Exabeam
Komplexe Angriffsvektoren sichtbar machen

Schon heute wissen, wie sich der User morgen verhält

SIEM-Lösungen finden nur Bedrohungen, nach denen man durch ein statistisches oder regelbasiertes Modell aktiv sucht. Doch regeln alleine reichen heute nicht. Hat ein Angreifer erst einmal den Zugriff erlangt, ist es sehr schwierig, seine Aktivitäten von „normalen“ Nutzern zu unterscheiden. Genau hier setzt Exabeam mit seiner als User Behavior Analytics Lösung (UBA) an.

Um sich in Echtzeit gegen die steigende Anzahl von Cyber Security Angriffen zur Wehr setzen immer mehr Unternehmen auf den Einsatz eines SIEM-Systems. Dabei werden unzählige die Log-Daten gesammelt, aufbereitet um anschliessend von Sicherheitsspezialisten ausgewertet zu werden. Man versucht also im Zeitalter von hochdynamischen IT-Umgebungen, mit Hybrid- und Multicloud, BYOD, Mobile Computing, Virtualisierung etc., weiterhin Angriffe mit statischen Regeln zu erkennen. Zudem entwickeln auch Hacker immer neue komplexe Methoden, die sich täglich jeweiligen Gegebenheiten anpassen. 
Hat ein Angreifer erst einmal den Zugriff auf unternehmensinterne Ressourcen erlangt, ist es sehr schwierig, seine Aktivitäten von „normalen“ Nutzern zu unterscheiden, besonders wenn es sich dabei um einen böswilligen Insider handelt, der von vornherein über die entsprechenden UserIDs/Passwörter verfügt. Um also normale User-Aktivitäten von unerwünschten Aktivitäten unterscheiden zu können braucht es intelligente Lösungen.


Regeln alleine reichen nicht
Die User Behavior Analytics (oder kurz UBA) bietet bei der Analyse der Loginformationen einen neuartigen Ansatz. Die Security Management Platform von Exabeam untersucht die bestehenden Protokolldaten und das Nutzerverhalten von Anwendern und erkennt und erstellt, mittels sehr komplexer Algorithmen, automatisiert Muster in Nutzerdaten und -verhalten. Schon nach einer kurzen Lernphase wird auffälliges Nutzerverhalten in der zeitlichen Abfolge der Ereignisse und in verständlicher Form dargestellt. 
Die Exabeam-Lösung setzt dabei auf bereits vorhandene Log-Daten von SIEM Systemen oder Log Analysesystemen wie Splunk, QRadar, Arcsight, etc). Das SIEM-System dient dabei weiterhin als Compliance Tool mit statischen Regeln um z.B. zu erkennen ob der User X auf die Applikation Y zugegriffen hat. Für die Angriffserkennung setzt Exabeam auf Machine Learning Algorithmen und Data Science Methoden, um Anomalien von Benutzern und Endpunkten zu erfassen und automatisch anzuzeigen. Aus den Logdaten werden automatisch systemübergreifende User Sessions erstellt, um das Nutzerverhalten zu analysieren. Verdächtiges und abnormales Verhalten wird durch den Abgleich mit historischen Daten direkt identifiziert – das System lernt somit, was normales Userverhalten ist und kann dadurch schnell Vorgänge erkennen, die aus dem Rahmen allen, weil sie aus dem „Grundrauschen“ hervorstechen. Mittels einen Session Score wird ermittelt, wie normal eine Aktivität ist. Versucht ein Hacker, sich eines Accounts zu bedienen und Daten zu entwenden oder zu manipulieren verhält er sich anders als der richtige Benutzer, selbst wenn der Angreifer den Benutzer wechselt (Account Switch). Die übersichtliche Benutzeroberfläche mit einer komplette „Session Timeline“ pro Benutzer helfen einen Angriff schnell zu erkennen und schnell nachzuverfolgen. 

» Weitere Informationen zu Exabeam 

Mehr zu dieser Partnerschaft und den Produkten erfahren?

Nehmen Sie jetzt mit mir Kontakt auf und vereinbaren ein unverbindliches Beratungsgespräch.

Matthias von Arx

Chief Commercial Officer

Kontakt