Die 7 besten Tools zur Erkennung von Insider-Bedrohungen

Viele Unternehmen wissen, dass sie Netzwerkschutz vor Bedrohungen außerhalb ihrer Netzwerke benötigen. Aber was passiert, wenn die Bedrohung von innen kommt? In diesem Artikel befassen wir uns mit einigen der besten Tools zur Erkennung von Insider-Bedrohungen, mit denen Sie Ihre Vermögenswerte vor böswilligen internen Bedrohungen schützen können.

Hier ist unsere Liste der sieben besten Tools zur Erkennung von Insider-Bedrohungen:

1. SolarWinds Security Event Manager WAHL DES HERAUSGEBERS Bietet die beste Kombination aus Insider-Bedrohungskontrolle und Flexibilität.
2. ManageEngine Endpoint DLP Plus (KOSTENLOSE TESTVERSION)Dieses System zur Verhinderung von Datenverlust verfolgt den Benutzerzugriff auf sensible Daten, um Insider-Bedrohungen auf allen Endpunkten zu erkennen. Läuft auf Windows Server.
3. Datadog-Sicherheitsüberwachung Bietet hervorragende vorkonfigurierte Regeln für eine schnelle Bereitstellung.
4. PRTG-Monitor Verwendet einen speziellen Sensor, um das Benutzerverhalten zu verfolgen.
5. Splunk Verwendet Peer-Gruppenanalysen, um sowohl Gruppen als auch Einzelpersonen zu verfolgen.
6. ActivTrak Bietet umfassende Bedrohungserkennung gepaart mit Effizienzeinblicken.
7. Code42 Ermöglicht umfassenden Schutz des geistigen Eigentums und Datenüberwachung.

Die besten Tools zur Insider-Bedrohungserkennung

Unsere Methodik zur Auswahl eines Tools zur Erkennung von Insider-Bedrohungen

Wir haben den Markt für Insider-Bedrohungserkennungssysteme untersucht und Tools anhand der folgenden Kriterien analysiert:

• Ein System, das maschinelles Lernen nutzt, um eine Basis für normale Aktivitäten zu ermitteln
• Ein Paket, das nach sekundären Indikatoren einer Bedrohung sucht, bevor ein Einbruch vollständig gemeldet wird
• Ein Dienst, der Benachrichtigungen enthält, um die Aufmerksamkeit von Technikern zu erregen
• Empfehlungen zur Verschärfung der Zugriffsrechteverwaltung
• Optionen zum Weiterleiten von Daten an Analysetools
• Eine kostenlose Testversion oder ein Demosystem für eine kostenlose Bewertung
• Gutes Preis-Leistungs-Verhältnis für ein Tool, das umfassende Einbrucherkennung zu einem vernünftigen Preis bietet

Unter Berücksichtigung dieser Auswahlkriterien haben wir einige kostengünstige und effektive Tools zur Erkennung von Insider-Bedrohungen identifiziert.

1. SolarWinds Security Event Manager (KOSTENLOSE TESTVERSION)

SolarWinds Security Event Manager (SEM)ist eine Windows-basierte zentralisierte Sicherheitsanwendung, die Bedrohungen sowohl intern als auch extern erkennen und verhindern kann. SEM überwacht Ereignisprotokolle und überträgt diese Informationen zur Analyse, Warnung und Korrelation in sein eigenes System.

Hauptmerkmale:

• Korrelations-Engine.
• Proaktive Kontoprüfung.
• Automatisierte interne Bedrohungsreaktion.

Die Plattform verfügt über über 700 integrierte Korrelationsregeln in Kombination mit Hunderten automatisierter Antworten, mit denen Administratoren ihre eigenen benutzerdefinierten Sicherheitsregeln erstellen können. SEM kann beispielsweise Ereignisse wie Kontosperrungen und Anmeldungen außerhalb der Geschäftszeiten erkennen und erkennen, wann auf bestimmte Dateien zugegriffen wird. Diese Ereignisse können mit einer Aktion wie dem Deaktivieren eines Benutzerkontos, dem Senden einer E-Mail-Benachrichtigung oder der Quarantäne einer Arbeitsstation verknüpft werden.

