Was ist UEBA? Definition, Vorteile und Funktionsweise

UEBA steht für User and Entity Behavior Analytics. UEBA, früher bekannt als User Behavior Analytics, ist der Prozess der Verfolgung von Anomalien im Nutzerverhalten, um potenzielle Cybersicherheitsrisiken oder -bedrohungen zu identifizieren. Der Gedanke dahinter ist der, einen großen Datensatz über das Nutzerverhalten zu haben und Abweichungen von der Norm der Daten innerhalb dieses Datensatzes zu nutzen, um Warnungen oder spezifische Aktionen auszulösen, die proaktiv Cyberangriffe abwehren oder stoppen können, bevor sie zu viel Schaden anrichten.

Wie funktioniert UEBA?

UEBA verfolgt das Verhalten von Benutzern und Entitäten einer Organisation, um normales Verhalten von anormalem Verhalten zu unterscheiden. Im Kontext der Cybersicherheit kann es sich bei einem Benutzer oder einer Entität um jedes IT-System, jeden Geschäftsprozess oder jede Organisation (einschließlich der Regierung) handeln.

UEBA überwacht diese Nutzer und Entitäten, indem es Daten ständig überprüft und analysiert, um festzustellen, ob eine bestimmte Aktivität oder ein bestimmtes Verhalten anomal und damit potenziell gefährlich ist, weil es zu einem Cyberangriff führen könnte.

Ein Hacker könnte zum Beispiel das Passwort eines Mitarbeiters stehlen und sich in ein System einloggen. Wenn der Hacker erst einmal in das System eingedrungen ist, verhält er sich wahrscheinlich völlig anders als dieser Benutzer sich in der Vergangenheit verhalten hat und löst somit eine Cyberbedrohungswarnung aus.

UEBA erreicht dieses ausgeklügelte Anomalie-Tracking durch eine Kombination aus maschinellem Lernen, statistischer Analyse und fortschrittlicher Analytik. In der Regel legt ein UEBA-System eine „Baseline“ für das Nutzerverhalten fest und vergleicht Aktivitäten mit dieser Baseline.

UEBA versus SIEM: Worin unterscheiden sie sich?

SIEM (Security Information and Event Management, Sicherheitsinformations- und Sicherheitsereignismanagement) verwendet Dashboards, um einen ganzheitlichen Überblick über alle sicherheitsrelevanten Informationen und Ereignisse zu bieten, und löst dann bei Bedarf Warnmeldungen aus. SIEM-Plattformen sammeln und aggregieren Daten von verschiedenen Sicherheitstools und IT-Systemen und analysieren diese Daten dann.

UEBA-Systeme hingegen nutzen maschinelles Lernen, um das Nutzerverhalten zu analysieren, und können daher diese Informationen nutzen, um eine potenzielle Cyberbedrohung vorherzusagen und in Echtzeit Warnungen zu versenden. SIEM ist das ursprüngliche Verfahren, aber Unternehmen stellten bald fest, dass die Beobachtung von Bedrohungen in Echtzeit und die schnelle Reaktion darauf durch die Einbeziehung von UEBA-Strategien in SIEM wesentlich effektiver wurde. Das liegt daran, dass UEBA das Benutzerverhalten beobachtet und analysiert, während SIEM dies nicht tut.

UBA versus UEBA: Sind sie identisch?

Um den Unterschied zwischen der Benutzerverhaltensanalyse (UBA, User Behavior Analysis) und UEBA zu verstehen, muss man wissen, warum das „E“ hinzugefügt wurde und wer es hinzugefügt hat.

Das „E“ in „UEBA“ steht für „Entity“ und stammt aus einem Gartner Market Guide aus dem Jahr 2017. Das war das erste Mal, dass „UEBA“ anstelle von „UBA“ verwendet wurde. Bis dahin lag der Schwerpunkt der UBA-Technologie vor allem auf Datendiebstahl und Betrug. Unternehmen erkannten jedoch bald, dass Cyberbedrohungen nicht mehr nur von Anwendern, sondern auch von verwalteten und nicht verwalteten Endgeräten, Cloud- und mobilen Anwendungen, Netzwerken und verschiedenen externen Bedrohungen ausgingen. Gartner bezeichnete diese anderen Quellen von Cyberrisiken als „Entitäten“.

Kurz gesagt, UBA und UEBA sind nicht dasselbe, aber sie sind sehr eng miteinander verwandt. UEBA ist die modernere Version von UBA.

UEBA versus SOAR: Was ist besser?

SOAR-Tools (Security Orchestration, Automation and Response) ermöglichen es Organisationen, schneller auf Sicherheitsbedrohungen zu reagieren, indem sie Daten aus verschiedenen Systemen und Plattformen sammeln und zentralisieren. Auf diese Weise werden SOAR-Tools als eine Methode angesehen, um eine „einzige verlässliche Informationsquelle“ (SSOT) für alle Daten und Aktivitäten im Zusammenhang mit der Cybersicherheit zu schaffen. SOAR-Systeme können auch zur Automatisierung von Reaktionen auf geringfügige Sicherheitsbedrohungen eingesetzt werden.

Während SOAR den Schwerpunkt auf Automatisierung, Datenerfassung und -aggregation legt, legt UEBA den Fokus auf die Analyse des Nutzer- und Entitätsverhaltens. SOAR kann Prozesse beschleunigen, aber UEBA kann Anomalien finden, die SOAR nicht erkennen kann. Daher ist keines der Tools besser als das andere. Vielmehr ergänzen sie sich; jedes hat andere Vorteile und sie sind wohl am besten in Kombination miteinander zu verwenden.

Drei Gründe für die Verwendung von UEBA

UEBA ist ein leistungsfähiges Instrument zur Überwachung und Eingrenzung potenzieller Cyberbedrohungen. Dies sind die wichtigsten Gründe für die Verwendung von UEBA:

1. Kleinere Angriffsfläche

UEBA informiert Sicherheitsteams über Sicherheitslücken und Schwachstellen in ihren Systemen und verringert so das Potenzial für Cyberangriffe, indem es die gesamte Angriffsfläche verkleinert.

2. Bessere betriebliche Effizienz

UEBA kann den manuellen Arbeitsaufwand von Sicherheitsteams reduzieren, indem es Automatisierung und maschinelles Lernen zur Identifizierung und Bewertung von Bedrohungen einsetzt. Dadurch haben Sicherheitsexperten mehr Zeit, sich auf echte Bedrohungen zu konzentrieren, anstatt Alarmen nachzugehen.

3. Superkräfte

„Superkräfte“ ist vielleicht übertrieben ausgedrückt, aber UEBA verleiht einer Organisation bestimmte, auf die Cybersicherheit bezogene besondere Fähigkeiten, einschließlich der Fähigkeit, potenzielle Datenexfiltrationen zu erkennen, bevor sie passieren, gekaperte Konten zu identifizieren und den Missbrauch von Zugangsrechten zu verhindern.

Aus diesen Gründen ist UEBA, insbesondere in Kombination mit anderen Strategien wie SOAR, ein äußerst wirksames Mittel zur proaktiven Erkennung und Verhinderung von Cyberangriffen und zur Verringerung der Gefährdung einer Organisation durch Cyberbedrohungen.