Was ist UEBA?

User and Entity Behavior Analytics (UEBA) hilft, Risiken zu reduzieren, indem atypisches und verdächtiges Verhalten erkannt wird.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • UEBA definieren
  • Funktionsweise von UEBA verstehen
  • Die wichtigsten Anwendungsfälle und Vorteile für UEBA identifizieren

Link zum Artikel kopieren

Was ist UEBA?

User and Entity Behavior Analytics (UEBA) ist eine Reihe von Cybersicherheitsfunktionen. Sie erkennen mithilfe von Datenanalyse und maschinellem Lernen (ML) ungewöhnliches und potenziell gefährliches Verhalten von Nutzern, Geräten und anderen Entitäten. Der Begriff wurde 2015 von Gartner geprägt und erweitert das Konzept der User Behavior Analytics (UBA) auf das Verhalten von Geräten und Entitäten. Darunter fallen beispielsweise Server, Router sowie Smartphones und Internet of Things (IoT)-Geräte.

UEBA ermittelt das typische Nutzer- und Geräteverhalten, identifiziert Abweichungen von diesem Verhalten und bewertet diese Abweichungen nach ihrem Sicherheitsrisiko. Ein Beispiel: Ein Mitarbeiter meldet sich jeden Morgen um 8:00 Uhr MEZ von Berlin aus in sein Cloud-E-Mail-Konto ein. Wenn sich derselbe Mitarbeiter nur wenige Stunden später von San Francisco aus in eine Kundendatenbank einloggt und große Mengen sensibler und geschützter Informationen herunterlädt, würde die UEBA dies als anormales und potenziell risikoreiches Verhalten einstufen.

UEBA kann eine zentrale Rolle bei der Erkennung von Bedrohungen und beim Risikomanagement spielen, indem verschiedene Verhaltensweisen analysiert und Anomalien identifiziert werden. Sie kann bestehende Sicherheitsfunktionen erweitern, ein Zero Trust-Sicherheitsmodell unterstützen und Unternehmen helfen, gesetzliche Vorschriften zu erfüllen.

Wie funktioniert UEBA?

UEBA-Funktionen erstellen zunächst eine Referenz für das typische Verhalten von Nutzern und Geräten, indem sie eine Vielzahl von Daten analysieren, wie zum Beispiel:

  • Nutzeraktivität – Anmeldeversuche, Dateizugriff, App-Nutzung und Systembefehle
  • Netzwerk-Traffic – wie Quell- und Ziel-IP-Adressen, Ports und Protokolle
  • Authentifizierungsdaten – erfolgreiche und fehlgeschlagene Anmeldungen

Diese Daten können von verschiedenen Plattformen oder Tools stammen, darunter von sicheren Web-Gateways, Diensten für den Zero Trust-Netzwerkzugang, DLP-Dienste, Firewalls, Routern, VPNs, IAM-Lösungen, Intrusion Detection and Prevention Systems (IDPS), Antivirensoftware, Authentifizierungsdatenbanken und vielen anderen Quellen. Diese Sicherheitsdienste und -lösungen können Teil von Plattformen für Secure Access Service Edge (SASE) und Security Service Edge (SSE) sein.

ML-Funktionen lernen aus kontinuierlich eingehenden Daten und verfeinern ihr Verhalten im Laufe der Zeit. (Cloudflare verwendet einen ähnlichen Ansatz für das Bot-Management. Es misst das typische Verhalten in einer Web-App und vergleicht dann neue Interaktionen mit dieser Referenz, um Bots zu identifizieren.)

Bei der Sammlung und Analyse von Daten können UEBA-Modelle jedes Verhalten erkennen, das von den normalen Mustern oder den Sicherheitsrichtlinien eines Unternehmens abweicht. Diese Funktionen würden beispielsweise bemerken, wenn sich ein Nutzer zu einer ungewöhnlichen Zeit von einem anderen Ort als gewöhnlich anmeldet. Dieses Verhalten könnte auf Diebstahl von Anmeldedaten hindeuten.

