Die Erkennung und Eindämmung von Bedrohungen durch Insider erfordern ein umfassendes Verständnis der Benutzer für ihre Unternehmensdaten und der Art und Weise, wie sie auf diese Daten zugreifen.
In unserem ersten Whiteboard Wednesday spricht Drew Schuil, Vice President of Global Product Strategy bei Imperva, über die Herausforderungen der Erkennung von Insiderbedrohungen und über Ansätze zum Schutz sensibler Daten und großer Datenspeicher vor fahrlässigen, kompromittierten und böswilligen Nutzern.
Videotranskription
Willkommen bei Whiteboard Wednesday. Mein Name ist Drew Schuil, Vice President of Global Product Strategy bei Imperva. Das heutige Thema ist die Herausforderung der Erkennung von Insiderbedrohungen, insbesondere wenn es um sensible Daten und große Datenspeicher geht, wie Datenbanken, Big-Data-Systeme und Dateiarchive.
Insiderbedrohungsprofile
Wir beginnen mit Insiderdrohungsprofilen. Ich habe schon drei [auf dem Whiteboard], kompromittiert, fahrlässig und böswillig.
Mit Blick auf die letzten beiden Kategorien [fahrlässig und böswillig] denke ich, dass es in der Sicherheitsbranche Verbesserungspotenzial gibt. Man muss neue Technologien und neue Ansätze nutzen, um alle drei Anwendungsfälle zu lösen, nicht nur das Bedrohungsprofil durch kompromittierte Benutzer.
Warum also ist die Erkennung so schwierig … warum haben wir dieses Problem noch nicht gelöst? Warum kommen diese immens großen Sicherheitsverletzungen weiterhin vor … 60, 80 oder sogar 100 Millionen Datensätze gleichzeitig? Das kommt übrigens aus einer Datenbank, nicht aus einer Tabelle auf einem Laptop, der an einem Flughafen vergessen wurde. Das kommt aus einem riesigen Datenrepository im Unternehmen.
Wir haben Benutzerprofile besprochen. Lassen Sie uns als nächstes über Daten sprechen. Meiner Meinung nach geht es bei den Herausforderungen bei der Erkennung von Insiderbedrohungen im Grunde um die Schnittstelle von Benutzern und Daten. An dieser Stelle geschehen normalerweise Sicherheitsverletzungen im Zusammenhang mit Insiderbedrohungen.
Der Verizon Data Breach Investigations Report, der jedes Jahr herausgegeben wird, hat gezeigt, dass es in vielen der Fälle, in denen wir sehr, sehr große Mengen von Daten durch die Forensik und die Analysen sehen, ein Insider war. Jemand innerhalb des Unternehmens – nochmals, ein kompromittierter, fahrlässiger oder böswilliger Benutzer.
Wenn wir anfangen, über Big Data, Datenbanken und Dateisysteme, insbesondere Datenbanken, zu sprechen, gibt es viel mehr zu beachten als nur die IP-Adresse und den Benutzernamen. Wir wollen mehr über diesen Benutzer erfahren, woher er kam, welche Art von Anwendung er benutzt, zu welcher Abteilung er gehört – wirklich den Kontext dieses Benutzers, während er mit Daten interagiert. Wenn wir uns mit einigen dieser anderen Dinge – z. B. Datenbanktabelle, Schema, SQL-Vorgang, der auf der Datenbank ausgeführt wurde – beschäftigen, entfernen wir uns immer mehr aus der Komfortzone des Sicherheitsteams, das für den Schutz der Daten verantwortlich ist.
Auch hier haben wir das Problem mit dem Kontext. Es gibt nicht nur Hunderte oder Tausende von Anwendungen. Wir haben jetzt eine andere Sprache, die für dieses Sicherheitsteam nicht sehr vertraut oder bequem ist. Wir beginnen, uns mit dieser Datenmenge zu befassen. Das Wichtigste ist wirklich die Art der Daten, die wir umfassend verstehen müssen, um einige der vorher erwähnten Herausforderungen überwinden zu können.
Was machen alle in der Branche? Wenn Sie an der RSA Conference oder einer Sicherheitsmesse teilgenommen bzw. mit einem Anbieter gesprochen haben, haben Sie wahrscheinlich etwas über maschinelles Lernen gehört, oder wie maschinelles Lernen oder User Behavior Analytics (UBA) bei der Lösung dieses Problems helfen werden. In einigen Fällen, in sehr eng abgesteckten Anwendungsfällen, werden gute Leistungen erreicht und die Sicherheit wird stark verbessert. Am wichtigsten ist jedoch, zu beachten, dass maschinelles Lernen keine Magie ist. Es gibt kein Zaubermittel, das für gute Ergebnisse sorgt, wenn wir maschinelles Lernen oder künstliche Intelligenz für einen Datensatz verwenden. Man muss sich genau auf die Probleme konzentrieren, die es zu lösen gilt. Das leitet den nächsten Abschnitt ein, die wichtigsten Anzeichen für Missbrauch.
