Wie Unternehmen ihr Netzwerk mit Künstlicher Intelligenz und Machine Learning vor Insider-Angriffen schützen können

Viele Unternehmen verlassen sich beim Thema Netzwerksicherheit allein auf Firewalls, Virenscanner und Passwortschutz ‒ also auf Abwehrmaßnahmen, die bei Attacken von außen greifen. Dabei stellen interne Cyberangriffe ein ebenso großes Sicherheitsrisiko dar. UEBA-Tools, die sich Technologien wie Künstliche Intelligenz (KI) und maschinelles Lernen zunutze machen, helfen IT-Abteilungen dabei, Bedrohungen durch Insider leichter zu erkennen und zu bekämpfen.

In einer repräsentativen Studie des Digitalverbands Bitkom von 2017 gaben mehr als die Hälfte der Unternehmen an, in den vergangenen zwei Jahren Opfer von digitaler Sabotage, Spionage oder Datendiebstahl geworden zu sein. Entstandener Schaden: 55 Millionen Euro pro Jahr. Während sich die meisten Betriebe bei der Intrusion Detection noch immer auf Bedrohungen von außen konzentrieren, unterschätzen sie die Gefahr von innen.

Denn laut „The Global State of Information Security® Survey 2018“ von PwC gehen 56 Prozent digitaler Angriffe auf das Konto aktueller oder ehemaliger Mitarbeiter. In der Bitkom-Umfrage sind es sogar 62 Prozent. Bei der Aufklärung halfen in 37 Prozent der Fälle das Personal, in 30 Prozent der Zufall und in nur einem Prozent das eigene IT-Sicherheitssystem.

Vor allem Letzteres dürfte sich in Zukunft ändern. Denn der Faktor Mensch ist eine der größten Schwachstellen in Sachen Netzwerksicherheit. Oft stecken nicht einmal böswillige Absichten dahinter: Fehlgeleitete E-Mails, das Anklicken von Links in Phishing-Mails, verlorene bzw. gestohlene Arbeitsgeräte, arglos weitergegebene Netzwerkkennwörter oder ein unbedachter Umgang mit Informationen im Internet stellen ein großes Risiko für die (Daten-)Sicherheit dar.

Hier gilt es, Mitarbeiter durch Schulungen zu sensibilisieren ‒ eine Maßnahme, die spätestens seit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) ohnehin alle Unternehmen ergreifen sollten, um datenschutzkonform zu handeln und Strafen zu vermeiden.

Einsatz von modernen Technologien immer wichtiger

Doch selbst mit geschultem Personal lassen sich kriminell motivierte Cyberattacken vermeintlich autorisierter User nicht vermeiden. Die Gefahr durch Hacker, welche die derzeit noch überwiegend perimeterorientierten Sicherheitsinstanzen umgehen, wächst – auch, weil IT-Systeme durch Cloud Computing oder ortsunabhängiges Arbeiten mit externem Datenzugriff durch mobile Endgeräte oder Virtual Private Networks (VPN) anfälliger sind. Doch wie lassen sich Insider-Angriffe eindämmen?

Hier kommen Technologien wie Künstliche Intelligenz und maschinelles Lernen ins Spiel: Auf diese setzt nämlich das sogenannte UEBA-Verfahren. UEBA steht für User and Entity Behavoir Analysis, also die Analyse von Benutzer- und Entitätsverhalten. Es handelt sich um eine datenzentrierte Sicherheitslösung, mithilfe derer IT-Abteilungen alle Unternehmensdaten betreffenden Aktivitäten im Blick behalten, auswerten und bei Auffälligkeiten proaktiv reagieren können.