Wenn die UEBA-Funktionen ein ungewöhnliches oder verdächtiges Verhalten erkennen, wird dem Nutzer auf der Grundlage des Risikos, das dieses Verhalten für die Organisation darstellt, ein Risikowert zugewiesen. Ein paar fehlgeschlagene Anmeldeversuche während des Arbeitstags können eine niedrige Bewertung erhalten – wahrscheinlich hat ein Nutzer einfach sein Passwort vergessen. Andere Verhaltensabweichungen sind jedoch ein möglicher Hinweis auf eine Kompromittierung des Kontos, einen Verstoß gegen die Unternehmensrichtlinien oder eine Datenschutzverletzung. Folgende Beispiele für risikobehaftetes Verhalten könnten UEBA-basierte Maßnahmen zur Risikominderung auslösen:

  • Unmögliche Reise: Wenn sich ein Nutzer innerhalb einer unrealistisch kurzen Zeitspanne von zwei voneinander entfernten Standorten anmeldet. Zum Beispiel, wenn die Mitarbeiterin „Alice“ sich in New York in das Gehaltsabrechnungssystem ihrer Firma einloggt und wenige Minuten später eine Anmeldung in der Cloud-Produktivitätssuite aus Sydney erfolgt.
  • Data Loss Prevention (DLP)-Verletzungen: Wenn vertrauliche Geschäftsinformationen, persönlich identifizierbare Informationen (PII) oder andere sensible Daten unsachgemäß bewegt werden (zum Beispiel, wenn ein Mitarbeiter geschützte Unternehmensdaten in einen KI-Chatbot eines Drittanbieters hochlädt).
  • Verwendung risikobehafteter Geräte: Laptops von Remote-Mitarbeitern ohne die neuesten Betriebssystem-Updates oder Router mit ungepatchten Sicherheitslücken.

UEBA-Anwendungsfälle

UEBA kann verschiedene taktische und strategische Anwendungsfälle unterstützen.

  • Zero Trust-Sicherheit: Zero Trust ist ein IT-Sicherheitsmodell, das die Identität jeder Person und jedes Geräts überprüft, die versuchen, auf Anwendungen oder Daten in einem Unternehmensnetzwerk zuzugreifen. UEBA-Funktionen können eine Lösung für Zero Trust-Netzwerkzugang (ZTNA) ergänzen oder eine Komponente einer solchen Lösung sein. Mit UEBA-Funktionen können Sicherheitsteams sehen, wer auf das Netzwerk zugreift, welche Geräte verwendet werden und ob Nutzer und Geräte gegen Richtlinien verstoßen. Teams gewährt Zugriff auf der Grundlage des Kontexts einer Anfrage und der Bewertung, ob eine Anfrage dem typischen Nutzerverhalten entspricht.
  • Kompromittierter Endpunkt: Angreifer können Wege finden, um in Mobil- oder IoT-Geräte einzudringen, da diese oft weniger geschützt sind als Unternehmensserver oder -Apps. Durch die Überwachung des Geräteverhaltens kann UEBA kompromittierte Geräte aufspüren, bevor Angreifer tiefer in das Unternehmensnetzwerk eindringen können.
  • Insider-Bedrohung: Behavior Analytics können helfen, böswillige Insider zu erkennen – etwa Nutzer, die versuchen, ein Firmennetzwerk anzugreifen oder sensible Daten zu stehlen. Gleichzeitig kann UEBA dabei helfen, festzustellen, wann die Anmeldedaten oder Geräte eines Benutzers kompromittiert wurden, zum Beispiel bei Phishing-Angriffen oder Gerätediebstahl. UEBA kann atypisches Verhalten erkennen, auch wenn legitime Anmeldedaten verwendet wurden.
  • Einhaltung von Vorschriften: Eine Organisation kann UEBA einsetzen, um die Einhaltung von Standards oder Vorschriften zu gewährleisten, beispielsweise den Vorschriften zur IT-Sicherheit und zum Datenschutz für Finanzdienstleister oder Organisationen im Gesundheitswesen. Durch die Erkennung von Nutzer- und Geräteverhalten, das von festgelegten Richtlinien oder Standards abweicht, könnte UEBA Probleme erkennen, bevor es zu einer Gefährdung der Compliance mit wichtigen Regeln und Vorschriften kommt.

Was sind die Vorteile von UEBA?

Die Einführung von UEBA kann Unternehmen in mehrfacher Hinsicht zugutekommen.

