Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Erstaunliche Security-Erkenntnisse aus Analyse von ruhenden Daten

Forcepoint ist es gelungen, durch die Analyse von Data-at-Rest Benutzer zu identifizieren, die voraussichtlich Opfer eines Cyberangriffs oder selbst Daten stehlen werden. Data-at-Rest sind die Daten, die sich auf Festplatten, USBs, Laptops oder freigegebenen Laufwerken befinden.


Ruhende Daten werden nur selten zwischen Geräten oder Netzwerken ausgetauscht und auch nicht regelmäßig abgerufen oder verändert. Zudem enthalten solche Data-at-Rest oft Informationen von höherer Brisanz, wie zum Beispiel die Sozialversicherungsnummer der Mitarbeiter, Informationen zu Bankkonten, Kundenverträge oder geistiges Eigentum.

Für die Untersuchungen stellte Forcepoint der UTSA (University of Texas at San Antonio) unterschiedliche Datensätze zur Verfügung. Zum einen ein Nutzer-Backup-Archiv. Der zweite anonymisierte Datensatz stammt von den Festplatten der Nutzer in mehreren Unternehmensabteilungen – also eine Live-Version des Ersten. Um den Machine-Learning-Algorithmus richtig zu testen, baute Forcepoint ohne Wissen der Forscher auffälliges Nutzerverhalten in die Datensätze ein. Dem Algorithmus gelang es, jede dieser Auffälligkeiten frühzeitig zu erkennen. Dies zeigt, wie wichtig die Untersuchung von Data-at-Rest ist, um künftig möglichen Attacken zuvorzukommen.

Jeder Mitarbeiter stellt einen anderen Risikofaktor da

Im Detail gliedert sich die Studie von Forcepoint und der UTSA in zwei Teile: Zunächst entwickelten die Forscher mit Hilfe der Graphenanalyse einen ersten Algorithmus. Durch diesen lässt sich das Nutzerverhalten im Umgang mit Daten nachvollziehen und in Verhältnis setzen. Dabei berücksichtigt die Analyse als Variable den Nutzer, das Dokument, eventuelle Tags und Datenschutzverletzungen. Aus Data-at-Rest konnten Unterschiede zwischen Nutzern und Abteilungen nachgewiesen werden. So befand sich bei Mitarbeitern in der Personalabteilung ein hoher Anteil an wertvollen Textdokumenten, während Mitarbeiter in der Entwicklung meist nur technische Zeichnungen oder Code abliegen hatten. Der Mitarbeiter in der Personalabteilung ist also ein viel wahrscheinlicheres Ziel für Ransomware und muss besonders geschützt werden.

Um einen Algorithmus zur Risikobewertung zu validieren, nutzten die Forscher in der zweiten Phase das Random Forest Model. Dieses Klassifikationsverfahren ermöglicht es Anomalien zu erkennen und zu bewerten. So können auffällige Nutzer gemeldet und ihnen ein Risikowert zugeordnet werden. Hierzu bewertet der Algorithmus zunächst mögliche Ereignisse und setzt diese in Relation zueinander. Ein sich automatisch anpassender Prozess wählt aus den Ereignissen die Relevanten aus. Die letztendliche Risikobewertung beruht auf der Kreuzvalidierung der zuvor als relevant klassifizierten Ereignisse. So kann der Data-at-Rest Risikowert als frühere Methode zur Erkennung für Insiderbedrohungen verwendet werden, wenn das nächste Signal eine ungewöhnliche Menge an Datenbewegungen ist. Dasselbe gilt, wenn Mitarbeiter plötzlich auf Dateien zugreifen, die für ihre Arbeit eigentlich irrelevant sind. Dies sind deutliche Anzeichen für einen Angriff oder einen kompromittierten Mitarbeiter.

Data-at-Rest verbessern Insider-Threat-Lösungen

Die Forschungsergebnisse zeigen, dass die Analyse von Data-at-Rest helfen kann, gefährdete Benutzer oder bewusst schädliches Nutzerverhalten zu identifizieren. Darüber hinaus macht die Analyse der Verhaltensdaten Anomalien im Umgang mit Data-at-Rest sichtbar und steigert das Bewusstsein für den sicheren und sensiblen Umgang mit geistigem Eigentum bei den Nutzern selbst.

Foto: Pixabay

 

Passende Artikel
Zeitschrift IT-SICHERHEIT
98,00 €

Preis für Jahresabonnement Inland