Wie Unternehmen ihr Netzwerk mit Künstlicher Intelligenz und Machine Learning vor Insider-Angriffen schützen können

Viele Unternehmen verlassen sich beim Thema Netzwerksicherheit allein auf Firewalls, Virenscanner und Passwortschutz ‒ also auf Abwehrmaßnahmen, die bei Attacken von außen greifen. Dabei stellen interne Cyberangriffe ein ebenso großes Sicherheitsrisiko dar. UEBA-Tools, die sich Technologien wie Künstliche Intelligenz (KI) und maschinelles Lernen zunutze machen, helfen IT-Abteilungen dabei, Bedrohungen durch Insider leichter zu erkennen und zu bekämpfen.

In einer repräsentativen Studie des Digitalverbands Bitkom von 2017 gaben mehr als die Hälfte der Unternehmen an, in den vergangenen zwei Jahren Opfer von digitaler Sabotage, Spionage oder Datendiebstahl geworden zu sein. Entstandener Schaden: 55 Millionen Euro pro Jahr. Während sich die meisten Betriebe bei der Intrusion Detection noch immer auf Bedrohungen von außen konzentrieren, unterschätzen sie die Gefahr von innen.

Denn laut „The Global State of Information Security® Survey 2018“ von PwC gehen 56 Prozent digitaler Angriffe auf das Konto aktueller oder ehemaliger Mitarbeiter. In der Bitkom-Umfrage sind es sogar 62 Prozent. Bei der Aufklärung halfen in 37 Prozent der Fälle das Personal, in 30 Prozent der Zufall und in nur einem Prozent das eigene IT-Sicherheitssystem.

Vor allem Letzteres dürfte sich in Zukunft ändern. Denn der Faktor Mensch ist eine der größten Schwachstellen in Sachen Netzwerksicherheit. Oft stecken nicht einmal böswillige Absichten dahinter: Fehlgeleitete E-Mails, das Anklicken von Links in Phishing-Mails, verlorene bzw. gestohlene Arbeitsgeräte, arglos weitergegebene Netzwerkkennwörter oder ein unbedachter Umgang mit Informationen im Internet stellen ein großes Risiko für die (Daten-)Sicherheit dar.

Hier gilt es, Mitarbeiter durch Schulungen zu sensibilisieren ‒ eine Maßnahme, die spätestens seit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) ohnehin alle Unternehmen ergreifen sollten, um datenschutzkonform zu handeln und Strafen zu vermeiden.

Einsatz von modernen Technologien immer wichtiger

Doch selbst mit geschultem Personal lassen sich kriminell motivierte Cyberattacken vermeintlich autorisierter User nicht vermeiden. Die Gefahr durch Hacker, welche die derzeit noch überwiegend perimeterorientierten Sicherheitsinstanzen umgehen, wächst – auch, weil IT-Systeme durch Cloud Computing oder ortsunabhängiges Arbeiten mit externem Datenzugriff durch mobile Endgeräte oder Virtual Private Networks (VPN) anfälliger sind. Doch wie lassen sich Insider-Angriffe eindämmen?

Hier kommen Technologien wie Künstliche Intelligenz und maschinelles Lernen ins Spiel: Auf diese setzt nämlich das sogenannte UEBA-Verfahren. UEBA steht für User and Entity Behavoir Analysis, also die Analyse von Benutzer- und Entitätsverhalten. Es handelt sich um eine datenzentrierte Sicherheitslösung, mithilfe derer IT-Abteilungen alle Unternehmensdaten betreffenden Aktivitäten im Blick behalten, auswerten und bei Auffälligkeiten proaktiv reagieren können.

Funktionsweise und Vorteile der User and Entity Behavior Analysis (UEBA)

UEBA-Tools überwachen das Nutzer- und Entitätsverhalten im Netzwerk, indem sie im Sinne von Data Mining Nutzerprofile anlegen und „normale“ Verhaltensmuster aufzeichnen. Selbstlernende Algorithmen und statistische Analysemethoden erkennen dann, wenn sich ein User nicht „normal“ verhält und schlagen Alarm ‒ zum Beispiel, wenn er plötzlich große Datenmengen herunterlädt oder sich von einem unbekannten Standort oder Server einloggt.

Ist eine UEBA-Software im Einsatz, ist es für Angreifer, die sich Zugriff zum Netzwerk verschafft haben, wesentlich schwieriger, unerkannt zu bleiben. Denn das für den jeweiligen Nutzer übliche Verhalten nachzuahmen, ist ungleich schwerer, als an seine Anmeldedaten zu kommen. Auf diese Weise schützt das UEBA-Verfahren insbesondere privilegierte Konten von Führungskräften, die für Cyberkriminelle besonders attraktiv sind.

Zudem können UEBA-Anwendungen sogenannte Brute-Force-Angriffe zur Ermittlung weiterer Zugangsdaten oder auch kompromittierte bzw. gefälschte Konten erkennen und deren Zugang umgehend sperren. Das Ändern von Berechtigungen oder Erstellen sogenannter Superuser bleibt ihnen ebenso wenig verborgen wie eine mögliche missbräuchliche Nutzung sensibler Daten wie zum Beispiel Kunden-, Mitarbeiter-, Produktions- oder Entwicklungsdaten.

