Analytics in der IT-Sicherheit

Ist UBA das bessere SIEM?

24.06.2020
Von 


Thomas Ehrlich ist Regional Director DACH bei Netskope. Davor verantwortete er als Country Manager DACH und Osteuropa das Wachstum und die Positionierung des Security-Anbieters Varonis in dieser Region.
Erfahren Sie, wie Sie aus der Fülle von Security-Rohdaten nur die wesentlichen Informationen identifizieren und so Fehlalarme vermeiden.

Die Analyse von Security-Rohdaten ermöglicht es Sicherheitsverantwortlichen, vorbeugende Maßnahmen umzusetzen, um das IT-Schutzniveau zu erhöhen. Unter Security Analytics ist keine bestimmte Technik zu verstehen, sondern die Aggregation von Daten aus möglichst vielen Quellen. Dazu zählen insbesondere Ereignisprotokolle von Betriebssystemen, Firewalls, Routern und Virenscannern. Diese werden anschließend kombiniert, beziehungsweise korreliert, und ergeben so einen möglichst "sauberen" Datensatz, der schließlich mit geeigneten Algorithmen verarbeitet werden kann. Soweit die Theorie.

Relevante Cyber-Bedrohungen aus unzähligen Log-Dateien herauszufiltern gleicht der Suche nach einer Nadel im Heuhaufen. SIEM und UBA sollen dabei helfen.
Relevante Cyber-Bedrohungen aus unzähligen Log-Dateien herauszufiltern gleicht der Suche nach einer Nadel im Heuhaufen. SIEM und UBA sollen dabei helfen.
Foto: cooperr - shutterstock.com

In der Praxis liegt die Schwierigkeit darin, aus den Unmengen an Security-relevanten Daten die richtigen Informationen zu gewinnen, also die Stecknadel (eine Bedrohung) im Heuhaufen (tausende Event-Daten) zu finden. Um Gefahren für die IT-Sicherheit zu identifizieren, bevor sie Schaden angerichtet haben, kommt es wesentlich auf die Art der Analyse und der Events an, auf die man sich fokussiert. Dabei kommt normalerweise Security Information and Event Management (SIEM) ins Spiel. SIEM-Lösungen verarbeiten Event Logs von Betriebssystemen, Netzwerkgeräten und anderen Sicherheitswerkzeugen, kombinieren sie und führen grundlegende statistische Analysen durch. Aus den Rohdaten erzeugen sie Informationen, die von den Sicherheitsverantwortlichen interpretiert werden können.

Security-Rohdaten in der Praxis

Um ein Gefühl für Low-Level-Ereignisprotokolle zu erhalten, bietet sich der Windows Event Viewer für Betriebssystem-Ereignisse an. Das Programm lässt sich auf dem eigenen Windows-Rechner ausprobieren: Rechtsklick auf das Windows-Logo und im Auswahlmenü dann "Ereignisanzeige" wählen. Die Anwendung ermöglicht es, sich durch tausende oder sogar zehntausende von System- und Sicherheitsereignissen zu scrollen - von Prozessstarts und -beendigungen über Kontosperren bis hin zu ausgeführten PowerShell-Befehlen. Hier setzt eine Security-Information-and-Event-Management-System-Lösung an. Sie kombiniert diese Informationen und setzt sie sinnvoll mit Security-Ereignissen, die von anderen eingesetzten Geräten oder Lösungen erfasst wurden, in Relation.

Nicht schön, aber zumindest informativ: Der Windows Event Viewer ermöglicht einen Blick auf Betriebssystem-Ereignisse.
Nicht schön, aber zumindest informativ: Der Windows Event Viewer ermöglicht einen Blick auf Betriebssystem-Ereignisse.
Foto: Varonis Systems

Ein Beispiel: Das Löschen einer wichtigen Datei soll erkannt werden, da dies in Verbindung mit anderen Aktivitäten auf einen Cyberangriff hinweisen könnte. Hierzu muss lediglich nach einem Löschereignis gesucht werden, das mit dieser Datei verknüpft ist.