Wir hier bei Imperva haben einen messerscharfen Ansatz entwickelt, um Dinge wie Dienstkontomissbrauch, Rechnerübernahme und übermäßigen Datenbank- oder Dateizugriff zu identifizieren. Dies schließt ein umfassendes Verständnis dessen mit ein, wie Benutzer mit den Daten interagieren. Der Schlüssel für eine effektivere Nutzung von maschinellem Lernen und die Lösung des Insiderproblems ist ein umfassendes Verständnis der Schnittstelle zwischen Benutzern und Daten.
Wir haben über maschinelles Lernen und User Behavior Analytics gesprochen und ich bin kurz auf vordefinierte, statische Richtlinien eingegangen. Die Herausforderung bei diesem Ansatz ist, selbst bei sehr granularen Möglichkeiten Richtlinien festzulegen, sodass man bei Alarmen und Blockierungen in Echtzeit im Trüben fischt. Beim bisherigen Ansatz für Insiderbedrohungen ging es vor allem um die Compliance. Zum Beispiel hatten PCI und Compliance einen sehr enggesteckten Rahmen für das Ziel ihrer Suche. Tatsächlich war die Umgebung normalerweise stark kontrolliert und häufig vom Rest der Umgebung getrennt.
Denken wir bei Insiderbedrohungen in einer breiteren Umgebung mit einem größeren Datensatz an die DSGVO, wo es um personenbezogene Daten geht, die sich überall im Unternehmen befinden können. Das Problem ist jetzt viel schwieriger. Wir müssen jede einzelne Änderung der Richtlinie und Variante der Richtlinienerstellung vorhersehen. Hierbei ist die Herausforderung, dass Sie Hunderte oder Tausende von Richtlinien erstellen, die Sie in der sich ständig ändernden Anwendungsumgebung pflegen müssen. Dies ist eine betriebliche Herausforderung für Unternehmen.
Andererseits ist es ein Problem, dass Insiderbedrohungen häufig unerwartet auftreten. Wir denken nicht über alle möglichen Variablen einer Richtlinie nach, die erstellt werden müssten, um sie zu finden. Wenn wir uns das Datenbankbeispiel ansehen und warum statische Richtlinien sich nicht skalieren lassen, müssen wir verstehen, wer sich wie mit der Datenbank verbindet. Verwendet er SQL*Plus, Toad, Aqua Data Studio oder ein anderes Tool, um sich mit der Datenbank zu verbinden? Auf welche Daten greift er zu? Habe ich schon einmal eine Datenklassifizierung vorgenommen? Kenne ich überhaupt den Kontext dieser Daten, um eine Richtlinie schreiben zu können? Was machen die Peers? Tut diese Person etwas, was niemand sonst in der DBA- oder IT-Gruppe – bzw. der Finanzabteilung oder einer sonstigen Gruppe – tut? Lässt sich dies als Teil der Korrelation verwenden? Wie viele Daten werden normalerweise abgerufen? Falls man keine Baseline und kein umfassendes Verständnis von SQL hat, kann es schwierig sein, die Datenmenge, Abfrage oder die von der Datenbank zurückgesandte Zeilenanzahl zu verstehen.
Wann funktionieren sie normalerweise? Das scheint ein ziemlich grundlegendes Problem zu sein. Aber um Insiderbedrohungen erkennen zu können, muss ich anhand dieser fünf, sechs Beispiele [Wer verbindet sich mit der Datenbank? Wie verbindet er sich? Auf welche Daten greift er zu? Greifen seine Peers auf gleiche Weise darauf zu? Wie viele Daten werden abgerufen? Wann funktionieren sie normalerweise?] und vieler anderer sowie aller möglichen Änderungen eine Korrelation durchführen können. Es wird eine echte Herausforderung. Im nächsten Abschnitt besprechen wir maschinelles Lernen, sehr fokussiertes maschinelles Lernen, damit man sich keine Sorgen über die Erstellung und Pflege von Hunderten oder Tausenden prädiktiven, statischen Richtlinien muss.
Ich habe die Schnittstelle zwischen Benutzern und Daten erwähnt und die Bedeutung eines umfassenden Verständnisses der Dateninteraktionen der Benutzer für die Lösung dieses Problems. Imperva Datensicherheit verwendet maschinelles Lernen, um das Verständnis aller Variablen zu automatisieren, sowohl Benutzervariablen als auch Datenvariablen, um ein umfassendes Verständnis zu erlangen. So können wir das Kontextproblem lösen, False Positives erkennen und müssen keine statischen, vordefinierten Richtlinien mehr erstellen.
Ich hoffe, dass Ihnen die Sitzung gefallen hat. Ich hoffe, dass sie nützlich war. Schalten Sie zum nächsten Whiteboard Wednesday wieder ein.