Der UEBA-Securityprozess sorgt so für maximale Transparenz der Netzwerkaktivitäten, damit IT-Teams bei Anomalien schnell eingreifen können, sodass im Idealfall kein Schaden entsteht.

Sicherheitslösung Aruba IntroSpect: intelligenter Schutz gegen Insider-Angriffe

HPE Aruba bietet mit 360 Secure Fabric eine ganzheitliche, analyticsbasierte Sicherheitslösung. Der Rundumschutz besteht aus mehreren Komponenten, die sich nahtlos miteinander kombinieren lassen. So sichert beispielsweise Aruba Secure Core das Netzwerk mittels Secure Boot, eingebetteten Firewalls, zentraler Verschlüsselung, Deep Packet Inspection und Intrusion Prevention ab.

Ein Tool zur Netzwerkzugriffskontrolle ist Aruba ClearPass, mit dem sich Nutzer und Geräte gemäß den Unternehmensrichtlinien authorisieren, überwachen und unbefugte Zugriffe automatisch abweisen lassen.

Speziell zur Abwehr interner Cyberattacken hat HPE Aruba die netzwerkneutrale Softwarefamilie IntroSpect entwickelt. Auch sie setzt auf die UEBA-Methode. Zur Identifizierung von untypischem Nutzer- und Entitätsverhalten ‒ und seien es nur kleine Abweichungen über einen längeren Zeitraum, die für das traditionelle Monitoring kaum erkennbar sind ‒ greift das System auf über 100 überwachte und unüberwachte Lernmodelle zurück.

Bei der Meldung potenzieller Bedrohungen stehen dem Sicherheitsteam alle verdächtigen Datensätze sofort zur Verfügung. Algorithmen ermitteln außerdem aufgrund des Schweregrads eines Angriffs einen Risiko-Score, anhand dessen IT-Mitarbeiter leichter entscheiden können, wie sie reagieren oder welche Aktionen Aruba ClearPass in diesen Fällen automatisiert ausführen soll.

Mit Aruba IntroSpect lassen sich also interne Sicherheitsrisiken effizient minimieren und der Betriebsaufwand, durch den hohen Automatisierungsgrad, gleichzeitig in Grenzen halten.

Neben IntroSpect bietet HPE Aruba weitere Lösungen für Unternehmen. Welche genau, erfahren Sie hier.

Quelle Titelbild: © pixelcreatures/Pixabay

Hier schreibt CANCOM.info Redaktion für Sie

Mehr Artikel vom Autor

Cookies auf dieser Website

Cookies sind für die korrekte Funktionsweise einer Website wichtig. Damit wir verstehen, wie unsere Seite im Allgemeinen genutzt wird und wir Ihren Besuch noch interessanter und personalisierter gestalten können, setzen wir Cookies und andere Technologien ein. Bitte treffen Sie Ihre bevorzugte Cookie-Auswahl, um fortfahren zu können. Hilfe.

Wählen Sie eine Option, um fortzufahren

Ihre Auswahl wurde gespeichert!

Sie können Ihre Cookie-Einstellung jederzeit ändern. Eine Erläuterung der einzelnen Einstellungen finden Sie in der Hilfe.

COOKIE EINSTELLUNGEN

Wir respektieren Ihre Privatsphäre und den Datenschutz. Damit wir verstehen, wie unsere Seite im Allgemeinen genutzt wird und wir Ihren Besuch noch interessanter und personalisierter gestalten können, sammeln wir Daten über die Nutzung dieser Seite. Hierzu verwenden wir Cookies. Wir teilen außerdem Informationen über Ihre Nutzung unserer Website mit unseren Social-Media-, Werbe- und Analytikpartnern gemäß unserer Datenschutzerklärung. Sie können Ihre Präferenzen in den Cookie-Einstellungen verwalten und jederzeit ändern.

Achtung: Wenn Sie noch keine 16 Jahre alt sind deaktivieren Sie bitte unbedingt alle Cookies die nicht notwendig sind, da für das Tracken durch Cookies von Kindern unter 16 Jahren die Zustimmung eines Erziehungsberechtigten vorliegen werden muss.

  • Alle Cookies akzeptieren:
    Diese Funktion erlaubt alle Cookies für Tracking- und Seiten-Analyse, Cookies zur Personalisierung der Website oder Social Media Dienste. Dazu zählen auch Cookies von externen Anbietern, wie zum Beispiel Youtube oder Vimeo, um das Abspielen von Videos zu ermöglichen sowie Cookies, die nicht ausschließlich für den Betrieb der Webseite notwendig sind. Das sind Cookies für Marketing, Statistik und andere.
  • Nur Cookies erlauben, die von dieser Webseite gesetzt werden:
    Hierbei werden zusätzlich zu den notwendigen Cookies weitere Cookies geladen, die vom Websitebetreiber für diese Webseite genutzt werden. Das sind zum Beispiel Cookies, die die Art beeinflussen, wie sich eine Webseite verhält oder aussieht (z. B. Ihre bevorzugte Sprache oder die Region in der Sie sich befinden).
  • Nur Cookies akzeptieren, die für die Funktion der Seite notwendig sind:
    Notwendige Cookies helfen dabei, eine Webseite nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche der Webseite ermöglichen. Die Webseite kann ohne diese Cookies nicht richtig funktionieren. Es werden bei dieser Option keine Cookies gesetzt, außer die aus technischen Gründen notwendig sind.

Zurück