  • Geringeres Risiko: Da UEBA auf alle Nutzer und Geräte angewendet werden kann, die mit einem Netzwerk verbunden sind, trägt es dazu bei, das Risiko zu verringern, selbst wenn die Angriffsfläche eines Unternehmens größer wird. UEBA kann das Nutzerverhalten analysieren, unabhängig davon, ob die Mitarbeiter im Homeoffice, im Büro oder anderswo arbeiten. Gleichzeitig kann die Lösung auch das Verhalten von Geräten überall überwachen, zum Beispiel von Servern und Routern in Rechenzentren von Unternehmen, IoT-Geräten in Fabriken oder medizinischen Geräten in Krankenhäusern.
  • Bessere Erkennung von Bedrohungen: UEBA kann dabei helfen, verschiedene Arten von Bedrohungen zu erkennen und anzuhalten, darunter Insider-Bedrohungen, kompromittierte Konten, Brute-Force-Angriffe, Distributed-Denial-of-Service (DDoS)-Angriffe und andere.
  • Weniger manuelle Analysen: ML- und Automatisierungsfunktionen reduzieren die zeitaufwändige Arbeit des Security Operations Teams (SecOps) bei der Analyse von Protokolldaten zur Identifizierung legitimer Bedrohungen. Die Mitglieder des IT- und Sicherheitsteams können sich auf andere Aufgaben konzentrieren.
  • Nachhaltige Compliance: Mit UEBA können Unternehmen die Compliance sicherstellen, indem sie problematisches Verhalten schnell erkennen, bevor es zu großflächigen Verstößen kommt. Durch die kontinuierliche Überwachung und Analyse können Unternehmen auch die Auditierung optimieren und möglicherweise teure, groß angelegte Korrekturmaßnahmen vermeiden.
  • Geringere Kosten: Durch die Früherkennung von Bedrohungen können Unternehmen hohe, durch von Sicherheitsverletzungen verursachte Kosten vermeiden.

Worin bestehen die Nachteile von UEBA?

Obwohl die Implementierung von UEBA viele potenzielle Vorteile bietet, sollten sich Unternehmen auch der möglichen Nachteile bewusst sein. Zum Beispiel:

  • Kosten: Einige eigenständige UEBA-Lösungen könnten für kleine und mittlere Unternehmen zu teuer sein.
  • Komplexität: Während ML- und Automatisierungsfunktionen den Bedarf an menschlicher Analyse von Ereignisprotokollen reduzieren, werden Sicherheitsanalysten weiterhin für die Definition von Richtlinien und die Ausgabe von Warnungen benötigt.
  • Einschränkungen: UEBA kann ein breites Spektrum von Bedrohungen erkennen, sollte aber mit anderen Funktionen integriert werden, um ein umfassenderes, durchgängiges Risikomanagement zu gewährleisten.

Wie UEBA SIEM ergänzt

Die UEBA-Funktionen ergänzen die SIEM-Lösungen (Security Information and Event Management) durch folgende Funktionen:

  • Nutzer im Fokus: Während SIEM Ereignisse analysiert, untersucht UEBA das Verhalten von Nutzern und Geräten, was helfen kann, Risiken für Nutzer zu bewerten und Insider-Bedrohung zu erkennen.
  • Langfristige Verfolgung von Bedrohungen: SIEM erkennt Sicherheitsereignisse in Echtzeit. UEBA ergänzt diese Arbeit, indem es langfristige, sich entwickelnde Bedrohungen identifiziert, indem es das aktuelle Verhalten überwacht und auswertet.
  • Kontinuierliches Lernen und Anpassung: UEBA nutzt Verhaltensanalyse und ML, um das Lernen und die Anpassung im Laufe der Zeit zu erleichtern. So können UEBA-Modelle die SIEM-Fähigkeiten verbessern, indem sie neue und aufkommende Bedrohungen erkennen, ohne dass ein menschliches Eingreifen erforderlich ist.

Die Kombination von SIEM- und UEBA-Funktionen kann die Sicherheitstransparenz verbessern und die Fähigkeit eines Unternehmens stärken, Bedrohungen zu erkennen und zu stoppen und gleichzeitig die Compliance zu gewährleisten. Einige SIEM-Lösungen enthalten UEBA-Funktionen.

Unterschied zwischen UEBA und EDR

UEBA und Endpoint Detection Response (EDR)-Lösungen haben einige Gemeinsamkeiten. Beide überwachen eine Reihe von Endpunkten, darunter Desktops, Laptops, Smartphones und IoT-Geräte. Darüber hinaus können EDR-Lösungen wie UEBA Verhaltensanalysen und ML einsetzen, um atypisches verdächtiges Verhalten zu erkennen.

UEBA kann aber auch die Funktionalität von EDR-Lösungen durch die Analyse des Nutzerverhaltens am Endpunkt ergänzen und erweitern.

Unterstützt Cloudflare UEBA?

UEBA ist eine Schlüsselkomponente von Cloudflare for Unified Risk Posture, einer Reihe von Funktionen, die SASE-, Web-App- und API (WAAP)-Sicherheitslösungen auf einer einzigen Plattform vereinen.

Cloudflare ermöglicht es Unternehmen, automatisierte und dynamische Risikobewertungen durchzuführen, Informationen auszutauschen und Durchsetzungsmaßnahmen über ihre wachsende Angriffsfläche zu implementieren – und dabei die Verwaltungskomplexität zu reduzieren.

Erfahren Sie mehr über Cloudflare for Unified Risk Posture.