Thought Leadership
Google kann unser Alter, Geschlecht und unsere Interessen basierend auf unserem Suchverlauf vorhersagen. Ähnlich empfiehlt Amazon Produkte, die auf unseren Kaufgewohnheiten und Nutzerdaten basieren. Eine Studie von Forcepoint und der University of Texas zeigt nun: Auch in der IT-Security ist es möglich mit Data-at-Rest Vorhersagen zu treffen.
Forcepoint und Forschern der University of Texas in San Antonio (UTSA) ist es gelungen durch die Analyse von Data-at-Rest Benutzer zu identifizieren, die voraussichtlich Opfer eines Cyberangriffs oder selbst Daten stehlen werden. Data-at-Rest sind die Daten, die sich auf Festplatten, USBs, Laptops oder freigegebenen Laufwerken befinden. Sie werden nur selten zwischen Geräten oder Netzwerken ausgetauscht und auch nicht regelmäßig abgerufen oder verändert. Zudem enthalten Data-at-Rest oft Informationen von höherer Brisanz, wie zum Beispiel die Sozialversicherungsnummer der Mitarbeiter, Informationen zu Bankkonten, Kundenverträge oder geistiges Eigentum.
Für die Untersuchungen stellte Forcepoint der UTSA unterschiedliche Datensätze zur Verfügung. Zum einen ein Nutzer-Backup-Archiv. Der zweite anonymisierte Datensatz stammt von den Festplatten der Nutzer in mehreren Unternehmensabteilungen – also eine Live-Version des Ersten. Um den Machine-Learning-Algorithmus richtig zu testen, baute Forcepoint ohne Wissen der Forscher auffälliges Nutzerverhalten in die Datensätze ein. Dem Algorithmus gelang es, jede dieser Auffälligkeiten frühzeitig zu erkennen. Dies zeigt, wie wichtig die Untersuchung von Data-at-Rest ist, um künftig möglichen Attacken zuvorzukommen.
Jeder Mitarbeiter stellt einen anderen Risikofaktor dar
Im Detail gliedert sich die Studie von Forcepoint und der UTSA in zwei Teile: Zunächst entwickelten die Forscher mit Hilfe der Graphenanalyse einen ersten Algorithmus. Durch diesen lässt sich das Nutzerverhalten im Umgang mit Daten nachvollziehen und in Verhältnis setzen. Dabei berücksichtigt die Analyse als Variable den Nutzer, das Dokument, eventuelle Tags und Datenschutzverletzungen. Aus Data-at-Rest konnten Unterschiede zwischen Nutzern und Abteilungen nachgewiesen werden. So befand sich bei Mitarbeitern in der Personalabteilung ein hoher Anteil an wertvollen Textdokumenten, während Mitarbeiter in der Entwicklung meist nur technische Zeichnungen oder Code abliegen hatten. Der Mitarbeiter in der Personalabteilung ist also ein viel wahrscheinlicheres Ziel für Ransomware und muss besonders geschützt werden.
Um einen Algorithmus zur Risikobewertung zu validieren, nutzten die Forscher in der zweiten Phase das Random Forest Model. Dieses Klassifikationsverfahren ermöglicht es Anomalien zu erkennen und zu bewerten. So können auffällige Nutzer gemeldet und ihnen ein Risikowert zugeordnet werden. Hierzu bewertet der Algorithmus zunächst mögliche Ereignisse und setzt diese in Relation zueinander. Ein sich automatisch anpassender Prozess wählt aus den Ereignissen die Relevanten aus. Die letztendliche Risikobewertung beruht auf der Kreuzvalidierung der zuvor als relevant klassifizierten Ereignisse. So kann der Data-at-Rest Risikowert als frühere Methode zur Erkennung für Insiderbedrohungen verwendet werden, wenn das nächste Signal eine ungewöhnliche Menge an Datenbewegungen ist. Dasselbe gilt, wenn Mitarbeiter plötzlich auf Dateien zugreifen, die für ihre Arbeit eigentlich irrelevant sind. Dies sind deutliche Anzeichen für einen Angriff oder einen kompromittierten Mitarbeiter.
Data-at-Rest verbessern Insider-Threat-Lösungen
Die Forschungsergebnisse zeigen, dass die Analyse von Data-at-Rest helfen kann, gefährdete Benutzer oder bewusst schädliches Nutzerverhalten zu identifizieren. Darüber hinaus macht die Analyse der Verhaltensdaten Anomalien im Umgang mit Data-at-Rest sichtbar und steigert das Bewusstsein für den sicheren und sensiblen Umgang mit geistigem Eigentum bei den Nutzern selbst.
Audra Simons, Leiterin der Forcepoint Innovation Labs, zeigt sich begeistert: „Die Ergebnisse der Studie sind vielversprechend hinsichtlich der Verwendung von Data-at-Rest zum Aufspüren von Risiken. So können wir nicht nur Unternehmen, sondern auch einzelne Mitarbeiter vor unangenehmen Folgen einer Cyberattacke bewahren.“
Weitere Informationen:
Die vollständige Studie finden Sie hier.
www.forcepoint.com