SolarWinds SEM bietet außerdem Aktivitätsüberwachung und Zugriffsprotokollierung, was es zu einem großartigen Tool für das Insider-Bedrohungsmanagement macht. Darin können Sie Benutzerkonten schnell identifizieren und deren Berechtigungen in Ihrem Netzwerk visualisieren. Dies erleichtert die Nachverfolgung vererbbarer Berechtigungen und die Zugriffskontrolle erheblich, insbesondere für größere Organisationen.

Anstatt Protokolldateien zu durchsuchen, kann die Zugriffsprotokollierungsfunktion hervorheben, wer über ein privilegiertes Konto verfügt, und eine Prüfung darüber anzeigen, wie genau dieses Konto im Netzwerk verwendet wurde. Der Zugriff kann entweder nach Benutzer, Zeit oder Endpunkt gefiltert werden. So können Sie schnell feststellen, ob ein Angriff von innerhalb oder außerhalb Ihres Unternehmens kommt.

Über den Threat-Intelligence-Feed können Sie sowohl Live- als auch historische Aktivitätsprotokolle anzeigen, um Anomalien zu identifizieren oder eine forensische Untersuchung zu unterstützen. Mithilfe dieses Datenschatzes können Sie Bedrohungen durch Zugriffsverletzungen stoppen und anschließend Korrelationsregeln erstellen, um zu verhindern, dass diese Insider-Angriffe erneut auftreten.

Vorteile:

• Entwickelt für Unternehmen, kann es Windows-, Linux-, Unix- und Mac-Betriebssysteme überwachen
• Unterstützt Tools wie Snort, sodass SEM Teil einer größeren NIDS-Strategie sein kann
• Über 700 vorkonfigurierte Warnungen, Korrelationsregeln und Erkennungsvorlagen bieten sofortige Einblicke bei der Installation
• Regeln für die Reaktion auf Bedrohungen sind einfach zu erstellen und nutzen intelligente Berichte, um Fehlalarme zu reduzieren
• Integrierte Berichts- und Dashboard-Funktionen tragen dazu bei, die Anzahl der Zusatztools zu reduzieren, die Sie für Ihr IDS benötigen

Nachteile:

• Funktionsdichte – erfordert Zeit, um alle Funktionen vollständig zu erkunden

SolarWinds Security Event Manager kann im Rahmen einer 30-tägigen Testversion völlig kostenlos getestet werden.

DIE WAHL DES HERAUSGEBERS

Abgesehen von nur reaktionären Werkzeugen,SolarWinds Security Event Managererleichtert das Durchsuchen Ihrer Active Directory-Umgebung und das Auffinden inaktiver Konten, historischer Zugriffsrechte und Berechtigungsinformationen. Dies verkürzt die Zeit, die für die Durchführung einer manuellen Prüfung Ihres Domänencontrollers erforderlich ist, erheblich und hilft dabei, potenzielle interne Schwachstellen zu schließen, bevor sie ausgenutzt werden.

Starten Sie die kostenlose 30-Tage-Testversion:solarwinds.com/security-event-manager

DU:Windows 10 und höher, Windows Server 2012 und höher, Cloud-basiert: Hypervisor, AWS und MS Azure

2. ManageEngine Endpoint DLP Plus (KOSTENLOSE TESTVERSION)

ManageEngine Endpoint DLP Plusimplementiert die Erkennung von Insider-Bedrohungen, auf die sich die Verfolgung der Benutzeraktivitäten konzentriertZugriff auf sensible Daten. Viele Systeme zur Identifizierung von Insider-Bedrohungen setzen KI-basierte Benutzer- und Entitätsverhaltensanalysen (UEBA) für alle Benutzeraktivitäten ein, aber die Strategie des ManageEngine-Pakets geht noch weiterLeichtweil es auf die Dateiaktivität beschränkt ist.

Hauptmerkmale:

• Verfolgt den Zugriff auf Daten
• Identifiziert und kategorisiert sensible Daten
• Überwacht Dateibewegungen

Das Endpoint DLP Plus-Softwarepaket muss auf einem Server installiert werden. Alle anderen Endpunkte im System werden überwachtüber das Netzwerk. Durch diese Konfiguration entsteht eine zentrale Konsole für das gesamte Unternehmen. Eine Erweiterung des Standardpakets kann entfernte Standorte erreichen und so einem Sicherheitszentrum die Verfolgung der Aktivitäten an allen Standorten ermöglichen.

