siem
Moderne Cyberangreifer sind wahre Tarnkünstler und legen sich mächtig ins Zeug, um ihre bösartigen Aktivitäten wie gewöhnliche Prozesse aussehen zu lassen. Sie verwenden legitime Tools, kommunizieren über öffentliche Dienste mit Command-and-Control-Servern und maskieren bösartigen Code als normale Benutzeraktionen. Solche Aktivitäten sind für herkömmliche Sicherheitslösungen nahezu unsichtbar. Bestimmte Anomalien können jedoch durch die Analyse des Verhaltens konkreter Nutzer, Dienstkonten oder anderer Objekte erkannt werden. Darin besteht die Methode zur Bedrohungserkennung mithilfe der „Verhaltensanalyse von Nutzern und Entitäten“, kurz UEBA. Und genau diese haben wir in der neuesten Version unseres SIEM-Systems Kaspersky Unified Monitoring and Analysis Platform implementiert.
So funktioniert UEBA in einem SIEM-System
Laut Definition ist UEBA eine Technologie, die Cyberbedrohungen identifiziert. Dazu wird das Verhalten von Nutzern, Geräten, Anwendungen und anderen Objekten in einem Informationssystem analysiert. Diese Technologie kann im Prinzip mit jeder Sicherheitslösung kombiniert werden. Unserer Meinung nach ist sie jedoch am effektivsten, wenn sie in eine SIEM-Plattform integriert wird. Ein SIEM-System, das mit UEBA-Erkennungsregeln ausgestattet ist, kann Abweichungen vom typischen Verhalten analysieren. Zuvor wird mithilfe von maschinellem Lernen das normale Verhalten eines Nutzers oder Objekts (Computer, Dienst oder anderes Element) ermittelt. Dadurch lassen sich APTs, gezielte Angriffe und Insider-Bedrohungen rechtzeitig erkennen.
Darum haben wir unser SIEM-System mit einem speziell entwickelten UEBA-Regelpaket ausgerüstet. Es erkennt Unregelmäßigkeiten bei Authentifizierungsprozessen, in der Netzwerkaktivität und bei der Ausführung von Prozessen auf Windows-basierten Workstations und Servern. Dies erhöht die Intelligenz unseres Systems und optimiert die Suche nach neuartigen Angriffen, die mit normalen Korrelationsregeln, Signaturen oder Kompromittierungsindikatoren nur schwer zu identifizieren sind. Jede Regel im UEBA-Paket basiert auf Verhaltensprofilen für Nutzer und Objekte. Die Regeln lassen sich in zwei Kategorien unterteilen:
- Statistische Regeln, die den Interquartilsabstand verwenden, um Anomalien anhand aktueller Verhaltensdaten zu identifizieren.
- Regeln auf Basis von historischen Daten, die aus der Analyse vorhergehender Aktivitäten eines Kontos oder Objekts stammen. Diese Regeln dienen der Erkennung von Verhaltensabweichungen.
Wenn eine Abweichung von einer historischen Norm oder statistischen Vermutung gefunden wird, generiert das System eine Warnung und erhöht die Risikobewertung des entsprechenden Objekts (Nutzer oder Host). (In diesem Artikel erfährst du mehr darüber, wie unsere SIEM-Lösung mithilfe von KI Risiken bewertet.)
Struktur des UEBA-Regelpakets
Für dieses Regelpaket haben wir uns auf die Bereiche konzentriert, in denen die UEBA-Technologie am besten funktioniert. Dies sind Kontenschutz, Überwachung der Netzwerkaktivität und sichere Authentifizierung. Unser UEBA-Regelpaket umfasst derzeit die folgenden Abschnitte:
Authentifizierung und Berechtigungskontrolle
Diese Regeln erkennen ungewöhnliche Anmeldemethoden, plötzliche Zunahmen von Authentifizierungsfehlern, das Hinzufügen von Konten zu lokalen Gruppen auf fremden Computern sowie Authentifizierungsversuche außerhalb der normalen Geschäftszeiten. Jede dieser Abweichungen wird markiert und erhöht die Risikobewertung des Nutzers.
DNS-Profilerstellung
Sie dient der Analyse von DNS-Abfragen, die von Computern im Unternehmensnetzwerk gesendet werden. Die Regeln in diesem Abschnitt sammeln historische Daten, um Anomalien zu identifizieren. Zu diesen zählen Abfragen nach unbekannten Datensatztypen, übermäßig lange Domänennamen, ungewöhnliche Zonen oder untypische Abfragehäufigkeit. Außerdem wird das Datenvolumen überwacht, das via DNS zurückgegeben wird. Solche Abweichungen werden als potenzielle Bedrohungen betrachtet und erhöhen somit die Risikobewertung des Hosts.
Profilerstellung für Netzwerkaktivitäten
Hier werden Verbindungen zwischen Computern sowohl innerhalb des Netzwerks als auch zu externen Ressourcen überwacht. Diese Regeln fixieren erstmalige Verbindungen mit neuen Ports, Kontakte mit bisher unbekannten Hosts, ungewöhnliches Volumen bei ausgehendem Datenverkehr und Zugriff auf Verwaltungsdienste. Alle Aktionen, die vom normalen Verhalten abweichen, generieren Warnungen und erhöhen den Risikowert.
Profilerstellung für Prozesse
Dieser Abschnitt dient der Überwachung von Programmen, die aus Windows-Systemordnern gestartet werden. Wenn eine neue ausführbare Datei zum ersten Mal aus den Verzeichnissen System32 oder SysWOW64 auf einem bestimmten Computer ausgeführt wird, wird dies als Anomalie betrachtet. Dadurch erhöht sich die Risikobewertung für den Nutzer, der den Prozess initiiert hat.
Profilerstellung für PowerShell
Mit diesem Abschnitt werden die Quellen von PowerShell-Skriptausführungen verfolgt. Wenn ein Skript erstmals aus einem nicht standardmäßigen Verzeichnis gestartet wird (nicht aus einem typischen Verzeichnis wie Programme oder Windows), wird die Aktion als verdächtig markiert und erhöht die Risikobewertung des Nutzers.
VPN-Überwachung
Hier wird eine Vielzahl von Ereignissen als riskant gekennzeichnet, darunter Anmeldungen aus Ländern, die zuvor nicht mit dem Benutzerprofil verknüpft waren, zu schneller Standortwechsel, ungewöhnliches Datenvolumen via VPN, Änderungen des VPN-Clients und mehrere fehlgeschlagene Anmeldeversuche. Jedes dieser Ereignisse resultiert in einer höheren Risikobewertung für das Benutzerkonto.
Die Verwendung dieser UEBA-Regeln hilft uns, komplexe Angriffe zu erkennen und durch die Analyse von Verhaltenskontexten Fehlalarme zu reduzieren. Dadurch wird die Genauigkeit unserer Analysen erheblich verbessert und Sicherheitsanalysten werden entlastet. Analysten, die UEBA und KI zur Risikobewertung von Objekten verwenden, können schneller und besser auf Vorfälle reagieren und diese präziser priorisieren. In Kombination mit der automatischen Erstellung von Baselines für typisches Verhalten erhöht dies die Effizienz von Sicherheitsteams wesentlich. Die Experten müssen sich nicht mit Routineaufgaben auseinandersetzen, und verfügen über einen umfassenderen und genaueren Verhaltenskontext für die Bedrohungserkennung und Reaktion.
Wir verbessern die Benutzerfreundlichkeit unseres SIEM Systems laufend. Alle Neuigkeiten über die Kaspersky Unified Monitoring and Analysis Platform findest du auf der offiziellen Produktseite.
