HP ArcSight User Analytics verhindert Insider-Angriffe

    Die RSA-Konferenz gilt als "Mekka" der IT-Security-Fachleute. Auf der diesjährigen Veranstaltung Ende April hat HP mehrere neue Sicherheitslösungen vorgestellt. Eine davon, HP ArcSight User Behavior Analytics, zielt auf ein ganz besonderes Problem ab: Datendiebstähle und Cyber-Angriffe durch illoyale eigene Mitarbeiter oder von Dienstleistern, etwa Administratoren von Service-Providern.

    HP ArcSight UBA - DashboardSolche Insider-Angriffe treten relativ häufig auf. Nach einer Studie des deutschen Digitalverbands Bitkom sind in 52 Prozent der Fälle eigene Mitarbeiter für digitale Angriffe verantwortlich, also Datendiebstähle und Spionageaktionen. Den Schaden für die deutsche Wirtschaft taxiert der Verband auf rund 51 Milliarden Euro pro Jahr.

    Nutzeraktivitäten in Echtzeit ermitteln

    ArcSight User Behavior Analytics (UBA) analysiert die Aktivitäten von IT-Usern, und zwar internen als auch externen Nutzern. Das Tool ist eine Erweiterung von ArcSight, HPs Software für Security Information and Event Management (SIEM). Die Technologie von UBA stammt von der US-Firma Securonix aus Los Angeles. Diese hat sich unter anderem auf den Bereich "Insider Threat Management" spezialisiert.

    Nach Angaben von HP prüft ArcSight UBA, ob sich IT-User "normal" verhalten. Als Grundlage dienen Nutzerkonten, die Rollen und Berechtigungen, die Usern zugewiesen wurden, sowie das Standard-Verhalten der Nutzer. Die Auswertungen des Nutzerverhaltens erfolgt in Kombination mit der Analyse von SIEM-Daten. Treten ungewöhnliche Aktivitäten auf, wird UBA aktiv und informiert die Administratoren oder IT-Sicherheitsfachleute.

    Laut dem Datenblatt von Securonix zu seiner Insider-Threat-Management-Software werden standardmäßig Anwendungs-Log-Dateien, Berechtigungen sowie Informationen der Personalabteilung und Daten aus dem Bereich Identity-Management als Basis für die Auswertungen herangezogen. Optional können auch Log-Files von Proxies und Data-Leak-Prevention-Systemen (DLP) verwendet werden.

    Alternativen

    Ein Vorteil von ArcSight UBA ist die Integration in die ArcSight-Suite von HP. Allerdings gibt es auch eine Reihe von separaten Lösungen, mit denen sich ungewöhnliche oder gefährliche Aktivitäten von Nutzern ermitteln und unterbinden lassen.

    Dazu zwei Beispiele:

    Sowohl die SCB als auch die Lösung von CyberArk sind ebenfalls dafür ausgelegt, potenziell gefährliche Aktivitäten von Usern zu erkennen und zu unterbinden. Das gilt vor allem für IT-Nutzer mit erweiterten Rechten (Super-User, Administratoren, Mitarbeitern Service-Providern). Denn gerade diese haben die Möglichkeit, ihren Status auszunutzen und Geschäftsinformationen zu entwenden oder nicht autorisierte Zugriffsmöglichkeiten einzurichten.

    Blindspotter von BalaBit sammelt nach Angaben des Unternehmens Daten aus unterschiedlichen Quellen, etwa Informationen von SIEM- und Zugangskontrollsystemen, Log-Files sowie kontextbezogene Daten. Daraus lässt sich ein Bild der Standardaktivitäten von Nutzern zeichnen. Die Lösung arbeitet eng mit der Shell Control Box und dem Log-Management-System syslog-ng von BalaBit zusammen.

    CyberArk mit modularem Ansatz

    CyberArks Lösung setzt sich auf sechs Software-Paketen zusammen, von einem Privileged Session Manager über eine Passwort-Verwaltung bis hin zu einem Monitoring der Befehlen, die Nutzer mit erweiterten Zugriffsrechten eingeben. Alle Module lassen sich gemeinsam oder separat implementieren und verwalten.

    Implementieren lässt sich das Privileged-Account-Security-Paket im hauseigenen Rechenzentrum, in Hybrid-Cloud-Umgebungen sowie in Steuerungs- und IT-Systemen von "kritischen Infrastrukturen" wie Kraftwerken und Industrieumgebungen.

    Keine Kommentare