Behavior Analytics
Schnellere Bedrohungserkennung bei minimalem Investitionsbedarf
User and Entity Behavior Analytics (UEBA)
LogRhythm, Experte für Security-Intelligence Lösungen, erweitert sein Spektrum an verfügbaren Sicherheitsmaßnahmen mit der Einführung der User and Entity Behavior Analytics (UEBA), einem eigenständigen Analytics-Produkt, dass für Kunden gedacht ist, die ein nicht von LogRhythm stammendes SIEM-Produkt ergänzen wollen oder die den Bedarf sehen, ein separates UEBA-Produkt einzuführen, ohne dass in ihrer Umgebung ein formales SIEM-System existiert.
Das UEBA-Angebot von LogRhythm nutzt Verhaltensanalyse auf der Basis maschinellen Lernens und Szenario-gestützte Bedrohungserkennung in Echtzeit, um Gefahren zu erkennen, die von Anwendern ausgehen. Die beschriebenen Funktionen sind kombinierte Aspekte des integrierten Workflows von LogRhythm und stellen deshalb eine hoch effiziente Lösung dar, wenn es darum geht, von Usern verursachte Bedrohungen zu erkennen und abzuwehren.
Aufs Anwenderverhalten gerichtete Advanced-Analytics-Funktionen helfen dabei, besonders kritische Security-Bereiche abzudecken, ohne dass hohe Investitionskosten anfallen. Sowohl Konzerne als auch KMUs können sich mit diesem Produkt gegen die Folgen von Insider-Bedrohungen, kompromittierten Anwenderkonten, Missbrauch von Admin-Rechten und ähnliche Risiken schützen.
„Moderne Organisationen werden geradezu belagert von einem ganzen Ökosystem an Bedrohungsakteuren. Insider gehören genauso dazu wie gut ausgestattete staatliche Stellen“, erklärt Chris Brazdziunas, VP Produkte bei LogRhythm. „Zugleich stellen viele Security-Teams fest, dass sie es einfach nicht schaffen, das nötige Personal für den Kampf gegen diese Form von Bedrohungen anzuwerben und zu halten. Zu diesen Herausforderungen kommt dann noch die Forderung der Business-Manager hinzu, Sicherheitsbarrieren nicht zu hoch zu legen, damit die Abwicklung der Geschäftsprozesse nicht leidet. In diesem Szenario hilft UEBA dabei, von Anwendern ausgehende Gefahren einzudämmen, auch ohne zusätzliches Personal einzustellen oder mit allzu lästigen Sicherheitsprozessen zu operieren. Analysten werden mit aussagekräftigen Ausgangspunkten für ihre Untersuchungen versorgt, erhalten anschaulich visualisierte Analyse-Ergebnisse und den direkten Zugriff auf alles, was sie für eine erfolgreiche Gegenwehr benötigen.“
UEBA unterscheidet sich deutlich von anderen spezialisierten UEBA-Lösungen auf dem Markt. Anders als formal vergleichbare Produkte, die nur auf beschränkte Methoden der Analytik zurückgreifen können, erkennt LogRhythm die Bedrohungen anhand von hoch entwickelten Techniken, die maschinelles Lernen und Szenario-Analyse umfassen
Diese Ansätze fördern kritische Events schnell zutage und sorgen für eine umgehende Priorisierung des wirklich Wichtigen. Abgesehen davon setzt LogRhythm UEBA auf Cloud-gestützte Technologien, die sich permanent weiterentwickeln und dazu Rückmeldungen der Anwender heranziehen. LogRhythm wertet anonymisiert die gesamten Aktivitätsdaten einer Organisation aus und berücksichtigt potenziell den Input aus der gesamten Kundenbasis – sofern der einzelne Kunde zugestimmt hat. Das Feedback des globalen Stamms an Analysten, das so zur Verfügung steht, macht das Produkt Tag für Tag intelligenter und schneller.
Darüber hinaus stellt LogRhythm seinen Kunden eine praxiserprobte Bibliothek an Bedrohungsszenarien zur Verfügung, die in Koordination mit beobachteten ‚Machine Learning‘-Aktivitäten operieren und es so erlauben, die Security-Relevanz von Phänomenen beim Erkennen von Bedrohungen genauer zu bestimmen.
