Exabeam: Mehr Sicherheit durch KI-basierte Datenanalyse

In puncto Cybersicherheit können die »Geschütze« gar nicht groß genug sein, die Unternehmen zur Abwehr auffahren sollten. Da Cyberkriminelle bestens ausgerüstet sind, müssen Verteidigungsmaßnahmen proaktiv und automatisch funktionieren und mit Analysefunktionen dazulernen. Wir sprachen mit Egon Kando, Regional Sales Director Central & Eastern Europe bei Exabeam, wie Unternehmen Risiken begegnen können und wie dabei eine SIEM-Platform (Security-Information- und Event-Management) helfen kann.

  Hacker nutzen zunehmend unauffällige Methoden, um in Netzwerke einzudringen. Wie können Unternehmen dem begegnen?

Egon Kando, ExabeamKando: Nachweislich sind fast alle externen Angriffe so konzipiert, dass sie im ersten Schritt Login-Daten von internen Mitarbeitern stehlen. Mit einer geklauten Identität können die Hacker dann unbemerkt auf das interne Netz und auf sensitive Daten zuzugreifen. Unternehmen können sich hier nur mit Sicherheitslösungen schützen, die Mitarbeiter sowohl vor dem Diebstahl ihrer Online-Identität schützen als auch Abweichungen von normalem Verhalten der Nutzer aufdecken können.

  Exabeam bietet eine sogenannte NextGen SIEM-Plattform an. Wie genau hilft die SIEM-Technologie Unternehmen dabei, Unternehmensdaten zu schützen?

Kando: Eine moderne SIEM-Plattform unterscheidet sich auf mehreren Ebenen maßgeblich von traditionellen SIEM-Lösungen. So ist unsere Lösung (Security Intelligence Platform) ganzheitlich aufgebaut und zeichnen sich unter anderem dadurch aus, dass sie ein Unternehmen vom Anfang bis zum Ende des Security-Prozesses begleitet und dabei den Großteil der Aufgaben automatisch erledigt. Das steigert schon mal die Effizienz enorm. In Bezug auf das Volumen der zu speichernden Logs, das ja exponentiell steigt, bieten wir außerdem ein Lizenzmodell mit einer Flatrate um die Kosten beim zentralen Speichern aller Logs gering und kalkulierbar zu halten.

Und um zeitaufwändige manuelle Prozesse und statische Regeln zu ersetzen, setzt unsere Lösung auf maschinelles Lernen mit Advanced-Analytics. Die Lösung kann so Abweichungen oder riskante Aktivitäten im Gesamtkontext darstellen und beschleunigt dadurch Investigationen von Stunden oder Tagen hin zu Sekunden. Das aktive Eingreifen wird dann von unserem Incident-Responder übernommen – Eingreifen wird also auf ein absolutes Minimum reduziert.

  Exabeam hat sich auf die Fahnen geschrieben den Markt mit einer Nextgen-Lösung aufrollen zu wollen. Was will ihre Plattform im Gegensatz zu anderen auf dem Markt erhältlichen besser machen?

Kando: Exabeam ist erst wenige Jahre alt und unser Produkt wurde im Zeitalter von Big-Data, Data-Science und Maschinellem Lernen entwickelt. Die klassischen SIEM-Lösungen stammen noch aus einem Zeitalter, als es diese Technologien noch nicht gab. Folglich gibt die grundlegende Architektur der traditionellen SIEM-Lösungen, die auf statischen Regeln basiert, die Einbindung dieser Technologien nicht her. Unsere Plattform automatisiert den bisher zeitaufwändigen forensischen Prozess inklusive der notwendigen Aktionen zur Eindämmung eines Vorfalls. Keine andere Lösung auf dem Markt kann dies in diesem Umfang leisten.

  Künstliche Intelligenz oder maschinelles Lernen kommen ja tatsächlich immer häufiger und bei vielen Anwendungsgebieten vor. Wie können wir uns das hier vorstellen?

