Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Data Science: Ungewöhnliche Zugriffsmuster entlarven

Der Einsatz von Data Science kann helfen, ungewöhnliche Aktivitäten zu erkennen und dadurch Lücken in der IT-Infrastruktur zu schließen.

In Pocket speichern vorlesen Druckansicht 9 Kommentare lesen
Data Science: Ungewöhnliche Zugriffsmuster entlarven

(Bild: dpa, Andrea Warnecke)

Lesezeit: 6 Min.
Developer
Von
  • Jürgen Hoffmann
Inhaltsverzeichnis

Die meisten Unternehmen sind sich der Notwendigkeit bewusst, ihre Netzwerkinfrastruktur vor externen Bedrohungen zu schützen. Dazu setzen sie SIEM-Tools (Security Information and Event Management) und Intrusion-Detection-Systeme (IDS) ein. Bedrohungen, die von Insidern ausgehen und die sich durch "Lateral Movement"-Zugang zu sensiblen Daten verschaffen, sind damit jedoch nicht abgedeckt.

Realistisch betrachtet ist es unmöglich, feindlich gesinnte Angriffe auf die eigene IT-Infrastruktur gänzlich zu verhindern. Vor allem die eigenen Mitarbeiter sind ein Risikofaktor. Sie haben bereits Zugang zu einem Teil des Netzwerks. Selbst wenn die Identity-Rollen gut definiert und Authentifizierungsmechanismen im gesamten Unternehmen flächendeckend implementiert sind, können es Nutzer durch sogenanntes Lateral Movement schaffen in Bereiche einzudringen, für die sie eigentlich keine Berechtigung haben.

Als Lateral Movement bezeichnet man unter anderem die folgenden Verhaltensmuster: Nutzer oder potenzielle Angreifer suchen beispielsweise nach sensiblen Ressourcen oder Daten, sensible Anmeldeinformationen werden gesammelt oder es wird versucht, auf sensible Systeme mit anderen Anmeldedaten zuzugreifen (man wechselt die Identität), es werden privilegierte Gruppen erstellt oder mit Pass-the-Hash-Angriffen Identitäten gestohlen, Daten durch Exfiltration an einen externen Server umgeleitet oder ähnliches. Der Angreifer fällt den traditionellen SIEM-Werkzeugen und IDS-Systemen dabei nicht auf.

Einsatz von Advanced Analytics zum Erkennen von Lateral Movement

Insider mit Hacking-Absichten bewegen sich mit einer legitimen Zugangsberechtigung im Netzwerk. Aber sie hinterlassen dennoch Spuren, die auf ihr Vorhaben hinweisen könnten. Denn die Bewegungen unterscheiden sich von denen normaler Nutzer: ungewöhnliche Beziehungen zwischen Nutzern und kritischen Servern, Zugriffsmuster, die von Kollegen mit ähnlicher Rollendefinition abweichen und verdächtige Wege zwischen Systemen und Anwendungen. Darüber hinaus ist das der Moment, in dem Angreifer sich nicht vollständig etwa durch Verschlüsselung tarnen können, da sie von einem Knoten ausgehen.

Hier setzen Data Analytics an. Ziel ist es, Aktivitätsmuster aufzudecken, die auf Lateral Movement hindeuten, um die Übeltäter möglichst schnell zu identifizieren – und zwar durch die Analyse von Beziehungen, Clustern, Profilen und Traversalpfaden. Das kann die Arbeit der SIEM-Tools und IDS-Systemen gut ergänzen, deren Funktionen sich üblicherweise auf das Durchsuchen von Log-Dateien und die Korrelation der Daten nach definierten Regeln und die Analyse der Signaturen beschränkt. Sie werden nun ins Verhältnis mit Benutzerrechten, Rollen- und Anwenderverhalten gesetzt.

Drei typische Analyseverfahren im Überblick

Beziehungen zwischen den Nutzern und den Ressourcen, auf die sie zugreifen, lassen sich am besten in Graphen darstellen. Ressourcen werden mit einem Risiko-Score gekennzeichnet, Graphen verbinden sie mit den Nutzern. So lassen sich leicht Soll-Ist-Vergleiche ziehen, aber auch Verbindungen über mehrere Knoten aufdecken, die eigentlich nicht bestehen sollten.