Das Löschereignis verweist leider nicht auf den Dateinamen und den entsprechenden Pfad.
Das Löschereignis verweist leider nicht auf den Dateinamen und den entsprechenden Pfad.
Foto: Varonis Systems

Dem angezeigten Löschereignis fehlt jedoch eine wesentliche Information, nämlich der Dateiname, der mit einem Windows-Löschereignis verknüpft ist. Diese Informationen sind über mehrere Log-Einträge verteilt. Im Beispiel muss das Löschereignis 4660 mit einem anderen Ereignis (4663 "Zugriffsobjekt") korreliert werden. In der Security-Praxis wird nach Übereinstimmungen für 4660- und 4663-Ereignisse gesucht und dann Informationen aus beiden Ereignissen kombiniert, um einen aussagekräftigeren Protokolleintrag zu erhalten. Schon dieses Mini-Auditing braucht viele Ressourcen. Das macht deutlich, dass SIEM ein komplexer, CPU-intensiver Prozess ist.

Wie Analytics die IT-Sicherheit bereichern

IT-Sicherheitsvorfälle in Rohereignisprotokollen zu finden, ist schwierig und SIEM neigt unter Umständen zu ungenauen Ergebnissen. Das kann dazu führen, dass entweder jedem Ergebnis nachgegangen wird und damit kostbare Ressourcen gebunden werden. Oder dazu, dass das IT-Team durch das permanente Rauschen irgendwann "ertaubt" und nicht mehr auf die Hinweise des SIEM achtet. Als Alternative bieten sich hier intelligente Sicherheitsanalysen an.

Den Unterschied macht dabei die Analyse des Nutzerverhaltens - auch bekannt als User Behavior Analytics (UBA). Im Grunde kann man sich das wie eine "besser informierte" Version eines SIEM vorstellen. Auch UBA basiert auf Ereignisprotokollen, konzentriert sich dabei jedoch auf das, was der Nutzer tut. Dazu zählen etwa gestartete Apps, Netzwerkaktivitäten oder die am häufigsten aufgerufenen Dateien (wann die Datei oder E-Mail berührt wurde, wer sie berührt hat, was mit ihr gemacht wurde und wie häufig).

Ereignisse auf Benutzerebene zu organisieren und zu sammeln hat gegenüber einem "puren" SIEM Vorteile. Benutzer haben ihre eigenen, einzigartigen Verhaltensmuster: beispielsweise bestimmte Dateien, auf die zugegriffen wird oder Verzeichnisse, die navigiert werden. Um mögliche IT-Sicherheitsvorfälle zu finden, betrachten User Behavior Analytics die aktuellen Ereignisprotokolle der einzelnen Benutzer und vergleichen sie mit einer Basishistorie dessen, was dieser Benutzer normalerweise tut. Auf diese Weise ist UBA eine Art SIEM, das auch die Historie und den Kontext mit einbezieht und so in der Lage ist, potenzielle Angriffe zu identifizieren, egal ob die Aktivitäten von einem Hacker, Insider, einer Malware oder sogar anderen Prozessen stammen.

UBA vs. SIEM

SIEM ist ein durchaus sinnvoller Ansatz zur Erkennung von Angriffen auf die IT-Sicherheit. Allerdings führt der fehlende Kontext häufig zu Fehlalarmen. UBA kann solche "False Positives" reduzieren, indem es den Ereignisstrom in Form von realen menschlichen Aktivitäten auf Computersystemen verarbeitet, sowie seine Algorithmen und Regeln aufgrund einer normierten Basis genauer entscheiden lässt, was ungewöhnlich ist. Damit kann es auf eine wahrscheinliche oder tatsächliche Bedrohung hinweisen und ermöglicht so eine wirkungsvolle, effektive und ressourcenschonende Abwehr. (jd)