Durch die Bereitstellung von Diensten in der Cloud ist man auch neuen Gefahren ausgesetzt. Teile Ihrer Daten sind prinzipiell von überall erreichbar, was neue Herausforderungen an den Schutz der Daten stellt. Für diesen Schutzbedarf gibt es mit dem Conditional Access und dem Azure Rights Management in Intune bereits gute Lösungen. Aber was setzt man zum Schutz der Server und Zugänge on Premise ein? Die Microsoft Advanced Threat Analytics (ATA), die wie die genannten Lösungen in der Enterprise Mobility Suite enthalten sind, greifen genau hier an. Was den externen Schutz verbessert und wie es funktioniert, darauf möchte ich im folgenden Artikel eingehen.

Ganz oben steht häufig die Frage, warum sollten meine Daten überhaupt einen so hohen Schutzbedarf haben? “Ich bin schließlich nicht BMW, oder Siemens”. Das mag stimmen, aber grundsätzlich sollte jede Firma um die Sicherheit ihrer Daten bemüht sein und alles ihr mögliche unternehmen, damit das auch so bleibt. Schließlich basiert ihre Firma auf den eigenen Daten und damit geht es um den Fortbestand Ihres Unternehmens. Hinzu kommt auch, dass Deutschland in Themen wie Datenschutz und Schutz personenbezogener Daten seinesgleichen sucht und jeder trägt seinen Teil dazu bei, dass das so ist und bleibt.

ATA

Quelle: Microsoft

Wie funktioniert Advanced Threat Analytics?

Um in einfachen Worten zu erklären, wie die Microsoft Advanced Threat Analytics (ATA) funktioniert ziehe ich ein leicht verständliches Bespiel heran. Sagen wir Herr Müller arbeitet in der Firma aConTech aus dem Homeoffice heraus und nutzt dafür üblicherweise drei unterschiedliche Geräte (ein Laptop, ein Smartphone und ein Surface). Auf die Firmendaten greift er üblicherweise von diesen Geräten aus zu. Meist arbeitet er mit den Ressourcen seiner Kunden und informiert sich über Neuigkeiten aus der IT. Mit Hilfe von Machine Learning erkennt ATA was das alltägliche Nutzerverhalten ist. Wenn Herr Müller von einem Tag auf den anderen plötzlich von 50 unterschiedlichen Geräten aus drei Ländern versucht auf Firmendaten zuzugreifen, dann schlägt ATA Alarm.

Machine Learning alleine reicht aber nicht aus, da sonst nur im Nachhinein festgestellt werden kann, dass es ein abnormales Verhalten gab. Deshalb werden die Ergebnisse mit bekannten Gefahrenmustern und Real-Time Daten kombiniert um den Zugriff initial zu verhindern.

Die Advanced Threat Analytics können normales Benutzerverhalten erkennen und entsprechend auf anormales Verhalten reagieren. Im wesentlichen besteht dieser Vorgang aus vier Schritten.

  1. Analysieren
  2. Lernen
  3. Entdecken
  4. Warnen

Analyse des Nutzerverhaltens

Nach der Installation werden alle Netzwerkpakete, die mit dem Active Directory zu tun haben an ATA übermittelt, ohne das ein Angreifer etwas davon bemerkt. Mittels Deep Packet Inspection werden die Pakete analysiert. Zusätzlich zum Active Directory werden auch Informationen von SIEM (Security Information and Event Management) und weiteren Quellen gesammelt und ausgewertet. Die Analyse hat keinen Einfluss auf die eigene Netzwerkinfrastruktur.

Kombination mit bekannten Angriffen und Problemen

ATA beginnt automatisch das Benutzerverhalten zu erlernen und erstellt Profile über Entitäten. Auf Basis von selbst lernenden Algorithmen wird ein Sicherheitsgraph erstellt, der das Verhalten der Entitäten widerspiegelt.

Eine Entität steht für einen Benutzer, ein Gerät, oder Ressourcen.

Erkennen von Sicherheitsbedrohungen

Im dritten Schritt sucht die ATA nach abnormen Verhaltensmustern und identifiziert verdächtige Aktivitäten. Im Falle von Abweichungen des Normalzustandes warnt ATA, aber erst dann, wenn das Verhalten im Gesamtkontext verifiziert wurde. Zusätzlich werden Sicherheitsrisiken und Angriffe beinahe in Echtzeit erfasst. Die Erkennung basiert auf “Tactics, Techniques and Procedures” (TTPs).

Warnung

Schließlich werden Warnungen erstellt und ausgegeben. Verdächtige Aktivitäten werden dann berichtet, wenn sie mit den eigenen Entitäten und zusätzlichen weiteren Verhaltensmustern verglichen um Falschmeldungen möglichst weit zu reduzieren.

In den Warnungen wird erfasst “Wer, Was, Wann und Wie” versucht hat. Zudem werden zu jeder verdächtigen Aktivität Empfehlungen zur Untersuchung und Behebung angeboten.

Fazit

Mit der Lösung Microsoft Advanced Threat Analytics bekommen Sie ein Tool an die Hand, dass Sie dabei unterstützt den Schritt zum modernen, mobilen Arbeiten mit zu gehen, ohne dass Sie sich unnötigen Gefahren aussetzen. Wenn dieses Thema für Sie interessant ist, dann kommen Sie auf uns zu. Wir beraten Sie gerne im Detail zu dieser Lösung.
Interessieren Sie sich für Securtiy in Azure? Dann schauen Sie sich den Artikel über das Azure Security Center an.