Die wichtige Einrichtungsaufgabe bei jedem Datensicherheitssystem besteht darin, eine Definition dessen zu erstellen, was als „sensible“ Daten gilt. Das Dashboard von Endpoint DLP Plus enthält eine Bibliothek vonRichtlinienvorlagendie voreingestellte Definitionen und Steuerelemente bereitstellen. Für alle wichtigen Datenschutzstandards gibt es Vorlagen, es besteht aber auch die Möglichkeit, eigene zu erstellen.

Durch Anwenden einer Vorlage wird eine Sicherheitsrichtlinie erstellt, die Regeln festlegt, nach denen Benutzergruppen auf verschiedene Arten von zugreifen, diese ändern oder löschen könnensensible Daten. Diese Kontrollen erstrecken sich auf die Überwachung von USB-Speichergeräten, E-Mail-Systemen und Dateiübertragungsdiensten auf Cloud-Plattformen.

Der ManageEngine-Dienst führte eine Durchsuchung aller Endpunkte durch, um sensible Datenspeicher zu identifizieren. Das Tool ist in der Lage, Dokumentbilder mit zu verarbeitenOCRund es kann Ansammlungen von Feldern erkennen, die aufgrund ihrer Nähe einen zusammengesetzten sensiblen Datensatz erstellen. Anschließend kategorisiert der DLP jede identifizierte Dateninstanz.

DerKategorisierungDie Aufteilung sensibler Daten in verschiedene Typen ermöglicht eine detailliertere Kontrolle, indem bestimmte Aktionen für eine Kategorie ausgeführt werden können, die für eine andere blockiert werden könnten. Das System ermöglicht Ihnen auch die Definition vertrauenswürdiger Anwendungen, die sensible Daten generieren oder verarbeiten. Der Dienst blockiert den Export von Daten aus diesen privilegierten Softwarepaketen an nicht autorisierte Anwendungen.

Das DLP-System wird erhöhteine Warnungwenn verdächtige Aktivitäten festgestellt wurden. Sie können Regeln einrichten, damit das Paket diese Ereignisse automatisch verarbeitet, oder Antworten auf manuelle Prozesse überlassen.

Vorteile:

• Kostenlose Version verfügbar
• Automatisierte Antwortregeln
• Benachrichtigungen bei der Identifizierung verdächtiger Aktivitäten
• Kontrolle über E-Mail- und USB-Speichergeräte

Nachteile:

• Keine cloudbasierte Option

Die Software für ManageEngine Endpoint DLP Plus wird auf installiertWindows Server. Es stehen zwei Editionen zur Verfügung: Free und Professional. DerFreiDie Option ist auf die Überwachung von Daten auf 25 Endpunkten beschränkt. Die kostenpflichtige Version heißtFachmannAuflage. Sie können den Professional-Plan 30 Tage lang kostenlos testen.

Laden Sie ManageEngine Endpoint DLP Plus als 30-tägige KOSTENLOSE Testversion herunter

3. Datadog-Sicherheitsüberwachung

Datadog-Sicherheitsüberwachungzielt auf einen ganzheitlichen Ansatz zur Netzwerksicherheit ab, indem Daten aus jedem Teil Ihres Netzwerks sowohl intern als auch extern erfasst werden. Die Plattform ist äußerst flexibel, sodass Sie Bedrohungen manuell aufspüren und die Automatisierung nutzen können, um Insider-Bedrohungen im Keim zu ersticken.

Hauptmerkmale:

• Über 500 Integrationen.
• Einfache Benutzeroberfläche.
• Dutzende vorkonfigurierte Erkennungsregeln.

Auch wenn dies komplex klingt, leistet Datadog beeindruckende Arbeit darin, die Benutzeroberfläche sauber und benutzerfreundlich zu halten. Über eine einzige Glasscheibe können Sie Sicherheitsereignisse in dynamischen Umgebungen identifizieren und durchsuchen, sei es in der Cloud, vor Ort oder in einer Mischung aus beidem.