Funktionsweise und Vorteile der User and Entity Behavior Analysis (UEBA)

UEBA-Tools überwachen das Nutzer- und Entitätsverhalten im Netzwerk, indem sie im Sinne von Data Mining Nutzerprofile anlegen und „normale“ Verhaltensmuster aufzeichnen. Selbstlernende Algorithmen und statistische Analysemethoden erkennen dann, wenn sich ein User nicht „normal“ verhält und schlagen Alarm ‒ zum Beispiel, wenn er plötzlich große Datenmengen herunterlädt oder sich von einem unbekannten Standort oder Server einloggt.

Ist eine UEBA-Software im Einsatz, ist es für Angreifer, die sich Zugriff zum Netzwerk verschafft haben, wesentlich schwieriger, unerkannt zu bleiben. Denn das für den jeweiligen Nutzer übliche Verhalten nachzuahmen, ist ungleich schwerer, als an seine Anmeldedaten zu kommen. Auf diese Weise schützt das UEBA-Verfahren insbesondere privilegierte Konten von Führungskräften, die für Cyberkriminelle besonders attraktiv sind.

Zudem können UEBA-Anwendungen sogenannte Brute-Force-Angriffe zur Ermittlung weiterer Zugangsdaten oder auch kompromittierte bzw. gefälschte Konten erkennen und deren Zugang umgehend sperren. Das Ändern von Berechtigungen oder Erstellen sogenannter Superuser bleibt ihnen ebenso wenig verborgen wie eine mögliche missbräuchliche Nutzung sensibler Daten wie zum Beispiel Kunden-, Mitarbeiter-, Produktions- oder Entwicklungsdaten.

Der UEBA-Securityprozess sorgt so für maximale Transparenz der Netzwerkaktivitäten, damit IT-Teams bei Anomalien schnell eingreifen können, sodass im Idealfall kein Schaden entsteht.

Sicherheitslösung Aruba IntroSpect: intelligenter Schutz gegen Insider-Angriffe

HPE Aruba bietet mit 360 Secure Fabric eine ganzheitliche, analyticsbasierte Sicherheitslösung. Der Rundumschutz besteht aus mehreren Komponenten, die sich nahtlos miteinander kombinieren lassen. So sichert beispielsweise Aruba Secure Core das Netzwerk mittels Secure Boot, eingebetteten Firewalls, zentraler Verschlüsselung, Deep Packet Inspection und Intrusion Prevention ab.

Ein Tool zur Netzwerkzugriffskontrolle ist Aruba ClearPass, mit dem sich Nutzer und Geräte gemäß den Unternehmensrichtlinien authorisieren, überwachen und unbefugte Zugriffe automatisch abweisen lassen.

Speziell zur Abwehr interner Cyberattacken hat HPE Aruba die netzwerkneutrale Softwarefamilie IntroSpect entwickelt. Auch sie setzt auf die UEBA-Methode. Zur Identifizierung von untypischem Nutzer- und Entitätsverhalten ‒ und seien es nur kleine Abweichungen über einen längeren Zeitraum, die für das traditionelle Monitoring kaum erkennbar sind ‒ greift das System auf über 100 überwachte und unüberwachte Lernmodelle zurück.

Bei der Meldung potenzieller Bedrohungen stehen dem Sicherheitsteam alle verdächtigen Datensätze sofort zur Verfügung. Algorithmen ermitteln außerdem aufgrund des Schweregrads eines Angriffs einen Risiko-Score, anhand dessen IT-Mitarbeiter leichter entscheiden können, wie sie reagieren oder welche Aktionen Aruba ClearPass in diesen Fällen automatisiert ausführen soll.

Mit Aruba IntroSpect lassen sich also interne Sicherheitsrisiken effizient minimieren und der Betriebsaufwand, durch den hohen Automatisierungsgrad, gleichzeitig in Grenzen halten.

Neben IntroSpect bietet HPE Aruba weitere Lösungen für Unternehmen. Welche genau, erfahren Sie hier.

Quelle Titelbild: © pixelcreatures/Pixabay

Hier schreibt CANCOM.info Redaktion für Sie

Mehr Artikel vom Autor