X-Labs
August 6, 2019

Mit Data-at-Rest Insider-Threats identifizieren

Audra Simons
Dalwinderjeet Kular Research Scientist

Google kann unser Alter, Geschlecht und unsere Interessen basierend auf unserem Suchverlauf vorhersagen. Ähnlich empfiehlt Amazon Produkte, die auf unseren Kaufgewohnheiten und Nutzerdaten basieren. Eine Studie von Forcepoint und der University of Texas zeigt nun: Auch in der IT-Security ist es möglich mit Data-at-Rest Vorhersagen zu treffen.

Forcepoint, ein weltweit führender Anbieter von humanzentrierten Cyber-Security-Lösungen, und Forschern der University of Texas in San Antonio (UTSA) ist es gelungen durch die Analyse von Data-at-Rest Benutzer zu identifizieren, die voraussichtlich Opfer eines Cyberangriffs oder selbst Daten stehlen werden. Data-at-Rest sind die Daten, die sich auf Festplatten, USBs, Laptops oder freigegebenen Laufwerken befinden. Sie werden nur selten zwischen Geräten oder Netzwerken ausgetauscht und auch nicht regelmäßig abgerufen oder verändert. Zudem enthalten Data-at-Rest oft Informationen von höherer Brisanz, wie zum Beispiel die Sozialversicherungsnummer der Mitarbeiter, Informationen zu Bankkonten, Kundenverträge oder geistiges Eigentum.

Für die Untersuchungen stellte Forcepoint der UTSA unterschiedliche Datensätze zur Verfügung. Zum einen ein Nutzer-Backup-Archiv. Der zweite anonymisierte Datensatz stammt von den Festplatten der Nutzer in mehreren Unternehmensabteilungen – also eine Live-Version des Ersten. Um den Machine-Learning-Algorithmus richtig zu testen, baute Forcepoint ohne Wissen der Forscher auffälliges Nutzerverhalten in die Datensätze ein. Dem Algorithmus gelang es, jede dieser Auffälligkeiten frühzeitig zu erkennen. Dies zeigt, wie wichtig die Untersuchung von Data-at-Rest ist, um künftig möglichen Attacken zuvorzukommen.

 

Jeder Mitarbeiter stellt einen anderen Risikofaktor da

Im Detail gliedert sich die Studie von Forcepoint und der UTSA in zwei Teile: Zunächst entwickelten die Forscher mit Hilfe der Graphenanalyse einen ersten Algorithmus. Durch diesen lässt sich das Nutzerverhalten im Umgang mit Daten nachvollziehen und in Verhältnis setzen. Dabei berücksichtigt die Analyse als Variable den Nutzer, das Dokument, eventuelle Tags und Datenschutzverletzungen. Aus Data-at-Rest konnten Unterschiede zwischen Nutzern und Abteilungen nachgewiesen werden. So befand sich bei Mitarbeitern in der Personalabteilung ein hoher Anteil an wertvollen Textdokumenten, während Mitarbeiter in der Entwicklung meist nur technische Zeichnungen oder Code abliegen hatten. Der Mitarbeiter in der Personalabteilung ist also ein viel wahrscheinlicheres Ziel für Ransomware und muss besonders geschützt werden.

Um einen Algorithmus zur Risikobewertung zu validieren, nutzten die Forscher in der zweiten Phase das Random Forest Model. Dieses Klassifikationsverfahren ermöglicht es Anomalien zu erkennen und zu bewerten. So können auffällige Nutzer gemeldet und ihnen ein Risikowert zugeordnet werden. Hierzu bewertet der Algorithmus zunächst mögliche Ereignisse und setzt diese in Relation zueinander. Ein sich automatisch anpassender Prozess wählt aus den Ereignissen die Relevanten aus. Die letztendliche Risikobewertung beruht auf der Kreuzvalidierung der zuvor als relevant klassifizierten Ereignisse. So kann der Data-at-Rest Risikowert als frühere Methode zur Erkennung für Insiderbedrohungen verwendet werden, wenn das nächste Signal eine ungewöhnliche Menge an Datenbewegungen ist. Dasselbe gilt, wenn Mitarbeiter plötzlich auf Dateien zugreifen, die für ihre Arbeit eigentlich irrelevant sind. Dies sind deutliche Anzeichen für einen Angriff oder einen kompromittierten Mitarbeiter.

 

Data-at-Rest verbessern Insider-Threat-Lösungen

Die Forschungsergebnisse zeigen, dass die Analyse von Data-at-Rest helfen kann, gefährdete Benutzer oder bewusst schädliches Nutzerverhalten zu identifizieren. Darüber hinaus macht die Analyse der Verhaltensdaten Anomalien im Umgang mit Data-at-Rest sichtbar und steigert das Bewusstsein für den sicheren und sensiblen Umgang mit geistigem Eigentum bei den Nutzern selbst.

Audra Simons, Leiterin der Forcepoint Innovation Labs, zeigt sich begeistert: „Die Ergebnisse der Studie sind vielversprechend hinsichtlich der Verwendung von Data-at-Rest zum Aufspüren von Risiken. So können wir nicht nur Unternehmen, sondern auch einzelne Mitarbeiter vor unangenehmen Folgen einer Cyberattacke bewahren.“

 

Über Forcepoint

Forcepoint, Anbieter von Cyber-Security-Lösungen, nimmt sich dem Schutz des privilegierten Users im Umgang mit sensiblen Daten an. Die IT-Security Lösungen aus den Bereichen Web Security, E-Mail-Security, Schutz vertraulicher Daten und Infrastruktur-Schutz ermöglichen den uneingeschränkten Umgang mit vertraulichen Daten und stellen gleichzeitig den Schutz von geistigem Eigentum und Compliance-Richtlinien sicher. Forcepoint unterstützt mehr als 20.000 Unternehmen weltweit. Weitere Informationen zu Forcepoint finden Sie hier.

Audra Simons

Audra Simons is the Senior Director of  Global Products, G2CI. Audra is part of the Forcepoint Global Governments team, where her goal is to break new ground in the area of non-ITAR global products and engineering with a focus on high assurance critical infrastructure customers,...

Read more articles by Audra Simons

Dalwinderjeet Kular

Research Scientist

Dr. Dalwinderjeet Kular holds a Ph.D. in Computer Vision from the Florida Institute of Technology. She joined the security industry in 2015. In her role as Research Scientist in Forcepoint's X-Labs she is focused on analyzing structure and unstructured data, identifying relevant features and...

Read more articles by Dalwinderjeet Kular

Über Forcepoint

Forcepoint ist einer der weltweit führenden Anbieter von Cyber-Sicherheit im Bereich Anwender- und Datensicherheit und hat es sich zur Aufgabe gemacht, Organisationen zu schützen und gleichzeitig die digitale Transformation und das Wachstum voranzutreiben. Unsere Lösungen passen sich in Echtzeit an das Nutzerverhalten an und ermöglichen Mitarbeitern einen sicheren Datenzugriff bei voller Produktivität.