Durch diese Echtzeit-Bedrohungserkennung in Kombination mit den sofort einsatzbereiten Funktionen von Datadog können Sie Ihre Insider-Bedrohungsmanagementstrategie viel schneller implementieren als bei den meisten Plattformen. Dutzende vorkonfigurierter Erkennungsregeln beginnen sofort mit der Arbeit, sodass Sie sofort Einblicke in Angriffe, Fehlkonfigurationen und potenzielle Angriffe erhalten, die hinter Ihrer Firewall beginnen.

Mit über 500 von Anbietern unterstützten Integrationen verfügt Datadog über einige der flexibelsten Protokollierungs- und Überwachungsfunktionen aller Bedrohungserkennungstools. Sie können beispielsweise über Integrationen für AWS und G Suite verfügen und gleichzeitig über lokale Windows-Server- und Endpunktmonitore verfügen, die Daten an einen zentralen Ort übertragen.

Durch Partnerintegrationen können Sie neue und bestehende Tools umsetzen und zusätzliche Funktionen hinzufügen. Für weitere Funktionen zur Reaktion auf Vorfälle kann eine CrowdStrike-Integration installiert werden, um den Umgang mit internen Bedrohungen zu steuern und Ihnen mehr Kontrolle darüber zu geben, wie ein Team mit Reaktionen auf Vorfälle umgeht.

Wenn eine mögliche Insider-Bedrohung entdeckt wird, kann mit einer manuellen Untersuchung begonnen werden, um deren Gültigkeit und Umfang zu bestimmen. Datadog verkürzt die Zeit, die eine Untersuchung in Anspruch nimmt, drastisch, indem es direkt in Kommunikationstools integriert wird und Ereignissen einen eigenen Schweregrad zuweist.

Die Zuweisung eines Ereignisses zu einem Techniker oder einem Team kann automatisiert oder manuell erfolgen. Mit Datadog können Sie Sicherheitsinformationen, sogenannte „Signale“, schnell mit Ihrem Team teilen. Ereignisse können per E-Mail, Push-Benachrichtigung oder über Drittanbieter-Apps wie Slack oder PagerDuty geteilt werden.

Vorteile:

• Hochskalierbare cloudbasierte Überwachung, die Anwendungen über mehrere WANs hinweg ermöglicht
• Flexible À-la-carte-Preise und Funktionsoptionen
• Eine große Anzahl an Integrationen, ideal für große Netzwerke, die zahlreiche Anwendungen von Drittanbietern nutzen
• Vorlagen funktionieren sofort sehr gut, eine Anpassung ist möglich, aber nicht immer notwendig

Nachteile:

• Könnte von einer längeren Testphase von 30 Tagen profitieren

Datadog Security Monitoring beginnt bei 0,20 $ (0,15 £) pro Gigabyte analysierter Protokolldaten und Monat. Um auf die vorkonfigurierten Erkennungsregeln zuzugreifen und eine 15-monatige Protokollaufbewahrung zu ermöglichen, steigt der Preis auf 0,30 $ (0,22 £) pro Gigabyte aufgenommener Daten.

Sie können mit Datadog kostenlos versuchen, Insider-Bedrohungen zu jagen 14-tägige Testversion .

4. Paessler PRTG-Monitor

PRTG Network Monitor ist für seine robuste und flexible sensorbasierte Überwachung bekannt, hat es nun aber auch auf die Erkennung von Insider-Bedrohungen ausgeweitet. Paessler und Flowmon Networks haben sich kürzlich zusammengetan, um die Funktionen von PRTG Monitor um die Erkennung von Insider-Bedrohungen, detaillierte Flussanalysen und Verhaltensanalysen zu erweitern.

Hauptmerkmale:

• Maschinelles Lernen mit KI-Unterstützung.
• Hoch skalierbar.
• Automatische Gruppierung und Priorisierung.

Diese Ergänzung macht die PRTG-Plattform deutlich flexibler, insbesondere für Unternehmen, die eine Kombination aus Insider-Bedrohungserkennung und Netzwerküberwachung suchen.

Wie alle PRTG-Monitore funktioniert die Insider-Bedrohungserkennung durch die Kombination zweier benutzerdefinierter Sensoren, eines SNMP-Sensors und eines Python-Skriptsensors. Der SNMP-Sensor dient zur Überwachung der Flowmon-Appliance, während das Python-Skript die Anzeige dieser Daten von Flowmon im PRTG-Dashboard ermöglicht.

