Bei der Analyse des Nutzerverhaltens liegt der Fokus weniger auf Systemereignissen als auf spezifischen Nutzeraktivitäten. Das Analysetool lernt die Verhaltensmuster der User und damit, das Verhalten von Angreifern und berechtigten Nutzern zu unterscheiden. [...]
Im Gegensatz zu Firewalls und Virenschutzprogrammen konzentriert sich eine Analyse des Nutzerverhaltens auf die Aktivitäten des Nutzers selbst. Welche Anwendungen nutzt er, welche Aktivitäten gehen von einem bestimmten Nutzer innerhalb des Netzwerks aus und auf welche Dateien greift er zu. Wann wird beispielsweise eine bestimmte Datei oder eine E-Mail geöffnet und von wem, was passiert mit der Datei und wie oft. Bei der Analyse des Nutzerverhaltens sucht man nach Hinweisen auf ungewöhnliche oder unerwartete Verhaltensmuster. Und zwar unabhängig davon, ob diese Aktivitäten von einem potentiellen Angreifer oder einem Insider ausgehen, ob es sich um ein Schadprogramm oder einen Prozess innerhalb des Workflows handelt. Eine solche Analyse hält zwar weder einen Hacker noch einen Insider davon ab, ins System einzudringen, aber die Aktivitäten lassen sich in kurzer Zeit verifizieren und der Schaden lässt sich begrenzen.
Diese Art der Analyse ist eng verwandt mit dem Sicherheitsinformations- und Ereignis-Management (Security Information and Event Management, SIEM). SIEM-Systeme beschränken sich in der Regel darauf, Ereignisse zu analysieren, die in Firewalls, Betriebssystem und anderen Systemprotokollen erfasst werden. Hier decken sie, meist mithilfe vordefinierter Regeln, Zusammenhänge auf. Mehrere fehlgeschlagene Anmeldeversuche in einem der Protokolle werden beispielsweise mit einer Zunahme des ausgehenden Netzwerkverkehrs in Verbindung gebracht, die in einem anderen Protokoll aufgezeichnet wurde. So interpretiert das SIEM-System den hergestellten Zusammenhang beispielsweise als Zeichen eines Angriffs, bei dem Daten abgegriffen worden sind.
Allerdings ist es für Hacker mittlerweile ein Leichtes, sich als ganz normale Nutzer zu tarnen, wenn sie erst einmal im System sind. Und die Sache hat noch einen Haken. Konzentriert man sich allein auf Perimeter-Sicherheit und Systemprotokolle, wird gerne übersehen, wenn Insider oder Hacker Zugriffsrechte missbrauchen. Genau hier setzt die Analyse des Nutzerverhaltens an. Der Fokus liegt dann auch weniger auf Systemereignissen als auf spezifischen Nutzeraktivitäten. Das Analysetool lernt die Verhaltensmuster der Nutzer und damit, das Verhalten von Angreifern von dem berechtigter Nutzer zu unterscheiden.
Bei der Perimeter-Sicherheit sind Bedrohungen durch Insider schlicht kein Thema. Hacker können Maßnahmen dieser Art leicht umgehen und dann aus dem Inneren des Systems heraus agieren. Zunächst verschaffen sie sich Zugang über ganz normale öffentliche Schnittstellen (E-Mail, Web, eine Anmeldung) und anschließend als vermeintlich berechtigte Nutzer Zugriff auf Informationen. Hacker verwenden inzwischen Schadsoftware, die von Virenschutzprogrammen nicht erkannt wird. Sogar zulässige Systemverwaltungstools lassen sich in diesem Sinne zweckentfremden. Überprüft ein IT-Administrator dann lediglich die Systemaktivitäten (ausgeführte Anwendungen, Anmeldeinformationen etc.), sehen die Angreifer für ihn aus wie ganz normale Nutzer. Allein schon deshalb sollte man das Nutzerverhalten analysieren. Hacker geben sich längst nicht mehr so leicht zu erkennen, indem sie unbefugt auf ein Netzwerk zugreifen oder Software mit bereits bekannten Signaturen verwenden.
KOMPLEXE ANGRIFFE
In technischer Hinsicht sind die Angriffe teilweise sehr komplex. Hier wollen wir zunächst einen kurzen Überblick über die verschiedenen Techniken vermitteln. Leider ist das Erraten von Passwörtern immer noch eine äußerst erfolgreiche Methode. Sie funktioniert, weil Nutzer sich häufig auf simple Passwörter verlassen. Da wird der eigene Name abgewandelt, einfache Ziffernfolgen verwendet oder die Standardpasswörter vorinstallierter Software oder Firmware wie die von Datenbanken oder Routern werden beibehalten. Will man den viel bemühten Vergleich mit einem Türschloss verwenden, entspricht das erfolgreiche Erraten von Passwörtern einem minderwertigen Türschloss.
In den letzten Jahren war aber auch eine andere Methode äußerst erfolgreich. Hacker konnten Mitarbeiter über E-Mails dazu bringen, ihnen selbst Tür und Tor zu öffnen – Passwörter erraten entfällt. Diese inzwischen sehr geläufige Methode bezeichnet man als Phishing. Phishing-Mails sind E-Mails, die von einem vertrauenswürdigen Absender wie zum Beispiel einem Kurierdienst zu stammen scheinen. Die Hacker benutzen oftmals das offizielle Logo des jeweiligen Unternehmens, um die Nachricht möglichst echt aussehen zu lassen. Zudem nutzen Angreifer die Tatsache aus, dass ein durchschnittlicher Nutzer nicht unbedingt technisch versiert genug ist, um zu wissen, wie URLs aufgebaut sind. Dadurch ist es vergleichsweise leicht, Absenderadressen glaubwürdig zu fälschen. Der so getäuschte Mitarbeiter klickt potenziell auf einen Link oder Anhang und startet so das Schadprogramm. Mission erfüllt: Die Hacker sind im System.
Eine dritte Möglichkeit, ist die SQL-Injection. Wie beim Phishing gelangt der Angreifer über einen öffentlichen Zugangspunkt ins System. In diesem Fall über eine Website. Bei einer SQL-Injection nutzen Hacker fehlerhaften Code innerhalb von Webanwendungen, der keine Bereinigung von Nutzer-eingaben vorsieht. Gibt ein Nutzer zum Beispiel Text in ein Webformular ein, löst er damit meistens eine SQL-Serveranfrage aus. Auf dieser Grundlage wird ein entsprechender Datenbanksatz erstellt. Wird der eingegebene Text nicht geprüft und von infizierten Elementen befreit, können Hacker schädlichen SQL-Code einschleusen, der auf diesem Weg an den Server gesendet wird. Durch den Schadcode haben sie bereits einen Fuß in der Tür und können auf eine Kommandozeile zugreifen oder einfache Betriebssystembefehle ausführen.
Be the first to comment