Verhaltensanalysen
Was sind Verhaltensanalysen?
Verhaltensanalysen machen sich maschinelles Lernen, künstliche Intelligenz, Big Data und Analysefunktionen zunutze, um bösartige Verhaltensweisen zu identifizieren. Dabei werden Abweichungen von normalen, alltäglichen Aktivitäten analysiert.
Definition von Verhaltensanalysen
Böswillige Angriffe haben eines gemeinsam: Sie weichen von den normalen, alltäglichen Verhaltensweisen innerhalb eines Systems oder Netzwerks ab. Unternehmen können bösartiges Verhalten häufig anhand von Signaturen erkennen, die in direktem Zusammenhang mit bestimmten bekannten Angriffen stehen. Jedoch werden Angreifer immer raffinierter. Sie entwickeln ständig neue Taktiken, Techniken und Verfahren (Tactics, Techniques and Procedures, TTPs), mit denen sie nicht nur in anfällige Umgebungen eindringen, sondern sich dort auch unentdeckt lateral bewegen können.
Genau hier setzen Verhaltensanalysen an. Mithilfe von riesigen Mengen an ungefilterten Endpunktdaten können Sicherheitsmitarbeiter nun verhaltensbasierte Tools, Algorithmen und maschinelles Lernen verwenden, um zu definieren, was normales Anwenderverhalten ist und was nicht. Mit Verhaltensanalysen lassen sich Ereignisse, Trends und Muster – sowohl aktuelle als auch ältere – identifizieren, die außerhalb der Parameter alltäglicher Normen liegen.
Durch ihren Fokus auf Anomalien erhalten Sicherheitsteams Transparenz und können unvorhergesehene Verhaltenstaktiken von Angreifern frühzeitig erkennen, bevor diese ihren Angriffsplan vollständig ausführen. Verhaltensanalysen helfen außerdem dabei, Ursachen zu ermitteln und Informationen für die zukünftige Erkennung und Prognose ähnlicher Angriffe zu gewinnen.
Verwandte Themen
Welche Verhaltensweisen deuten auf bösartige Aktivitäten hin?
Ungewöhnliche Zeitpunkte von Ereignissen, unnormale Aktionssequenzen oder vermehrte Datenverschiebungen sind nur einige Hinweise auf böswillige Aktivitäten in einer Umgebung. Im Folgenden finden Sie einige konkrete Beispiele für ungewöhnliche Verhaltensweisen, die zur Erkennung eines laufenden Angriffs führen können.
- Ein Link in einer scheinbar legitimen Datei wird in den Arbeitsspeicher geladen. Anschließend wird ein Skript remote geladen, um vertrauliche Daten abzugreifen und sie zurück an den Angreifer zu senden.
- Schadcode wird in bereits installierte Anwendungen wie Microsoft Word, Flash, Adobe PDF Reader, einen Webbrowser oder JavaScript eingeschleust, um Schwachstellen auszunutzen und ihn dann auszuführen.
- Native Systemtools wie Microsoft Windows Management Instrumentation (WMI) und Microsoft PowerShell-Skriptsprachen gelten in der Regel als äußerst vertrauenswürdig. Sie werden ins Visier genommen, um Skripts remote auszuführen.
Branchenberichte: Verhaltensanalysen sind nun ein Muss
Bereits Anfang 2016 erkannte das SANS Institute die Bedeutung von Verhaltensanalysen in seinem White Paper „Using Analytics to Predict Future Attacks and Breaches“. Der Autor stellt in der Schlussbemerkung Folgendes fest: „Fortschrittlichere Datenanalyseplattformen zum Verarbeiten umfassenderer Datenmengen und verschiedener Datenarten, verbesserte Transparenz bei Netzwerkbedrohungen sowie automatisierte Erkennungs- und Reaktionsmaßnahmen unterstützen Sicherheitsteams heute und in Zukunft dabei, sich weiterzuentwickeln und diese Herausforderungen zu bewältigen.“
Nun, die Zukunft ist jetzt und im Jahr 2018 sind Verhaltensanalysen im Wesentlichen eine Grundvoraussetzung für moderne Endpunktsicherheit. Tatsächlich sieht Gartner in seinem Magic Quadrant-Report zu Endpunktschutzplattformen maschinelles Lernen und Verhaltensüberwachung als Stärken von Visionären und Marktführern an. Im Report heißt es außerdem: „2018 und 2019 werden diejenigen zu den visionären und führenden Anbietern gehören, die mithilfe der aus [Endpunkterkennung und -reaktion] erfassten Daten umsetzbare, maßgeschneiderte Empfehlungen für ihre Kunden bereitstellen.“
17% der Sicherheitsverletzungen im Jahr 2017 wurden durch menschliches Versagen verursacht (im Gegensatz zu vorsätzlichen böswilligen Absichten).
Die Lösung: Cloud-Umstieg
Um das Potenzial von Verhaltensanalysen vollständig auszuschöpfen, müssen sich Unternehmen die Cloud und ihre immense Rechenleistung, unbegrenzte Skalierbarkeit sowie ihr einfaches Management zunutze machen. Die Cloud bietet einen proaktiven Ansatz, der Big Data mit leistungsstarken Analysefunktionen kombiniert, um die neuesten und bedrohlichsten Angriffe abzuwehren.
Beispielsweise unterstützt die Cloud Streaming-Analysen, mit denen sich normale und ungewöhnliche Endpunktaktivitäten überwachen und mit ungefilterten historischen Endpunktdaten vergleichen lassen. Durch die Analyse dieser Ereignisströme und den Vergleich mit normalen Aktivitäten erstellt die Cloud ein globales Bedrohungsüberwachungssystem, das nicht nur Angriffe erkennt, sondern zudem auch noch nie dagewesene Attacken prognostiziert.
Dieser leistungsstarke Ansatz ist im Rahmen herkömmlicher, signaturbasierter AV-Lösungen einfach nicht realisierbar, mit NGAV-Software (Next-Generation Antivirus) jedoch schon.
NGAV in der Cloud bietet eine bidirektionale Kommunikation mit Endpunkten, sodass alle ungefilterten Endpunktdaten überwacht und in prädiktive Analysefunktionen umgewandelt werden können, die Unternehmen proaktiv vor raffinierten Angriffen schützen.
Darüber hinaus umfasst die Cloud die Infrastrukturvorteile, die die meisten Unternehmen bereits mit anderer Enterprise-Software erzielen: vereinfachter, kostengünstigerer Betrieb, schnellere Bereitstellungen sowie die neueste und innovativste Technologie.
Zugehörige VMware-Produkte, -Lösungen und -Ressourcen für Big Data-Analysen
Anwendungs- und Datenschutz durch Intrinsic Security
Intrinsic Security ist ein völlig neuer Ansatz zum Schutz Ihres Unternehmens.
VMware NSX Service-Defined Firewall
Setzen Sie eine verteilte interne Layer 7 Stateful Firewall auf Basis von NSX ein, um Rechenzentrumsdatenverkehr über virtuelle, physische, containerbasierte und Cloud-Workloads hinweg zu schützen.
Moderne digitale Arbeitsplatzplattform
Mit der informationsgesteuerten digitalen Arbeitsplatzplattform VMware Workspace ONE können Sie beliebige Anwendungen auf Geräten aller Art einfach und sicher bereitstellen und verwalten.