Zusammen liefern diese Sensoren sowohl tiefe Einblicke in den Netzwerkstatus eines Geräts als auch kontextbezogene Sicherheitsinformationen, die durch maschinelles Lernen verarbeitet werden können. Nach der Verarbeitung werden diese Sicherheitsereignisse gruppiert und je nach Schweregrad mit einer Priorität versehen, bevor sie im PRTG-Überwachungs-Dashboard angezeigt werden.

Das Live-Dashboard rückt Ihr gesamtes Netzwerk durch eine Reihe wichtiger Erkenntnisse, Diagramme und Live-Netzwerkkarten ins rechte Licht. Alle wichtigen Informationen zum Insider-Bedrohungsmanagement und zur Netzwerküberwachung können über über 300 verschiedene Grafikobjekte und Visualisierungen angezeigt und angepasst werden.

Im Backend ermöglicht PRTG eine flexible Alarmierung basierend auf einer Kombination aus Bedingungen, Schwellenwerten und Quoten. Alle Warnungen sind hochgradig konfigurierbar, sodass Sie die Anzahl der Gesamtwarnungen reduzieren können, die Ihre Einsatzzentrale erhält. Sie können wählen, ob Sie per E-Mail, HTTP-Anfrage, Push-Benachrichtigung oder über die Android- und iPhone-Apps von PRTG benachrichtigt werden möchten.

Techniker können während der Fehlerbehebung eines Ereignisses schnell von PRTG zu Flowmon wechseln, um eine Ursachenanalyse durchzuführen. Sie können andere verwandte Sicherheitsereignisse durchsuchen, um ein klareres Bild davon zu erhalten, was möglicherweise eine Insider-Bedrohung darstellt. Durch die Kombination Ihres Insider-Bedrohungsmanagements mit Ihrer Netzwerküberwachung vereinfachen Sie den Arbeitsablauf und erhöhen die Geschwindigkeit, mit der IT-Mitarbeiter und das Netzwerksicherheitsteam Probleme identifizieren und lösen können.

Vorteile:

• Verwendet Verhaltensanalysen, um verdächtige oder böswillige Aktivitäten zu identifizieren
• Die integrierte Ursachenanalyse hilft Technikern, Probleme schneller zu erkennen
• Der Drag-and-Drop-Editor erleichtert das Erstellen benutzerdefinierter Ansichten und Berichte
• Unterstützt eine breite Palette von Alarmmedien wie SMS, E-Mail und die Integration von Drittanbietern
• Unterstützt eine Freeware-Version

Nachteile:

• Ist eine sehr umfassende Plattform mit vielen Funktionen und beweglichen Teilen, deren Erlernung Zeit erfordert
• Benutzerdefinierte Sensoren können manchmal schwierig manuell zu konfigurieren sein

PTRG Monitor ist äußerst flexibel und so konzipiert, dass es für Unternehmen praktisch jeder Größe geeignet ist. Der Preis richtet sich nach der Anzahl der von Ihnen eingesetzten Sensoren. Sie können die Vollversion von PRTG und sein System zur Erkennung von Insider-Bedrohungen kostenlos über a testen 30-tägige Testversion .

5. Splunk

Splunkvermarktet sich selbst als „Data to Everything“-Plattform und ist damit ein äußerst flexibles Tool für die Erkennung, Überwachung und sogar Business Intelligence von Bedrohungen. Zunächst konzentrieren wir uns darauf, wie Splunk speziell für das Insider-Bedrohungsmanagement eingesetzt werden kann.

Hauptmerkmale:

• Verhaltensanalyse.
• Verhinderung von Datendiebstahl.
• Cloud- und On-Premise-Optionen.

Wie viele dieser Plattformen nutzt Splunk seine Leistungsfähigkeit, indem es Signale über Ereignisprotokolle sammelt, die von Endpunkten, Servern und Anwendungen abgerufen werden. Diese Ereignisse werden in das Splunk-Ökosystem eingebracht und in einem einzigen Dashboard angezeigt. Maschinelles Lernen und Verhaltensanalysen helfen dabei, wichtige Sicherheitsereignisse hervorzuheben, die bei einer manuellen Überprüfung möglicherweise übersehen wurden, und können sogar automatische Korrekturen über Skripte anwenden.

