Definition

Verhaltensbasierte Sicherheit

Bei der verhaltensbasierten Sicherheit handelt es sich um einen proaktiven Ansatz für die IT-Security. Dabei werden alle relevanten Aktivitäten überwacht, so dass Abweichungen von normalen Verhaltensmustern schnell erkannt werden können. Daraus können dann die notwendigen Reaktionen abgeleitet werden. Da sich das maschinelle Lernen immer weiterentwickelt und verbessert, wird die Bedeutung entsprechender Lösungen weiter zunehmen. Insbesondere, wenn es darum geht Systemen am Netzwerkrand abzusichern.

Viele Sicherheitslösungen arbeiten mit Signaturen. Dabei überwacht die Software Datenströme und vergleicht die Daten mit Signaturen in der Bibliothek. So verfahren beispielsweise häufig Antiviren-Lösungen mit bekannten Bedrohungen. Verhaltensbasierte Lösungen verfolgen einen etwas anderen Ansatz. Auch hier werden Datenströme überwacht, allerdings werden die die Aktivitäten daraufhin untersucht, ob sich diese von dem gelernten oder vorgegebenen normalen Verhalten unterscheiden und ob Anomalien auftauchen. Die Lösungen zur verhaltensbasierten Sicherheit nutzen angewandte Mathematik und maschinelles Lernen, um Ereignisse zu erkennen, die statistisch signifikant sind.

In dem ein oder anderen Fall mag es noch vorkommen, dass Sicherheitsprodukte nur auf die ein oder andere Art arbeiten. In der Regel existiert heute aber ein breites Angebot an Lösungen, die beide Ansätze – also signaturbasiert und Anomalieerkennung – kombinieren.

Die Vorteile verhaltensbasierter Sicherheit

Signaturbasierte Tools eignen sich ganz trefflich, um bekannte Bedrohungen zu erkennen und abzuwehren. Produkte, die mit verhaltensbasierten Ansätzen vorgehen, sind hingegen gut geeignet um Zero-Day-Angriffe zu entdecken, deren Vorgehensweise es noch nicht in die Updates der Signaturen geschafft haben. Viele verhaltensbasierte Sicherheitslösungen arbeiten mit einem Standardwerk an Richtlinien, die festlegen welche Verhaltensweisen erlaubt sein sollen und welche verdächtig sind. Selbstredend können Administratoren die Vorgaben und Richtlinien an die eigenen Gegebenheiten anpassen.

Verhaltensbasierte Sicherheitslösungen

Je nach Einsatzzweck und Funktionen gibt es unterschiedlichste Lösungen, die mit verhaltensbasierten Ansätzen arbeiten. Dazu gehören beispielsweise: NBAD-Produkte (Network Behavior Anomaly Detection), Lösungen die das Nutzerverhalten analysieren (UBA, User Behavior Analytics), BTA-Lösungen (Behavior Threat Analysis) oder auch verhaltensbasierte Intrusion-Detection-Produkte. Die Sicherheitslösungen setzen unter anderem auf maschinelles Lernen und wenden entsprechende Lernalgorithmen auf die Datenströme an. In diesem Fall müssen die Sicherheitsteams nicht bestimmen oder erkennen, was ein normales Verhalten ausmacht. Anderer Lösungen berücksichtigen auch biometrische Auffälligkeiten wie beispielsweise individuelle Tippmuster, um auf ein bestimmtes Benutzerverhalten Rückschlüsse bilden zu können. Die meisten Produkte arbeiten mit komplexen Korrelationseinheiten, um die Anzahl der Warnmeldungen, False Positives und Fehlalarme auf ein überschaubares Maß zu beschränken.

Diese Definition wurde zuletzt im Februar 2020 aktualisiert

Erfahren Sie mehr über Bedrohungen