommen von außen. Umgekehrt werden nur 10 bis 15 Prozent des Sicherheitsbudgets für die Sicherung des internen Netzwerks ausgegeben, auf das sich die meisten Angriffe konzentrieren. Es ist Zeit zum Umdenken!

Maschinenlernen unterstützt Security-Experten

HPE Aruba IntroSpect User Profil

Dabei helfen die hundert IntroSpect Modelle für maschinelles Lernen: sie sammeln und korrelieren automatisiert, halbautomatisiert oder von Experten geführt, Informationen für jeden Nutzer, jeden Host und jedes Gerät. Daraus entsteht ein normalisiertes Aktivitätsprofil, das regelmäßig mit dem aktuellen Verhalten abgeglichen wird. Abweichungen fließen in eine Risikobewertung ein. Beim Erreichen eines Schwellenwertes stehen die gesammelten Informationen Security-Spezialisten direkt zur Auswertung zur Verfügung. Anstatt mit zahlreichen, unzusammenhängenden Alarmmeldungen konfrontiert zu werden, haben sie sofort im Blick, von welchem Gerät möglicherweise Gefahr ausgeht und können unmittelbar geeignete Maßnahmen ergreifen.

Auf ungewöhnliches Nutzerverhalten aufmerksam werden
Das Anmelden am Firmennetzwerk, der Zugriff auf ein Netzwerklaufwerk und der Versand eines Anhangs per E-Mail sind zunächst nicht verdächtig. Erfolgt der Zugriff jedoch aus einem Land, in dem die Firma nicht aktiv ist, versucht ein Mitarbeiter auf Ordner zuzugreifen, die er noch nie bearbeitet hat, und will er Dateien an Empfänger versenden, mit denen das Unternehmen noch nie in Kontakt war, sollten die Alarmglocken läuten. Dazu sind aber weder signaturbasierende Sicherheitssoftware noch klassische Netzwerk-Security-Lösungen fähig.
Wohl aber Aruba IntroSpect. Da bekannt ist, wie sich ein Nutzer oder Client normalerweise verhält, bemerkt IntroSpect, wenn er davon abweicht. Irrelevant ist, welche Inhalte die Nutzer bearbeiten, aufrufen oder worüber sie mit Kollegen kommunizieren. Relevant ist z.B.:

  • Wann und wo hat sich der Mitarbeiter authentifiziert?
  • Von wo nutzt er den Fernzugriff? Passt der Standort zu seinem Nutzungsverhalten?
  • Greift er auf geschäftskritische Ressourcen im Netzwerk oder der Cloud zu?
  • Weicht die Zugriffszeit von den üblichen Nutzungszeiten ab?
  • Weicht die übertragene Datenmenge vom üblichen Verhalten ab?

Um derartige Fragen zu klären, greift Aruba IntroSpect auf zahlreiche Quellen zurück: VPN, Firewall, IPS- und IDS-Systeme, aber auch Log-Dateien für DNS, DHCP und Active Directory sowie standardmäßig verfügbare Informationen von Netzwerkkomponenten und IT-Security-Lösungen zahlreicher Hersteller. Die Genauigkeit steigt mit der Anzahl der Datenquellen – drei müssen es aber mindestens sein. Dafür bietet HPE Aruba eine Einstiegsversion von IntroSpect an.

SC Magazine Award Logo 2018

Bereits damit ist die umfassende Verhaltensanalyse der Nutzer und Endgeräte möglich. HPE Aruba nennt das “User and Entity Behavior Analytics” (kurz: UEBA). UEBA geht deutlich über die reine Analyse des Netzwerkverkehrs hinaus. Die konsolidierte Übersicht über sicherheitsrelevante Aktivitäten, die Priorisierung von Sicherheitsrisiken und das automatisierte Erkennen böswilliger Absichten mit IntroSpect haben dazu geführt, das Aruba einer von nur 18 Anbietern (aus einem unübersichtlichen Meer von Lösungen und Herstellern) ist, die durch einen „Trust Awards 2018“ ausgezeichnet wurden.

Siehe auch Aruba Community Blog Beitrag: We are Honored (engl.)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.