Splunk zeichnet sich bei der Erkennung von Insider-Bedrohungen vor allem durch sein User Behavior Analytics (UBA)-System aus. Dies ist eine Form der kontinuierlichen Bedrohungsüberwachung, die von Ihnen definierte Regeln mit dem regelmäßigen Verhalten eines Benutzers kombiniert. Wenn eine Regel verletzt wird oder verdächtiges Verhalten festgestellt wird, können sofort Maßnahmen ergriffen werden, um die Bedrohung zu stoppen.

Diese Kombination aus Verhaltens-Baselining und Peer-Group-Analyse bietet nicht nur einen klaren Einblick in die Aktionen eines internen Kontos, sondern auch in die Absicht hinter der Aktion eines Benutzers. Beispielsweise sehen die Aktionen eines kompromittierten Kontos ganz anders aus als die eines Mitarbeiters, der manuell versucht, auf Teile des Netzwerks zuzugreifen, für die er keine Berechtigung hat.

Die Daten, die Splunk verarbeiten kann, geben Ihnen einen detaillierten Einblick in diese Ereignisse und stellen Ihnen die Tools zur Bewältigung dieser Ereignisse zur Verfügung. Abgesehen von ungewöhnlichen Kontoaktivitäten ist Splunk in der Lage, Datenexfiltration, Privilegienausweitung und Missbrauch privilegierter Konten zu erkennen.

Durch ständige Netzwerküberwachung kann die Splunk-Plattform Datendiebstahl automatisch verhindern und warnen. Private oder sensible Informationen können als vertraulich gekennzeichnet werden, sodass Splunk verhindern kann, dass sie über ungesicherte Kanäle gelangen, und den Verlauf ihres Zugriffs überprüfen kann.

Vorteile:

• Kann Verhaltensanalysen nutzen, um Bedrohungen zu erkennen, die nicht durch Protokolle erkannt werden
• Eine hervorragende Benutzeroberfläche, sehr visuell mit einfachen Anpassungsoptionen
• Einfache Priorisierung von Ereignissen
• Unternehmensorientiert
• Verfügbar für Linux und Windows

Nachteile:

• Die Preisgestaltung ist nicht transparent und erfordert ein Angebot des Anbieters
• Eher für große Unternehmen geeignet
• Verwendet die Search Processing Language (SPL) für Abfragen, wodurch die Lernkurve steiler wird

Splunk verfügt über drei Preisstufen, beginnend mit einer kostenlosen Version, die 500 MB tägliche Indizierung ermöglicht. Überwachung und Warnungen sind nur in der Standard- und Premium-Version verfügbar, Ihre monatlichen Kosten hängen jedoch eng davon ab, wie viele Daten Splunk verarbeitet.

Sie können Splunk über a testen Kostenfreier Download .

Siehe auch: Überwachung der Netzwerksicherheit

6. ActivTrak

ActivTrak ist eine spezielle Plattform für Mitarbeiterüberwachung, betriebliche Effizienz und Sicherheitsmanagement. Da ActivTrak so viele Informationen über das Verhalten von Endbenutzern sammelt, kann es Insider-Bedrohungen leicht identifizieren und eine Schlüsselrolle als Tool zur Verwaltung von Insider-Bedrohungen spielen.

Hauptmerkmale:

• Eingehende Verhaltensüberwachung.
• Datenredaktion.
• Berichte zur Mitarbeiterproduktivität.

Durch eine Reihe leichter Sensoren auf Endpunktgeräten kann ActivTrak Insider-Bedrohungen sofort stoppen und einen Überblick über den Bedrohungsumfang auf unternehmensweiter Ebene liefern. Diese Sensoren können nicht nur Insider-Bedrohungen erkennen, sondern auch den Kontext des Sicherheitsereignisses auf einer tieferen Ebene erfassen.

Wenn beispielsweise ein Mitarbeiter versehentlich eine schädliche E-Mail öffnet, ist das etwas ganz anderes als wenn ein Mitarbeiter aktiv Hacking-Tools auf seinen Computern installiert. Das Verständnis dieses Unterschieds hilft dabei, eine individuelle Reaktion zu entwickeln, die sowohl angemessen als auch wirkungsvoll ist.

