-
Die Erfindung betrifft ein Verfahren zur Steuerung des Zugriffs eines Users auf ein Netzwerk, ein Netzwerk mit mindestens einer Datenverarbeitungseinrichtung und ein Computerprogramm mit Programmcodemitteln.
-
Aus dem Stand der Technik sind Verfahren zur Steuerung des Zugriffs eines Users auf ein Netzwerk bekannt, die das Netzwerk vor einem unbefugten Zugriff des Users schützen sollen, damit der User nicht unerlaubterweise mit den Dateien des Netzwerks interagiert. Die bekannten Verfahren sehen insbesondere den Schutz vor sogenannten Ransomware-Angriffen vor, bei denen der User als Angreifer Zugriff auf das Netzwerk erhält, Dateien des Netzwerks auf einen eigenen Server kopiert und anschließend die Dateien des Netzwerks derart stark verschlüsselt, dass der Betreiber des Netzwerks die Dateien nicht mehr selbst wiederherstellen kann. Für die Wiederherstellung der Daten verlangt der User von dem Betreiber des Netzwerks die Zahlung eines hohen Geldbetrags. In einer weiteren Variante von Ransomware-Angriffen führt ein an sich vertrauenswürdiger User ein schadhaftes Programm (Ransomware) aus, woraufhin weitgehend vom User unerkannt die Dateien des Netzwerks von dem Angreifer kopiert und verschlüsselt werden. Auch bei dieser Variante ist die Zahlung der vom Angreifer verlangten Geldsumme oftmals der einzige Weg zur Wiederherstellung der Daten, wobei es keine Garantie dafür gibt, dass der Angreifer Wort hält und die Daten nach Erhalt der verlangten Geldsumme tatsächlich wiederherstellt. Aufgrund des zumindest vorübergehenden Datenverlusts und der in jedem Fall beträchtlich hohen verlangten Geldsumme entstehen dem Betreiber des Netzwerks immense Schäden.
-
Zur Steuerung des Zugriffs auf ein Netzwerk, insbesondere zum Schutz gegen die genannten Angriffe, sehen bekannte Verfahren vor, dass der User eines Netzwerks nur durch einen Administrator des Netzwerks freigegebene Programme ausführen kann, was auch als Whitelisting bezeichnet wird. Die Ausführung nicht freigegebener Programme wird blockiert. Der Nachteil dieser Verfahren ist, dass sämtliche der zugelassenen Programme ausdrücklich durch einen Administrator des Netzwerks freigegeben werden müssen, insbesondere nach jedem Update eines Programms. Die Liste der erlaubten Programme muss demnach fast täglich aktualisiert werden, daher ist es fast unmöglich, sie auf dem neusten Stand zu halten. Dies schränkt die praktische Einsetzbarkeit dieser Verfahren stark ein. Daneben kann mit den auf Whitelisting basierenden Verfahren nicht die Erstellung von unerlaubten Dateikopien verhindert werden. So kann ein Angreifer nach wie vor Dateien entwenden und diese zum Schaden der Organisation einsetzen.
-
Es ist daher die Aufgabe der Erfindung, ein verbessertes Verfahren zur Steuerung des Zugriffs eines Users auf ein Netzwerk zu entwickeln, wobei das Verfahren insbesondere die genannten Nachteile aus dem Stand der Technik beseitigt und einen zuverlässigen Schutz vor Angriffen bietet.
-
Die Aufgabe der Erfindung wird gelöst durch ein Verfahren zur Steuerung des Zugriffs eines Users auf ein Netzwerk mit den folgenden Schritten:
- - Bestimmung eines Überwachungsparameters, der dem Zugriffs des Users auf mindestens ein Programm und/oder mindestens einen Dienst und/oder mindestens einer Datei des Netzwerks und/oder einer dem Netzwerk (10) und/oder dem User (13) zugeordneten Ortsinformation entspricht,
- - Vergleichen des Überwachungsparameters mit einem ersten Grenzwert und
- - Trennung des Zugriffs des Users auf das Netzwerk in Abhängigkeit von dem Ergebnis des Vergleichs, insbesondere falls der Überwachungsparameter größer ist als der erste Grenzwert.
-
Daneben wird die Aufgabe gelöst durch ein Netzwerk mit mindestens einer Datenverarbeitungseinrichtung, die dazu ausgestaltet ist, das erfindungsgemäße Verfahren durchzuführen. Außerdem wird die Aufgabe gelöst durch ein Computerprogramm mit Programmcodemitteln, das dazu ausgestaltet ist, die Schritte des erfindungsgemäßen Verfahrens durchzuführen, wenn das Computerprogramm auf einem Computer oder einer entsprechenden Recheneinheit ausgeführt wird, insbesondere auf einer Datenverarbeitungseinrichtung des erfindungsgemäßen Netzwerks.
