Anzeige

Insider-Threat

Google kann unser Alter, Geschlecht und unsere Interessen basierend auf unserem Suchverlauf vorhersagen. Ähnlich empfiehlt Amazon Produkte, die auf unseren Kaufgewohnheiten und Nutzerdaten basieren. Eine Studie von Forcepoint und der University of Texas zeigt nun: Auch in der IT-Security ist es möglich mit Data-at-Rest Vorhersagen zu treffen. 

Forcepoint und Forschern der University of Texas in San Antonio (UTSA) ist es gelungen durch die Analyse von Data-at-Rest Benutzer zu identifizieren, die voraussichtlich Opfer eines Cyberangriffs oder selbst Daten stehlen werden. Data-at-Rest sind die Daten, die sich auf Festplatten, USBs, Laptops oder freigegebenen Laufwerken befinden. Sie werden nur selten zwischen Geräten oder Netzwerken ausgetauscht und auch nicht regelmäßig abgerufen oder verändert. Zudem enthalten Data-at-Rest oft Informationen von höherer Brisanz, wie zum Beispiel die Sozialversicherungsnummer der Mitarbeiter, Informationen zu Bankkonten, Kundenverträge oder geistiges Eigentum.

Für die Untersuchungen stellte Forcepoint der UTSA unterschiedliche Datensätze zur Verfügung. Zum einen ein Nutzer-Backup-Archiv. Der zweite anonymisierte Datensatz stammt von den Festplatten der Nutzer in mehreren Unternehmensabteilungen – also eine Live-Version des Ersten. Um den Machine-Learning-Algorithmus richtig zu testen, baute Forcepoint ohne Wissen der Forscher auffälliges Nutzerverhalten in die Datensätze ein. Dem Algorithmus gelang es, jede dieser Auffälligkeiten frühzeitig zu erkennen. Dies zeigt, wie wichtig die Untersuchung von Data-at-Rest ist, um künftig möglichen Attacken zuvorzukommen.

Jeder Mitarbeiter stellt einen anderen Risikofaktor dar

Im Detail gliedert sich die Studie von Forcepoint und der UTSA in zwei Teile: Zunächst entwickelten die Forscher mit Hilfe der Graphenanalyse einen ersten Algorithmus. Durch diesen lässt sich das Nutzerverhalten im Umgang mit Daten nachvollziehen und in Verhältnis setzen. Dabei berücksichtigt die Analyse als Variable den Nutzer, das Dokument, eventuelle Tags und Datenschutzverletzungen. Aus Data-at-Rest konnten Unterschiede zwischen Nutzern und Abteilungen nachgewiesen werden. So befand sich bei Mitarbeitern in der Personalabteilung ein hoher Anteil an wertvollen Textdokumenten, während Mitarbeiter in der Entwicklung meist nur technische Zeichnungen oder Code abliegen hatten. Der Mitarbeiter in der Personalabteilung ist also ein viel wahrscheinlicheres Ziel für Ransomware und muss besonders geschützt werden.

Um einen Algorithmus zur Risikobewertung zu validieren, nutzten die Forscher in der zweiten Phase das Random Forest Model. Dieses Klassifikationsverfahren ermöglicht es Anomalien zu erkennen und zu bewerten. So können auffällige Nutzer gemeldet und ihnen ein Risikowert zugeordnet werden. Hierzu bewertet der Algorithmus zunächst mögliche Ereignisse und setzt diese in Relation zueinander. Ein sich automatisch anpassender Prozess wählt aus den Ereignissen die Relevanten aus. Die letztendliche Risikobewertung beruht auf der Kreuzvalidierung der zuvor als relevant klassifizierten Ereignisse. So kann der Data-at-Rest Risikowert als frühere Methode zur Erkennung für Insiderbedrohungen verwendet werden, wenn das nächste Signal eine ungewöhnliche Menge an Datenbewegungen ist. Dasselbe gilt, wenn Mitarbeiter plötzlich auf Dateien zugreifen, die für ihre Arbeit eigentlich irrelevant sind. Dies sind deutliche Anzeichen für einen Angriff oder einen kompromittierten Mitarbeiter.

Data-at-Rest verbessern Insider-Threat-Lösungen

Die Forschungsergebnisse zeigen, dass die Analyse von Data-at-Rest helfen kann, gefährdete Benutzer oder bewusst schädliches Nutzerverhalten zu identifizieren. Darüber hinaus macht die Analyse der Verhaltensdaten Anomalien im Umgang mit Data-at-Rest sichtbar und steigert das Bewusstsein für den sicheren und sensiblen Umgang mit geistigem Eigentum bei den Nutzern selbst.

Audra Simons, Leiterin der Forcepoint Innovation Labs, zeigt sich begeistert: „Die Ergebnisse der Studie sind vielversprechend hinsichtlich der Verwendung von Data-at-Rest zum Aufspüren von Risiken. So können wir nicht nur Unternehmen, sondern auch einzelne Mitarbeiter vor unangenehmen Folgen einer Cyberattacke bewahren.“

Weitere Informationen:

Die vollständige Studie finden Sie hier.

www.forcepoint.com
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

DDoS

DDoS-Attacken in Q4 2019 gegenüber Vorjahr fast verdoppelt

Die Anzahl der durch Kaspersky DDoS Protection blockierten Angriffe im vierten Quartal 2018 macht nur 56 Prozent der im selben Quartal 2019 entdeckten und blockierten Angriffe aus. Mehr als ein Viertel (27,65 Prozent) der Attacken fand dabei am Wochenende…
Offenes Schloss

IT-Schwachstellen nehmen weiter zu und es ist keine Lösung in Sicht

Um kontinuierlich neue Sicherheitslücken ausfindig zu machen, verwenden Sicherheitsunternehmen häufig interne Softwarelösungen, die Informationen aus verschiedenen Datenquellen wie Schwachstellendatenbanken, Newslettern, Foren, sozialen Medien und mehr…
Apps Digital

Apps treiben digitalen Wandel in Europa voran

Gemäß der sechsten Ausgabe des „State of Application Services“ (SOAS) Reports haben 91 Prozent der befragten Unternehmen der EMEA-Region explizite Pläne für die digitale Transformation in Arbeit. Im Vergleich dazu sind es 84 Prozent in den USA und 82 Prozent…
DDoS

DDoS-Report: Steigende Komplexität und Volumen der Attacken

Der Anteil komplexer Multivektor-Attacken ist auf 65 % gestiegen, der größte abgewehrte Angriff erreichte ein Maximum von 724 Gbps, so der Bericht der IT-Sicherheitsexperten.
Businessman Kämpfer

Was ist der beste Schutz vor Sabotage, Diebstahl oder Spionage?

Die deutsche Wirtschaft ist sich einig: Wenn es künftig um den Schutz vor Sabotage, Datendiebstahl oder Spionage geht, braucht es vor allem qualifizierte IT-Sicherheitsspezialisten. Praktisch alle Unternehmen (99 Prozent) sehen dies als geeignete…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!