Durch diese Erkenntnisse können Sie sowohl Einzelpersonen als auch bestimmte Abteilungen oder Gruppen erkennen, die sich an risikoreichem Verhalten beteiligen. Die Anzeige dieser Informationen auf einem so hohen Niveau hilft größeren Unternehmen dabei, ihre Sicherheitslage nach Abteilung zu verfolgen und sogar Möglichkeiten für weitere Sicherheitsschulungen oder Richtlinienänderungen aufzudecken.

In Kombination mit dieser allgemeinen Verhaltensübersicht bietet ActivTrak auch grundlegenden Malware-Schutz, Website-Einschränkungen und automatisierte Datenschwärzung.

Außerhalb der Sicherheit bietet ActivTrak zusätzliche Funktionen wie die Verfolgung der Anwendungsnutzung, Berichte zur Mitarbeiterproduktivität und Workflow-Überwachung zur Erkennung unausgeglichener Arbeitsbelastungen und Spitzenarbeitszeiten.

Vorteile:

• Kann das Verhalten der Mitarbeiter aus Sicherheits- und Leistungsgründen überwachen
• Bietet hochgradig anpassbare automatisierte Behebung
• Beinhaltet grundlegende Endpunktsicherheit für Anti-Malware

Nachteile:

• Eher für die Mitarbeiterüberwachung konzipiert, die sich je nach Unternehmenskultur als aufdringlich anfühlen kann
• Add-ons wie Antivirenprogramme sind nicht so effektiv wie eigenständige AV-Produkte

ActivTrak gilt als Freemium-Software, die einige ihrer grundlegendsten Funktionen völlig kostenlos bietet. Um Zugriff auf Funktionen wie benutzerdefinierte Benachrichtigungen, detaillierte Automatisierung und Remote-Bereitstellung zu erhalten, benötigen Sie den Advanced-Plan ab 7,20 $ (5,39 £) pro Benutzer und Monat.

Die vollständige Preistabelle finden Sie auf der ActivTrak-Preisseite .

7. Code42

Code42ist ein SaaS, das sich fast ausschließlich auf das Stoppen und Verhindern von Insider-Bedrohungen für Netzwerke jeder Größe konzentriert. Unabhängig davon, ob Sie geistiges Eigentum schützen oder einen betrügerischen Mitarbeiter stoppen möchten, setzt Code42 eine Kombination aus Erkennung, Untersuchung und Reaktion ein, um böswilligen Aktivitäten ein Ende zu setzen.

Hauptmerkmale:

• Flexible Risikoanalyse.
• Schutz geistigen Eigentums.
• Automatisierte Reaktion auf Vorfälle.

Die Code42-Plattform wirft einen detaillierten Blick auf den Datenschutz und wendet maßgeschneiderte Lösungen für jedes Szenario an. Beispielsweise verwendet das System andere Techniken, um Daten von einer Cloud-Plattform wie Google Drive zu sichern, als wenn ein Mitarbeiter das Unternehmen unerwartet verlässt.

Durch die Überwachung praktisch aller Dateiaktivitäten kann Code42 Verstöße erkennen und erkennen, was in einer Sicherheitsrichtlinie als akzeptabel angesehen werden sollte und was nicht. Diese Technik kann die Lücke schließen, in der einzelne Lösungen wie Data Loss Prevention (DLP) oder User Activity Monitoring (UAM) nicht ausreichen.

Durch die Betrachtung von Sicherheitsereignissen auf einem solchen Niveau ist Ihr Unternehmen in der Lage, umfassende Sicherheitslücken zu identifizieren, wie z. B. die Offenlegung von Daten, die meisten Benutzer mit hohem Risiko und die anfälligsten Plattformen von Drittanbietern.

Dank dieser breiten Abdeckung können Sie mit Code42 schnell Maßnahmen gegen Bedrohungen ergreifen, sowohl durch manuelle Überprüfung als auch durch automatisierte Behebung. Administratoren können ein vorab priorisiertes Dashboard anzeigen, das die dringendsten Sicherheitsprobleme hervorhebt, damit sie sich an die Arbeit machen können, die am wichtigsten ist.

Es gibt einen ganzen Abschnitt, der der Security Orchestration Automation and Response (SOAR) gewidmet ist und Sicherheitsteams die Möglichkeit gibt, Regeln basierend auf Bedingungen oder Schwellenwerten zu erstellen und auf jedes Ereignis individuelle Reaktionen anzuwenden.

