Schutz vor Insider-Threats über Nutzer-Analyse

IBM erweitert die QRadar-Plattform mit User Behavior Analytics. So sollen vor allem interne Bedrohungen in Unternehmen unter Kontrolle gebracht werden

IBM kündigt eine neue App für die Sicherheitslösung QRadar an. Diese analysiert das Verhalten von Nutzern und leitet daraus Verhaltensmuster ab. Neben den Angestellten zählen in dem Fall zu den “Nutzern” auch freie Mitarbeiter oder Partner. Über diese Verhaltensmuster kann IBM QRadar User Behavior Analytics feststellten, ob ein Nutzer sich legitim verhält, oder ob eventuell die Nutzerkennung von Angreifern übernommen wurde.

Die neue App ist über die IBM Security App Exchange kostenlos erhältlich und erweitert die QRadar Sicherheitslösung. So schlägt die App Alarm, wenn sich ein Nutzer beispielsweise in einen hochsicheren Server mit einem privilegierten Account von einem bisher ungenutzten Ort aus einloggt. User Behavior Analytics gleicht dieses Verhalten mit gelernten Mustern ab und stellt dann fest, ob es vom normalen Verhalten abweicht.

Die User Behavior Analytics sind eine neue kostenlose App für IBMs Sicherheitslösung QRadar. Über ein Dashboard können Anwender schnell sehen, wie viele Nutzer überwacht werden, und wo verdächtiges Verhalten auftritt. (Bild: IBM)
Die User Behavior Analytics sind eine neue kostenlose App für IBMs Sicherheitslösung QRadar. Über ein Dashboard können Anwender schnell sehen, wie viele Nutzer überwacht werden, und wo verdächtiges Verhalten auftritt. Mit wenigen Mausklicks können schnell relevante Informationen aufgerufen werden. (Bild: IBM)

Die App nutzt Daten aus QRadar. Die Technologie stammt aus der Übernahme von Resilient Systems und wird jetzt als Add-on für die Lösung angeboten. Somit können Anwender innerhalb einer Anwendung sämtliche Sicherheits-Events verwalten und analysieren. Sicherheits-Analysten müssen dafür nicht mehr verschiedene Werkzeuge auswerten.

In der neuen App stehen unter anderem Risk Analysis Profiles zur Verfügung. Damit werden für anomales Verhalten Score-Werte vergeben. Steigt dieser Wert über eine definierte Schwelle, wird ein Alarm ausgelöst. Auf diese Weise können neben gekaperten Identitäten auch Mitarbeiter mit bösen Absichten erkannt werden.

Mit dem Prioritized Behavioral Analysis Dashboard bekommen Sicherheitsanalysten eine Visualisierung, die sichtbar machen soll, warum ein Nutzer ein bösartiges Dokument öffnet, oder wie ein Angreifer die eigenen Rechte ausweitet. So können Analysten Links oder verdächtige Dokumente kommentieren oder auf eine Liste für verbotenes Verhalten hinzufügen.

IBMQRadar liefert in einem Dashboard verschiede sicherheitsrelevante Informationen für Sicherheitsanalysten. (Bild: IBM)
IBM QRadar liefert in einem Dashboard verschiedene sicherheitsrelevante Informationen für Sicherheitsanalysten. (Bild: IBM)

Laut IBM gehen etwa 60 Prozent aller Attacken auf interne Angriffe zurück. Rund ein Viertel dieser Attacken aber sei darauf zurückzuführen, dass die Anmeldeinformationen eines Mitarbeiters in die Hände von Hackern gelangten. Um an diese Informationen zu gelangen nutzen Angreifer Techniken wie Phishing.

“Unternehmen brauchen bessere Möglichkeiten, um sich gegen interne Bedrohungen zu schützen – egal ob diese von übelwollenden Mitarbeitern oder Cyberkriminellen mit Zugriff auf interne Systeme stammen”, kommentiert Jason Corbin, Vice President bei IBM Security. Mit der neuen App könnten Analysten schnell aus bestehenden Sicherheitsdaten relevante Informationen ziehen und bösartiges Verhalten bereits in einem frühen Stadium erkennen.

Tipp: Wie gut kennen Sie IBM? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.