Suchen

Matrix42 EgoSecure Data Protection Verhaltensauffällige User-Aktivitäten automatisiert kontern

Autor: Dr. Stefan Riedl

Finden ungewohnte Aktionen statt, die aus den Arbeitsroutinen ausbrechen – ungebremster Datentransfer oder verdächtige Verschlüsselungen – schlagen UEBA-Systeme Alarm. Werden automatisiert stoppende und heilende Prozesse angetriggert, schläft der Admin besser.

Firmen zum Thema

Wer weiß schon, was in den Köpfen so mancher Mitarbeiter vorgeht?
Wer weiß schon, was in den Köpfen so mancher Mitarbeiter vorgeht?
(Bild: Happyphotons - stock.adobe.com)

Automatisierung soll bei IT-Security-Verantwortlichen effizienter für einen erholsamen, tiefen Schlaf sorgen, als so manches Hausmittelchen wie Lavendelduft und warme Milch. Denn es macht einen großen Unterschied, ob der Admin morgens beim ersten Blick auf das Smartphone mitgeteilt bekommt, dass es zu lösende Sicherheitsprobleme gibt oder ob nach entsprechenden Vorkommnissen bereits adäquate erste Schritte eingeleitet wurden, die Schäden verhindern.

Derlei Konzepte arbeiten mit „UEBA“, das steht für„User and Entity Behavior Analytics“. Diese verhaltensbasierten Sicherheitsansätze erlebten in den letzten Jahren stark an Aufwind. Ein Akteur in diesem Umfeld ist Matrix42, nach einer entsprechenden Übernahme. So wurde EgoSecure 2007 gegründet, 2018 von Matrix42 übernommen und das Security-Portfolio ausgebaut. EgoSecure-Kunden stammen hauptsächlich aus dem Banken-, Automotive-, Healthcare- oder Public-Umfeld. Mit der Übernahme kam auch Daniel Döring, Technical Director Security & Strategic Alliances bei Matrix42, ins Unternehmen.

Verhaltensbasierte Security-Konzepte mit Automatisierung

Hersteller haben sich lange Zeit hauptsächlich mit sich selbst beschäftigt, was sich in vielen Schutzmaßnahmen anderer Lösungen widerspiegelt“, sagt Döring. Verhaltensbasierte Ansätze seien das Gegenmodell zu dieser Herangehensweise und Matrix42 lege hierbei besonderen Wert auf die Fähigkeit, nicht nur in der Lage zu sein, verdächtige Events zu identifizieren und daraufhin Nachrichten zu verschicken. „Vielmehr geht es bei uns darum, automatisierte Handlungen anzustoßen“, betont Döring. Zu den automatisierten Events, die durch Unregelmäßigkeiten angetriggert werden, zählt beispielsweise das Blockieren der Tätigkeiten als erster Schritt. Werden beispielsweise Inhalte in einer Weise verschlüsselt, die einen Ransomware-Verdacht nahe legen, kann das automatisiert unterbunden werden. Auch das Verschicken auffällig großer Datenmengen kann blockiert werden. Endgeräte können automatisiert in einen Quarantäne-Zustand geschickt und Anwendungen gepatcht werden.

Automatisierung hilft Administratoren in ihrem Tagesgeschäft.
Automatisierung hilft Administratoren in ihrem Tagesgeschäft.
(Bild: sindler1 - stock.adobe.com)

„Ja es kann sogar so weit gehen, dass das Endgerät automatisiert neu aufgesetzt wird, gespeist von einem Backup, mit komplett neu installierten Anwendungen – alles während der Admin noch schläft“, beschreibt Döring und fügt hinzu: „Nach einer Erhebung des Ponemon Institute geschehen 67 Prozent der Angriffe auf Ebene der Endgeräte. Doch was nutzt die per Mail oder SMS verschickte Info an den Admin, dass hier gerade etwas läuft, wenn dieser noch schläft?“

Das CAFE-Prinzip

Neben Malware geht die größte Sicherheitsbedrohung von internen und externen Mitarbeitern aus, die vorsätzlich oder fahrlässig handeln. Vor diesem Hintergrund kann beispielsweise über Richtlinien vorgegeben werden, dass Daten generell nicht auf Cloud- oder USB-Speicher transferiert ­werden dürfen. In der Praxis wird häufig ein Genehmigungsverfahren zwischengeschaltet, bei dem der Anwender dazu aufgefordert wird, sich den Datentransfer von geeigneter Stelle erlauben zu lassen. „Die DSGVO beschäftigt sich unter anderem mit der Nachvollziehbarkeit von Datenverlust ohne Verschlüsselung. Vor diesem Hintergrund kann praktisch eine Zwangsverschlüsselung für Datenverkehr verfügt werden“, so Döring. „In einer Polizeibehörde haben wir in diesem Zusammenhang beispielsweise über unsere Software festgelegt, dass alles, was unverschlüsselt ist als privat gilt und alles was privat ist, blockiert wird“, verrät der Manager.

In Zeiten unternehmensübergreifender Zusammenarbeit spiele auch privilegierte Zugangskontrolle eine große Rolle. Hier gilt das CAFE-Prinzip“, so Döring: „Control – Welche Zugriffe finden über welche Schnittstellen statt? Audit – Datentransfers werden protokoliert. Filter – Beispielsweise kann im Rahmen einer Deep Content Inspection untersagt werden, dass Daten, in denen IBAN-Nummern vorkommen, transferiert werden. Encryp­tion – Hier greifen beispielsweise Richtlinien zur Zwangsverschlüsselung.“

Modulare Suite

Die Software dahinter heißt „Matrix42 EgoSecure Data Protection“ und ist eine modular aufgebaute Suite mit rund 20 Modulen. Zu den wichtigsten zählen die Schnittstellen- und Applikationskontrolle, die Daten- und Festplattenverschlüsselung, Data Loss Prevention, bei der Deep Content Analytics eingesetzt wird, Insight Analytics und Secure Audit – hier geht es hauptsächlich um Protokollierung und Forensik. Das IntellAct-Modul ist im Bereich Anomalien-Detektion angesiedelt. Die Lösungen sind in On-Premises-­Manier sowie als SaaS erhältlich. Im OnPremises-Bereich verdient der Partner an seiner Dienstleistung und dem Lizenzverkauf. Im SaaS-Umfeld ist das Angebot auf MSPs gemünzt, bei dem Partner prozentual an der Subscription-Fee mitverdienen und dem Kunden Pakete schnüren – beispielsweise M365 mit entsprechenden Absicherungen. Döring sagt, dass es bei Microsoft 365 in der E5-Version zwar eine Advanced Thread Protection gebe, allerdings basiere diese auf verschickten Infos an den Admin. „Mit unserer Lösung lassen sich solche und andere Szenarien veredeln.“

Knowhow-Transfer

Das Themenumfeld ist also komplex, so dass Schulungen der Partner eine große Rolle spielen. „Unsere Boot Camps, auf denen sich Partner zertifizieren können, haben wir Corona-bedingt inzwischen komplett auf virtuell umgestellt, in Form eines virtuellen Klassenzimmers, in dem auch Fragen gestellt werden können. Schulungsmaterial liegt in Form von Videos und Dokumentationen vor“, so Döring. Matrix42 betont eine „Channel-First-Strategie“ zu verfolgen, bei der in jedem Projekt Partner mitarbeiten.

(ID:46637299)

Über den Autor

Dr. Stefan Riedl

Dr. Stefan Riedl

Leitender Redakteur