Bei der Analyse des Nutzerverhaltens liegt der Fokus weniger auf Systemereignissen als auf spezifischen Nutzeraktivitäten. Das Analysetool lernt die Verhaltensmuster der User und damit, das Verhalten von Angreifern und berechtigten Nutzern zu unterscheiden. [...]
Das nächste Ziel eines Hackers besteht darin, Schadsoftware zu installieren, die einfache administrative Tätigkeiten ermöglicht. Dazu gehören mindestens das Hoch- und Herunterladen von Dateien, das Ausführen einfacher Befehle und das Durchsuchen von Verzeichnissen. Auf diese Schadsoftware, die auch als Remoteverwaltungstool (RAT) oder Command and Control Software (C2) bezeichnet wird, greifen die Hacker von ihrer eigenen Domäne aus zu. Die Idee ist so alt wie die ersten Botnets. Das Neue daran ist die Kombination aus C2 Malware und insgesamt unbemerkt bleibendem Vorgehen. Das Ergebnis sind Advanced Persistent Threats (APT).
Wie laufen APT-Angriffe ab? Der Hacker schleust das RAT in wichtige Windows-System-DLLs ein, wo es weitgehend unentdeckt bleibt. Wird eine DLL aktiviert, kann der Hacker Befehle senden und erhält die entsprechenden Resultate. Mithilfe der Standardprotokolle HTTP und HTTPS kommunizieren die eingeschleusten Tools mit einem zentralen Verwaltungsserver. Der wiederum ist in eine ordnungsgemäß registrierte Domäne eingebunden. Sie können sich sogar mit einem falschen DNS-Server verbinden, der Befehle des Remoteverwaltungstools erwartet, die in eigenen DNS-Protokollen versteckt sind. Hier liegt genau das Problem: Schadsoftware, die in Windows-Standardprogramme eingebettet wird und über ganz normale Webverbindungen kommuniziert. Etwas, das besonders schwer zu erkennen und noch schwerer zu verhindern ist.
Gartner unterteilt Software zur Analyse des Nutzerverhaltens grob in zwei Kategorien: Tools, die ungewöhnliches Verhalten anhand vordefinierter Analyseregeln erkennen, und Tools, deren Analysen auf dynamischen oder benutzerdefinierten Modellen beruhen. Bei einer vordefinierten Regel kann ein Administrator beispielsweise eine Benachrichtigung auslösen lassen, wenn an einem Wochenende zwischen 0:00 und 5:00 Uhr auf eine vertrauliche Datei zugegriffen wird. Bei einer rein dynamischen Regelerstellung entscheidet die zugrunde liegende Engine, was normal ist und erkennt Aktivitäten, die nicht in diesem Normbereich liegen. Die Engine erstellt also ihre eigenen internen Regeln. Bei Verhaltensanalysen werden sowohl vordefinierte Regeln angewendet als auch die dynamische Regelerstellung eingesetzt. Verwendet man Analysesoftware, die allein auf vordefinierten Regeln basiert, muss man als Sicherheitsverantwortlicher schon ein ziemlich gutes Gespür für die Pläne von Hackern haben.
DATENQUELLEN
Ein wichtiger Aspekt bei der Auswahl der Analysesoftware sind die Datenquellen. Manche Lösungen setzen vorrangig auf Netzwerk- und Systemaktivitäten (Anmeldungen, Anwendungen, Ereignisse). Andere Tools legen den Schwerpunkt auf präzisere Metadaten im System selbst. Das sind zum Beispiel die Nutzeraktivitäten bei Dateien und E-Mails. Der Nachteil eines rein netzwerk- oder systembasierten Ansatzes besteht in der Schwierigkeit, Hacker zu entlarven, die über E-Mails oder SQL-Injection eindringen und anschließend die Anmeldeinformationen berechtigter Nutzer stehlen. Denn auf den ersten Blick passiert ja weder beim Anmelden noch bei der Nutzung etwas Ungewöhnliches. Analysetools, die Nutzeraktivitäten in Bezug auf Dateien und E-Mails berücksichtigen, sind weit besser geeignet, um solche Angriffe zu erkennen. Der Indikator: Irgendwann wird ein Hacker, der sich als berechtigter Nutzer tarnt, Dateien mit vertraulichen Daten suchen und kopieren. Und das ist der Punkt, an dem man ihn enttarnen kann.
AUFFÄLLIGES VERHALTEN
Die Analyse des Nutzerverhaltens basiert auf der Idee, dass die Aktivitäten und Dateizugriffsmuster der Nutzer in einem System bekannt sind. Letztendlich erstellt die Software auf dieser Basis ein Profil, mit dem das Verhalten eines Nutzers beschrieben wird. Ein Beispiel: Wenn ein Hacker die Anmeldeinformationen eines Nutzers stiehlt und auf Daten zugreift, die der Nutzer kaum verwendet, unterscheiden sich seine Aktivitäten von dem im Profil hinterlegten Verhalten. Damit das funktioniert, benötigt das Analysetool eine Aktivitätshistorie des Nutzers: eine Durchschnittsmessung seines normalen Verhaltens. Dazu muss die Analysesoftware über einen längeren Zeitraum hinweg trainiert werden. Das gelingt meistens mithilfe von Protokollen zu Dateizugriffen, Anmeldungen und Netzwerkaktivität.
Wenn Sie jetzt denken, dass einige der Klassifizierungs- und Prognoseverfahren in der Big-Data-Analyse (Nearest Neighbor, Regression, Bayesische Klassifizierung) auch zur Analyse des Nutzerverhaltens geeignet sind, liegen Sie nicht ganz falsch. Unabhängig von der verwendeten Methode bilden die Analysen die Grundlage um normales oder eben ungewöhnliches Verhalten einzuschätzen. Es gibt unterschiedliche Tools, um das Nutzerverhalten zu analysieren. Mit einer Software, die nur vordefinierte Regeln und rein Perimeter-basierte Analysen unterstützt, hat man keine Chance gegen Hacker, die ihr Handwerk verstehen. Tools mit präziseren Analysefunktionen in Bezug auf Dateizugriffs- und E-Mail-Aktivitäten sind hier die bessere Wahl. Man sollte immer bedenken: Cyberdiebe haben es häufig auf Dateien und E-Mails abgesehen, daher werden sie früher oder später versuchen, darauf zuzugreifen.
* Der Autor David Lin arbeitet als Sales Manager DACH bei Varonis.
Be the first to comment