-
Die Erfindung basiert auf der Grundüberlegung, dass ein unerwünschter Zugriff eines Users, auch Client genannt, auf das Netzwerk, insbesondere ein Ransomware-Angriff auf das Netzwerk, zuverlässig durch die Interaktion des Users mit dem Netzwerk, insbesondere mit dessen Programmen, Diensten und/oder Dateien erkennbar ist. Durch eine Quantifizierung dieser Interaktion des Users, die im Sinne der Erfindung durch die Bestimmung des Überwachungsparameters technisch umgesetzt wird, lässt sich ein unerwünschter Zugriff technisch einfach Weise durch einen Vergleich des Überwachungsparameters mit dem ersten Grenzwert erkennen. Falls der Überwachungsparameter beispielsweise größer ist als der erste Grenzwert, erkennt das erfindungsgemäße Verfahren den Zugriff des Users auf das Netzwerk als Bedrohung und veranlasst die Trennung des Zugriffs des Users auf das Netzwerk sowie insbesondere die sofortige und auch zukünftige Verweigerung des Dateizugriffs, um weitere schadhafte Handlungen des Users am Netzwerk möglichst rasch zu unterbinden. Insofern ermöglicht das erfindungsgemäße Verfahren einen aktiven Schutz der Daten des Netzwerks.
-
Zur möglichst raschen Abwehr einer Bedrohung können das Vergleichen des Überwachungsparameters mit dem ersten Grenzwert und/oder die Trennung des Zugriffs des Users auf das Netzwerk, insbesondere auf die Daten des Netzwerks automatisiert erfolgen.
-
Die Bestimmung des Überwachungsparameters kann von dem Zugriff des Users auf mindestens ein Programm, insbesondere auf mindestens einen Dienst des Netzwerks abhängig sein. Vorzugsweise wird in dem Fall, in dem der User mindestens ein insbesondere vordefiniertes Programm, insbesondere einen insbesondere vordefinierten Dienst des Netzwerks deaktiviert, der Überwachungsparameter auf einen derart vordefinierten Wert gesetzt, dass die Trennung des Zugriffs des Users auf das Netzwerk erfolgt, was beispielsweise durch einen Wert erfolgt, der größer ist als der erste Grenzwert. In einer anderen Ausgestaltung der Erfindung kann der Überwachungsparameter einen booleschen Wert aufweisen, der bei einer Deaktivierung des Dienstes beispielsweise auf den Wert „true“ gesetzt wird, was durch einen entsprechend ausgestalteten Vergleich festgestellt werden kann. Wie bereits gesagt wird in diesem Fall der Zugriff des Users auf das Netzwerk als Bedrohungslage registriert, wodurch das erfindungsgemäße Verfahren den Zugriff des Users auf das Netzwerk trennt.
-
Dienste des Netzwerks sind bekanntlich eine Unterart von Programmen, die sich in der Regel mit der Verwaltung des Netzwerks befassen. Gängige Beispiele sind Systemdienste des Netzwerks, etwa der Dienst „Volume Shadow Copy“ von Windows-Netzwerken, der insbesondere zu Beginn eines Ransomware-Angriffs durch den User deaktiviert wird, um die Wiederherstellung der Netzwerkdaten zu erschweren. Da insofern das Abschalten des (System-)Dienstes „Volume Shadow Copy“ einem typischen Verhaltensmuster eines Ransomware-Angriffs entspricht, vermag das erfindungsgemäße Verfahren, dieses Verhaltensmuster zuverlässig zu erkennen und den Zugriff des Users auf das Netzwerk in diesem Fall zu trennen, so dass weitere Schadenshandlungen vermieden werden. Entsprechendes gilt für das Abschalten einer Firewall des Netzwerks, die ebenfalls einem Systemdienst des Netzwerks im Sinne der Erfindung entspricht. Ein weiterer Dienst im Sinne der Erfindung kann ein einer Antivirus-Software zugeordneter Dienst sein.