Anhand von Daten über die Rechte einzelner Rollen und Identitäten sowie deren gewöhnliche Aktivitäten können Analysten Nutzer zu Gruppen mit bestimmten Eigenschaften zusammenfassen. Zum Beispiel ließe sich erwarten, dass ein Mitarbeiter der Debitorenbuchhaltung auf alle Systeme zugreifen kann, die er zur Verwaltung der Forderungen aus dem laufenden Geschäft benötigt. Es ist ungewöhnlich, wenn eben jener Mitarbeiter laufend Banküberweisungen tätigt. Mit dem Clustering kann ein Sicherheitsanalyst beurteilen, ob das Verhalten eines Nutzers signifikant von dem eines anderen Nutzers in der gleichen Rolle abweicht.

Legitime Nutzer neigen dazu, immer mit ähnlichen Routinen auf Systeme und Anwendungen zuzugreifen. Zwar ändern sich die Wege im Laufe der Zeit und es gibt immer wieder Ausnahmen, aber schon die Pfadanalyse über einen mittleren Zeitraum zeigt Inkonsistenzen in den Zugriffsmustern auf. Ergibt sich ein Verdachtsfall, hat die Pfadanalyse einen weiteren Vorteil: Sicherheitsexperten können anhand des bisher identifizierten Pfads des Angreifers und der Risikoeinstufung der Netzwerkbereiche vorhersagen, welchen Weg der Angreifer als nächstes einschlagen wird.

Einsatz in der Praxis

Ein einfaches Beispiel verdeutlicht was Datenanalyse zutage bringen kann. Im konkreten Fall beauftragte ein Unternehmen die Data Scientists von Pivotal mit der Analyse von zwei Milliarden Active-Directory-Zeilen über sechs Monate hinweg für mehr als 200.000 Nutzer mit mehr als 300.000 Geräten. Jeder Nutzer erhielt schließlich ein Profil: Das Analytics-System analysierte das Verhalten jedes Nutzers über die Zeitspanne hinweg und verglich es mit dem Verhalten anderer Nutzer mit ähnlichem Arbeitsbereich.

Abbildung 1 stellt ein typisches Zugriffsmuster für eine bestimmte Gruppe an Nutzern dar. Die X-Achse gibt eine Zeitspanne an, die Y-Achse die Ressourcen, auf die zugegriffen wurde. Die Zugriffsintensität veranschaulichen die Farben – je heller, umso häufiger wurde zugegriffen.

Typisches Zugriffsmuster für eine Benutzergruppe (Abb.1) (Quelle: Pivotal)


Dass der Nutzer sich nicht normal im Sinne seiner Zugriffsberechtigungen verhält (Abb. 2), wird auf den ersten Blick klar. Wenn für seine Gruppe eher Abbildung 1 ein typisches Verhalten zeigt, lohnt es sich, genauer hinzusehen.

Stark abweichendes Zugriffsmuster, das auf ungewöhnliche Aktivitäten hinweist (Abb.2) (Quelle: Pivotal)


Es liegt in der Natur der Datenauswertung: Nur wenn die Datenmenge eine gewisse repräsentative Größe erreicht und gleichzeitig die Auswertungsergebnisse extrem zeitnah vorliegen, sind die Analysen praktisch sinnvoll.

Es ist aufwendig und erfordert ein Advanced-Analytics-System, das in der Lage ist, eben solche Korrelationen herzustellen. Dazu gehören Analytic Data Warehouses, die datenbankinterne datenwissenschaftliche Funktionen und die schnelles massiv paralleles Processing (MPP) unterstützen. MPP funktioniert typischerweise parallel über alle Knoten eines Clusters hinweg und erreicht so hohe Verarbeitungsgeschwindigkeiten.

Sinnvoll ist es zudem, die eigenen Protokolldaten mit anderen strukturierten und unstrukturierten Daten wie Texten, Geodaten oder Diagrammen zu ergänzen. Der Aufwand lohnt sich: Denn wenn Angriffe oder zumindest gezielt unberechtigte Zugriffe schon nicht vermeidbar sind, dann kann die Analyse von Lateral Movements doch helfen, den Verursacher schneller zu identifizieren.

Jürgen Hoffmann
ist Senior Manager für Platform Architecture bei Pivotal. (bbo)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten