In den vorangegangenen Beiträgen haben wir die Insider-Bedrohung aus verschiedenen Blickwinkeln beleuchtet und gesehen, dass bei der Prävention von Insider-Bedrohungen die Abteilungen für Informationssicherheit, Recht und Personal (HR) eines Unternehmens beteiligt sind. In diesem Beitrag wollen wir untersuchen, was Informationssicherheitsabteilungen tatsächlich tun können, um laufende Insider-Bedrohungen zu erkennen und sie sogar zu verhindern, bevor sie auftreten.
Die buchstäbliche Nadel im Heuhaufen
Insgesamt machen Insider-Bedrohungen nur einen kleinen Teil des Mitarbeiterverhaltens aus. Und während nur die "schwarzen Schwäne" öffentlich bekannt werden, summieren sich kleinere Vorfälle wie der Diebstahl von geistigem Eigentum oder Kundenkontaktlisten zu hohen Kosten für Unternehmen.
Darüber hinaus sind Insider standardmäßig berechtigt, sich innerhalb des Netzwerks aufzuhalten, und erhalten sowohl Zugang zu wichtigen Ressourcen eines Unternehmens als auch deren Nutzung. Wie kann man angesichts der großen Menge an Zugriffsmustern, die im Netzwerk eines Unternehmens sichtbar sind, wissen, welche davon fahrlässig, schädlich oder bösartig sind?
IT-Abteilungen reagieren auf die Insider-Bedrohung, wenn überhaupt, in der Regel mit einer umfassenden Überwachung und Protokollierung. Ziel ist es, zumindest in der Lage zu sein, forensische Analysen durchzuführen, wenn eine Bedrohung stattfindet und Schaden anrichtet, und die Rechtsabteilung bei etwaigen Untersuchungen zu unterstützen.
Natürlich hilft ein solcher Ansatz in keiner Weise, die Bedrohung zu verhindern. Jüngste Aktualisierungen von Überwachungslösungen wie Sure View und Forschungsprogramme der US-Regierung haben einen proaktiveren Ansatz gewählt, um eine Bedrohung zu erkennen, während sie stattfindet oder sogar bevor sie stattfindet. Wir haben gesehen, dass die Psychologie des Insiders sehr komplex ist und dass der Insider in der Regel Vorkehrungen trifft, um sich der Entdeckung zu entziehen. Wie also könnte eine Softwarelösung zuverlässig erkennen, was eine Bedrohung ist und was nicht?
Datenwissenschaft ... die neue Lösung für das Problem der Insider-Bedrohungen?
Das Problem der Erkennung einer Insider-Bedrohung, bevor sie tatsächlich eintritt, ist ebenso schwierig und komplex zu lösen wie die Vorhersage des menschlichen Verhaltens selbst. Was ist die nächste Handlung einer Person? Welche Handlung fällt in den Bereich der dieser Person zugewiesenen Arbeit? Welche Handlung deutet auf die Vorbereitung eines Angriffs durch diese Person hin?
Jüngste technologische Fortschritte haben erhebliche Verbesserungen bei der Vorhersage dessen gezeigt, was bisher als unvorhersehbar galt - menschliches Verhalten. Trotz einiger anfänglicher Rückschläge zielen Systeme wie Google Now, Siri oder Cortana darauf ab, die Bedürfnisse der Nutzer vorherzusagen, bevor diese sie überhaupt kennen.
Dies wird möglich, weil riesige Mengen von Verhaltensdaten gesammelt und indexiert wurden und die für die Analyse verfügbaren Rechenressourcen eine kritische Masse für den Einsatz von Methoden der künstlichen Intelligenz im großen Maßstab wie Spracherkennung, Bildanalyse und maschinelles Lernen erreicht haben. Der Begriff für diese neue prädiktive Analyse großer Mengen von Verhaltensdaten lautet Datenwissenschaft.
Es wird heutzutage auf verschiedene Probleme und Bereiche angewandt und könnte in ähnlicher Weise auch auf das Problem der Insider-Bedrohung angewendet werden. Wie oben beschrieben, ist das Verhalten eines Insiders innerhalb des Netzwerks einer Organisation per Definition autorisiert, und es sind in der Regel nicht genügend Informationen verfügbar, um die Absichten oder die Psychologie eines Insiders in Echtzeit abzuleiten. Mit zunehmender Menge der gesammelten Verhaltensdaten gibt es jedoch immer mehr Anhaltspunkte, die aufgedeckt werden könnten.
Ein erster datenwissenschaftlicher Ansatz besteht darin, allgemein bekannte Indikatoren für das Verhalten von Insidern zu lernen. Dabei kann es sich um autorisierte Verhaltensweisen handeln, die jedoch typischerweise mit einem Insider in Verbindung gebracht werden, der vom Kurs abgekommen ist. Ein Beispiel dafür ist das Exfiltrationsverhalten wie das Hochladen von Daten auf ein Dropbox-Konto, die ausgiebige Nutzung von USB-Sticks oder die große Anzahl von Downloads von internen Servern. Diese Indikatoren sind spezifisch genug, um einen laufenden Angriff zu erkennen, aber nur eine begrenzte Anzahl von Angriffsarten kann auf diese Weise erkannt werden (diejenigen, für die die Indikatoren bekannt sind).
Um zukünftige - und unbekannte - Angriffe zu erkennen, besteht ein zweiter Ansatz darin, sich auf Anomalien im beobachteten Verhalten zu konzentrieren. Eine Anomalie ist etwas, das von dem abweicht, was Standard, normal oder erwartet ist.
Im Bereich des Verhaltens wird eine Data-Science-Lösung Verhaltensdaten analysieren und lernen, was normal ist. Normales" Verhalten kann sich auf die Normalität in Bezug auf alle beobachteten Verhaltensvariationen, das Verhalten einer Person im Laufe der Zeit oder sogar auf soziales Verhalten beziehen. Sobald eine Basislinie der Normalität festgelegt ist, können Ausreißer identifiziert werden.
Da Insider-Bedrohungen mit Verhaltensänderungen der betreffenden Person einhergehen, werden diese durch die Anomalieerkennung bereits im Frühstadium einer Bedrohung aufgedeckt. Diese verbesserte Erkennung hat jedoch ihren Preis: eine höhere Anzahl von Fehlalarmen. Gutartige Verhaltensänderungen (z. B. aufgrund von Änderungen der Arbeitsfunktion oder des Teams oder der Rückkehr an den Arbeitsplatz nach den Ferien usw.) lösen Erkennungen aus, und die Menge dieser Erkennungen kann überwältigend werden.
Ein dritter (und am weitesten fortgeschrittener) datenwissenschaftlicher Ansatz besteht darin, aus den Ergebnissen des ersten und zweiten Ansatzes Erzählungen zu generieren, d. h. Indikatoren und Anomalien zu kombinieren, um eine verständliche Interpretation des Verhaltens innerhalb einer Organisation zu erhalten. Letzteres ist natürlich eine harte Nuss, denn letztlich geht es darum, eine echte künstliche Intelligenz zu schaffen. Aber wir sind auf dem besten Weg dahin...
Dieser Artikel wurde ursprünglich als Teil des IDG Contributor Network veröffentlicht.