-
Daneben kann die Bestimmung des Überwachungsparameters von dem Zugriff des Users auf mindestens eine Datei des Netzwerks abhängig sein. Vorzugsweise ist vorgesehen, dass die Bestimmung des Überwachungsparameters abhängig ist von der Anzahl der von dem User geöffneten Dateien des Netzwerks, wobei insbesondere die Anzahl der vom User geöffneten Dateien mindestens eine Aktion, vorzugsweise sämtliche Aktionen der folgenden Gruppe umfasst: Öffnen, Lesen, Schreiben, Umbenennen, Kopieren und Löschen einer Datei des Netzwerks. Sämtliche der genannten Aktionen setzen einen Zugriff der betreffenden Datei voraus. Die Anzahl der von dem User geöffneten Dateien ist daher ein geeignetes Maß für den Überwachungsparameter für den Zugriff des Users auf Dateien des Netzwerks. Zur Erkennung von parallel zueinander veranlassten Kopier- und/oder Verschlüsselungsvorgängen in großer Zahl, die auch als Bulk Operation bezeichnet werden, kann der Überwachungsparameter die Anzahl der aktuell von einem User geöffneten Dateien berücksichtigen. Indem der Überwachungsparameter von der Anzahl der von dem User geöffneten Dateien des Netzwerks abhängig sein kann, werden nicht nur das Verschlüsseln der betroffenen Dateien des Netzwerks erkannt, sondern auch ein unerlaubtes Kopieren und/oder Umbenennen. Es ist daher unerheblich, ob der User Dateien nicht nur kopieren oder gleich verschlüsseln möchte. Es zählt hier jeglicher Zugriff auf die Daten des Netzwerks. Insofern ist auch ein Schutz der Daten des Netzwerks vor unerlaubtem Kopieren gegeben, etwa per E-Mail oder einem transportablen Medium, was auch als „Data Loss Prevention“ bezeichnet wird.
-
Das Verfahren eignet sich daneben auch zur möglichst frühzeitigen Erkennung eines unbefugten Zugriffs auf das Netzwerk. Vorzugsweise führt jede der genannten Aktionen zu einer inkrementellen Erhöhung des Überwachungsparameters, wobei die Erhöhung individuell in Abhängigkeit der Aktion und/oder des Users gewichtet sein kann. Im Sinne der Erfindung kann der Überwachungsparameter mindestens einen Wert, vorzugsweise eine Vielzahl von Werten umfassen, wobei der Wert als Binär-, Ganzzahl-, Gleitkommawert, Zeichen, Zeichenfolge und/oder Boolean-Wert ausgestaltet sein kann.
-
In einer weiteren Ausgestaltung der Erfindung entspricht die dem Netzwerk und/oder dem User zugeordnete Ortsinformation dem Standort des Netzwerks und/oder des Users, wobei der Standort insbesondere mittels der IP-Adresse und/oder mittels Standorterkennung, beispielsweise GPS, ermittelt wird. Der Überwachungsparameter entspricht insbesondere der Entfernung des Standorts des Users vom Standort des Netzwerks. In diesem Fall kann der erste Grenzwert einen insbesondere vordefinierten Entfernungswert umfassen. Falls bei dem Vergleich des Überwachungsparameters mit dem ersten Grenzwert festgestellt wird, dass der Standort des Users weiter als der vordefinierte Entfernungswert vom Standort des Netzwerks entfernt ist, kann dies als Bedrohung angesehen werden, so dass die erfindungsgemäße Trennung des Zugriffs des Users auf das Netzwerk erfolgt. Diese Ausgestaltung entspricht eine besonders effektive Umsetzung des Prinzips der ortsabhängigen Autorisierung für User eines Netzwerks.
-
Vorzugsweise erfolgt die Bestimmung des Überwachungsparameters über einen insbesondere vordefinierten Zeitraum, der insbesondere durch einen Administrator des Netzwerks definiert wird. Ein derartiger Zeitraum ist beispielsweise die zeitliche Dauer der Sitzung des Users. Daneben kann ein geeigneter Zeitraum individuell für jeden User definiert werden. Der Zeitraum kann auch ein festes Zeitintervall, etwa eine Stunde oder eine Sekunde sein. Die Bestimmung des Überwachungsparameters über einen Zeitraum ermöglicht eine bessere Vergleichbarkeit des Überwachungsparameters. Die Bestimmung des Überwachungsparameters über den Zeitraum erfolgt beispielsweise durch Bildung eines Maximalwertes, eines Mittelwertes und/oder eines kumulierten, insbesondere addierten Wertes.
-
Vorzugsweise ist der erste Grenzwert insbesondere von einem Administrator des Netzwerks vordefiniert und/oder wird durch eine Lernphase über einen insbesondere benutzerdefinierten Zeitraum bestimmt. Der erste Grenzwert kann beispielsweise eine statische Größe sein und/oder beispielsweise einer maximal zulässigen Anzahl an Dateiöffnungen des Users entsprechen. Der erste Grenzwert kann daneben userspezifisch festgelegt werden. Die Erfindung kann vorsehen, dass der erste Grenzwert durch den Administrator des Netzwerks insbesondere für ein definiertes Zeitintervall veränderbar ist. In einer vorteilhaften Weiterbildung der Erfindung entspricht die Lernphase einem Überwachungsbetrieb des erfindungsgemäßen Verfahrens, in dem das normale, unauffällige Verhalten des Users über den Zeitraum, beispielsweise vier Wochen, ausgewertet wird.