LogRhythm haucht existierenden und bereits vor längerer Zeit implementierten SIEM-Systemen neues Leben ein – mit einer leicht in Betrieb zu nehmenden, hoch effektiven UEBA-Lösung. Die Investition amortisiert sich binnen kürzester Zeit.
Spezifischen Einsatzgebiete
-
Bedrohungen durch Insider: Eine aktuelle Studie zeigt, dass die Mehrzahl der Security-Spezialisten (88 Prozent) Insider-Threats als gefährliche und wachsende Bedrohung für ihre Organisation ansehen. Mit LogRhythm UEBA lässt sich ein maschinell unterstütztes Monitoring von Vertragspartnern und von Aktivitäten derjenigen Teams umsetzen, die einen besonders hohen Einfluss auf die Sicherheit haben – darunter IT, Finanzabteilungen und Vertrieb. Dies stärkt den Schutz gegen Datendiebstahl, Betrug, Richtlinienverletzungen und andere gefährliche Aktionen. Die LogRhythm-Lösung setzt Verhaltens-Profiling dazu ein, Abweichungen von normalen Vorgehensweisen aufzudecken, und greift auf Szenario-gestützte Analysen zurück, um bereits anderswo als gefährliche eingestufte Verhaltensmuster sofort zu erkennen.
-
Übernahme von Benutzerkonten: Angreifer, die ein Netzwerk kompromittieren konnten, werden als nächsten Schritt versuchen, ein legitimes Nutzerkonto zu übernehmen und sich in der Umgebung voranzutasten, bis sie ihr eigentliches Ziel erreichen. LogRhythm UEBA kommt diesen betrügerischen Aktivitäten auf die Spur, indem das System die Aktivitäten von Anwendern und ihre Interaktionen mit zugeordneten Kommunikationspartnern untersucht. Bedrohungen, die von außen kommen, werden schnell identifiziert, damit Schaden noch rechtzeitig verhindert werden kann.
- Missbrauch von Privileged-User-Accounts: Privilegierte Anwender wie etwa Administratoren haben weitreichende Zugriffsrechte auf Systeme und Daten. Damit stellt der Missbrauch entsprechender Konten ein hohes Risiko für jede Organisation dar. LogRhythm UEBA hilft dabei, sicherzustellen, dass Zugriffsrechte nur im erlaubten Rahmen genutzt werden. Die Algorithmen des Systems überwachen automatisch das Anlegen und Löschen entsprechender Konten, die Ausweitung von Autorisierungen und generell alle verdächtigen Aktivitäten, die mit dem Einsatz von Privileged Accounts zu tun haben.
„Eine signifikante Zahl großer Unternehmen ersetzt derzeit althergebrachte SIEM-Systeme durch die Next-Generation-Plattform von LogRhythm“, erklärt Matt Winter, Vice President Marketing und Business Development bei LogRhythm, „aber nicht jede Organisation kann diesen Schritt sofort und in vollem Umfang gehen. Mit LogRhythm UEBA haben Kunden, die eine komplette Umstellung noch nicht in Angriff nehmen können, nun dennoch die Chance auf eine funktionale Erweiterung, die über das Leistungsspektrum gängiger Ergänzungsmodule weit hinausgeht. Mit unserem UEBA-Produkt machen sie wirklich mehr aus ihrem vorhandenen SIEM. LogRhythm bietet ihnen eine Lösung mit umfassenden Funktionen, die von vornherein auf Skalierbarkeit ausgerichtet ist. Sie wächst mit, wenn der Bedarf dazu besteht, und hat dies bereits in mehreren großen, globalen Einsatzszenarien unter Beweis gestellt.“
LogRhythm UEBA ist eine eigenständige Version des LogRhythm-Gesamtprodukts für den Einsatzbereich UEBA. Das System kann dort zum Einsatz kommen, wo bereits andere SIEM-Systeme implementiert wurden oder eine SIEM-Lösung erst für die Zukunft geplant wird. Das Produkt ist ab sofort lieferbar, die Kostenberechnung erfolgt auf der Basis der Anwenderzahl. Hardware wird auf Subskriptionsbasis zur Verfügung gestellt.