Schließlich kann Code42 tief in den Kontext eintauchen und die Aktivität eines einzelnen Benutzers verändern. Die Plattform überwacht privilegierte Konten und kann diejenigen Benutzer genauer überwachen, bei denen es Anzeichen dafür gibt, dass sie eher zu einer Insider-Bedrohung werden.

Beispielsweise unterliegen Benutzer, die Phishing-Tests nicht bestehen, ihre Unzufriedenheit mit ihrer Arbeit geäußert haben oder in ungesicherten Netzwerken gearbeitet haben, einer strengeren Prüfung ihrer Benutzerkonten.

Vorteile:

• Kann Dateien automatisch an ihrem vorherigen Speicherort und Status wiederherstellen
• Funktioniert eher als SIEM-Tool und ist daher eine gute Option für diejenigen, die eine erweiterte Abdeckung und Überwachung suchen
• Kann den Benutzerzugriff auf Netzwerkdateien und Speicherorte überwachen
• Analysetools können dabei helfen, festzustellen, ob Aktionen böswillig oder versehentlich erfolgten

Nachteile:

• Kann bei großem Einsatz ressourcenintensiv sein
• Hat eine steilere Lernkurve als vergleichbare IDS-Software
• Teuer, Preis je Computer

Code42 gibt es in zwei Preisstrukturen: Basic und Advanced. Die Advanced-Stufe bietet Ihnen detailliertere Untersuchungstools, die Erkennung von Dateilöschungen und die Überwachung von Cloud-Dateien. Die Preise sind jedoch nicht öffentlich verfügbar, a kostenlose 30-Tage-Testversion ist Angeboten.

Auswahl eines Tools zur Erkennung von Insider-Bedrohungen

Wir haben die sechs besten Tools zur Erkennung von Insider-Bedrohungen eingegrenzt, aber welches ist das Richtige für Sie?

Wenn Sie ein mittelgroßes bis großes Unternehmen sindSolarWinds Security Event Managerbietet umfassenden Schutz vor Insider-Bedrohungen zu einem fairen Preis. SolarWinds SEM ermöglicht das Insider-Bedrohungsmanagement gepaart mit der Möglichkeit, andere Aspekte der Netzwerksicherheit auf einer benutzerfreundlichen Plattform zu skalieren und zu überwachen.

BeidePaessler PRTGUndDatenhundliegen mit ihren vorgefertigten Regelsätzen, intuitiven Dashboards und skalierbaren Überwachungslösungen knapp auf dem zweiten Platz.

Häufig gestellte Fragen zur Erkennung von Insider-Bedrohungen:

Wie überwachen Sie Insider-Bedrohungen?

Überwachen Sie Insider-Bedrohungen, indem Sie nach Aktionen suchen, die von Benutzerkontoinhabern ausgeführt werden und nicht der Norm entsprechen. Die Grundlinie des Standardverhaltens muss für jeden Benutzer festgelegt werden.

Was sind die Insider-Bedrohungsindikatoren?

Sicherheitssoftware nutzt „Kompromittierungsindikatoren“, um böswillige Aktivitäten zu erkennen. Diese werden als IoCs bezeichnet und weisen spezifische Verhaltensmerkmale im Zusammenhang mit Insider-Bedrohungen auf.

Welche 4 Methoden zur Bedrohungserkennung gibt es?

Es gibt vier Strategien zur Bedrohungserkennung:

• Konfigurationsanalyse – Es kommt zu einer Kommunikation, die nicht zur geplanten Architektur des Systems passt
• Modellieren – Legen Sie eine Basislinie der normalen Aktivität pro Benutzer fest und suchen Sie nach Abweichungen davon
• Indikator – Systemänderungen (Kompromittierungsindikatoren), die bekanntermaßen auf böswilliges Verhalten hinweisen
• Bedrohungsverhalten – Bekannte Aktivitätsmuster, die zu einem schädlichen Ereignis führen können

Verfügen Sie über eine Methode zur Verfolgung von Insider-Bedrohungen? Teilen Sie uns in den Kommentaren unten unbedingt Ihre Erfahrungen mit Insider-Bedrohungen mit.