Data Science: Ungewöhnliche Zugriffsmuster entlarven
Seite 2: Drei typische Analyseverfahren im Überblick
Graphenanalytik
Beziehungen zwischen den Nutzern und den Ressourcen, auf die sie zugreifen, lassen sich am besten in Graphen darstellen. Ressourcen werden mit einem Risiko-Score gekennzeichnet, Graphen verbinden sie mit den Nutzern. So lassen sich leicht Soll-Ist-Vergleiche ziehen, aber auch Verbindungen über mehrere Knoten aufdecken, die eigentlich nicht bestehen sollten.
Clustering
Anhand von Daten über die Rechte einzelner Rollen und Identitäten sowie deren gewöhnliche Aktivitäten können Analysten Nutzer zu Gruppen mit bestimmten Eigenschaften zusammenfassen. Zum Beispiel ließe sich erwarten, dass ein Mitarbeiter der Debitorenbuchhaltung auf alle Systeme zugreifen kann, die er zur Verwaltung der Forderungen aus dem laufenden Geschäft benötigt. Es ist ungewöhnlich, wenn eben jener Mitarbeiter laufend Banküberweisungen tätigt. Mit dem Clustering kann ein Sicherheitsanalyst beurteilen, ob das Verhalten eines Nutzers signifikant von dem eines anderen Nutzers in der gleichen Rolle abweicht.
Pfadanalyse
Legitime Nutzer neigen dazu, immer mit ähnlichen Routinen auf Systeme und Anwendungen zuzugreifen. Zwar ändern sich die Wege im Laufe der Zeit und es gibt immer wieder Ausnahmen, aber schon die Pfadanalyse über einen mittleren Zeitraum zeigt Inkonsistenzen in den Zugriffsmustern auf. Ergibt sich ein Verdachtsfall, hat die Pfadanalyse einen weiteren Vorteil: Sicherheitsexperten können anhand des bisher identifizierten Pfads des Angreifers und der Risikoeinstufung der Netzwerkbereiche vorhersagen, welchen Weg der Angreifer als nächstes einschlagen wird.
Einsatz in der Praxis
Ein einfaches Beispiel verdeutlicht was Datenanalyse zutage bringen kann. Im konkreten Fall beauftragte ein Unternehmen die Data Scientists von Pivotal mit der Analyse von zwei Milliarden Active-Directory-Zeilen über sechs Monate hinweg für mehr als 200.000 Nutzer mit mehr als 300.000 Geräten. Jeder Nutzer erhielt schließlich ein Profil: Das Analytics-System analysierte das Verhalten jedes Nutzers über die Zeitspanne hinweg und verglich es mit dem Verhalten anderer Nutzer mit ähnlichem Arbeitsbereich.
Abbildung 1 stellt ein typisches Zugriffsmuster für eine bestimmte Gruppe an Nutzern dar. Die X-Achse gibt eine Zeitspanne an, die Y-Achse die Ressourcen, auf die zugegriffen wurde. Die Zugriffsintensität veranschaulichen die Farben – je heller, umso häufiger wurde zugegriffen.
Dass der Nutzer sich nicht normal im Sinne seiner Zugriffsberechtigungen verhält (Abb. 2), wird auf den ersten Blick klar. Wenn für seine Gruppe eher Abbildung 1 ein typisches Verhalten zeigt, lohnt es sich, genauer hinzusehen.