Kando: Unsere Analytics-Engine, die auf Algorithmen des maschinellen Lernens aufbaut, bietet den notwendigen Kontext, um festzustellen, ob eine fragwürdige Aktion im Netzwerk normal ist oder nicht. Lösungen ohne diese eingebaute Intelligenz sind nicht imstande diesen Kontext zu liefern und führen deswegen ungenaue Ergebnisse die in Fehlalarmen und unerkannten Bedrohungen resultieren.

  Können Sie uns ein praktisches Beispiel nennen?

Kando: Nehmen wir eine klassische Regel bei bisherigen Lösungen: »System, alarmiere uns, wenn sich jemand über VPN aus einem von fünf osteuropäischen Ländern ins Netzwerk einwählt und auf einen bestimmten Server zugreift.« Diese statische Regel wird immer einen Alert generieren, wenn diese drei Bedingungen zutreffen. Es wird aber Ausnahmen geben, wo solche Zugriffe legitim sind, weil zum Beispiel eine Geschäftsreise das erfordert. Dies führt zu einem »False Positive«, also einem Fehlalarm für eine legitime Aktion. Solche Fehlalarme verschiedener statischer Regeln summieren sich auf und beschäftigen das Sicherheitsteam mit einem Berg unnötiger Recherche.

Unser Ansatz mit maschinellem Lernen kann in diesem Beispiel den fehlenden Kontext für das richtige Verständnis liefern. Der Mitarbeiter greift zwar über VPN aus einem der fünf Länder auf den Server zu, er benutzt jedoch den Rechner, den er immer benutzt, und der Zugriff ist an sich normal, da das zu seinem Aufgabengebiet gehört. Das Verhalten passt also genau zu den erlernten normalen Aktivitäten dieses Mitarbeiters. Also keine Bedrohung, kein Alarm. Würde von einem neuen Gerät auf den Server zugegriffen oder hunderte von Dateien anstatt der üblichen fünf aufgerufen, würde die Summe dieser Risikopunkte hingegen wieder einen Alarm auslösen. Wie gesagt, auf den Kontext und dem Verständnis des normalen Verhaltens kommt es an.

  Nicht nur Nutzer sind mittlerweile sehr mobil, sondern auch Daten sind überall zu finden, vor allem auch in der Cloud. Wie deckt ihre Lösung dies ab?

Kando: Da unsere Lösung alle Logs in einem zentralen Data-Lake sammelt, egal ob sie aus einem internen Netzwerk, von internen Servern oder Applikationen, oder aus der Cloud kommen, macht unsere Technologie nicht an der Grenze des eignen Netzwerkes Halt. Exabeam kann mit eigenen Cloud-Connectors-Logs von Cloud-Instanzen und Applikationen einsammeln, oder auch mit Logs von bestehenden CASB-Lösungen arbeiten. Die Analyse und Bewertung erfolgen identisch wie im internen Netzwerk.

  Welche Trends sehen sie derzeit im Markt für Sicherheitslösungen und wozu raten Sie Unternehmen?

Kando: Der Trend geht eindeutig zu immer ausgeklügelteren und komplexeren Angriffen und entsprechend werden auch die Lösungen zur Abwehr immer komplexer. Entgegen dieses Trends müssen Lösungen für Sicherheitsteams aber intuitiv bedienbar bleiben, ohne für jede einzelne Lösung eine intensive Schulung absolvieren zu müssen.

Bei der Auswahl ihrer Lösungen zur Abwehr von Cyberangriffen sollten sich Unternehmen bewusst sein, dass hinter jedem Angriff ein Benutzer steht. Abweichungen vom normalen Verhalten sind das erste Anzeichen eines komplexen Angriffs. Eine zukunftsorientierte Lösung sollte Verhalten analysieren, das Normale verstehen um Anomalien richtig interpretieren zu können. Und im Falle eines Identitätsdiebstahls sollte Sie auch den Nachweis erbringen können der den eignen Mitarbeiter vom Verdacht entlässt.