-
Dabei kann der erste Grenzwert anhand mindestens eines im Zeitraum bestimmten Überwachungsparameters bestimmt werden, der beispielsweise der Anzahl innerhalb einer Stunde von dem User geöffneten Dateien entsprechen kann. Die Ergebnisse der Lernphase, insbesondere der währenddessen bestimmte Überwachungsparameter, werden vorzugsweise protokolliert und/oder in einer Datenbank gespeichert. Im Sinne der Erfindung dient die Lernphase des erfindungsgemäßen Verfahrens dazu, das Verhalten eines unauffälligen Users durch die Bestimmung des ersten Grenzwertes zu ermitteln. Falls der User künftig schadhafte Dateien öffnet und mit Ransomware infiziert wird, registriert das erfindungsgemäße Verfahren das auffällige Verhalten aufgrund einer signifikanten Abweichung des Überwachungsparameters vom ersten Grenzwert und ermöglicht in diesem Fall, selektiv und schnell den User von einem weiteren Zugriff auf das Netzwerk, insbesondere auf dessen Dateien, zu sperren, so dass Schäden vermieden werden. Gleichsam wird eine Bearbeitung vieler Dateien des Netzwerks im regulären Betrieb ohne Weiteres ermöglicht, sofern dieses Verhalten eines Users dem in der Lernphase als normal bestimmten Verhalten entspricht oder insbesondere eine genehmigte Ausnahme von übergeordneter Stelle, beispielsweise von einem Administrator des Netzwerks, erteilt wurde.
-
In einer vorteilhaften Weiterbildung der Erfindung erfolgt die Trennung des Zugriffs des Users auf das Netzwerk durch mindestens einen Schritt der folgenden Gruppe: Beenden der aktuellen Netzwerksitzung des Users, Verweigerung von einem weiteren Zugriff des Users auf mindestens eine Datei, vorzugsweise auf sämtliche Dateien des Netzwerks und Sperrung mindestens eines benutzerdefinierten Ports des Users für den Zugriff auf das Netzwerk, beispielsweise Sperrung des Userzugriffs auf einen Port des Netzwerks, der dem Server Message Block (SMB) zugeordnet ist, insbesondere Sperrung des Userzugriffs auf Port 445 des Netzwerks. Durch ein insbesondere sofortiges Beenden der aktuellen Netzwerksitzung des Users, und damit auch von sämtlichen Dateien, die der User offen hat, wird sichergestellt, dass weitere schadhafte Handlungen des Users im Netzwerk unterbunden werden. Entsprechendes gilt für die Verweigerung von einem weiteren Zugriff auf mindestens eine Datei des Netzwerks, die beispielsweise durch eine Änderung der Berechtigung des Users, insbesondere durch eine Verweigerung der Zugriffsberechtigungen des Users vorgenommen werden kann. Durch die Sperrung des Userzugriffs auf den genannten Port, was beispielsweise mittels einer insbesondere lokalen Firewall-Regel bezüglich des Users und/oder mittels eines entsprechend definierten Protokolls, vorzugsweise des Protokolls „Internet Protocol Security (IPSec)“ veranlasst wird, wird eine weitere Interaktion des Users mit dem Netzwerk userseitig unterbunden. Durch eine Kombination der Schritte der vorstehend genannten Gruppe ist ein effektiver Schutz des Netzwerks möglich.
-
Vorzugsweise erfolgt die Trennung des Zugriffs des Users auf das Netzwerk durch die Verweigerung von mindestens einer Zugriffsberechtigung des Users, insbesondere durch die Verweigerung von sämtlichen Zugriffsberechtigungen des Users. Im Sinne der Erfindung umfasst die Verweigerung einer Zugriffsberechtigung den Entzug einer vormals erteilten Zugriffsberechtigung und die aktive Zuteilung einer Verweigerung für diese Zugriffsberechtigung, was auch als Verweigerungsberechtigung bezeichnet wird. Hierdurch wird eine weitere Interaktion des Users mit dem Netzwerk unterbunden und das Netzwerk vor weiterem Schaden geschützt. Damit wird sichergestellt, dass ab der Trennung des Zugriffs keine Dateien mehr gelesen, verändert oder gelöscht werden können.
-
In einer weiteren Ausgestaltung der Erfindung wird vorzugsweise vor der Bestimmung des Überwachungsparameters eine Usergruppe erstellt, wobei jedem Mitglied der Usergruppe die Schreib- und/oder Leseberechtigung, insbesondere jede Zugriffsberechtigung verweigert ist, und bei der Trennung des Zugriffs des Users auf das Netzwerk der User der Usergruppe zugewiesen wird. Mit der Zuweisung des Users zur Usergruppe wird automatisch die Verweigerung der Zugriffsberechtigungen vollzogen, so dass der weitere Zugriff des Users auf das Netzwerk sofort gesperrt wird. Durch Zuordnung einer aktiven Verweigerung der Zugriffsberechtigung in der vorstehend genannten Usergruppe werden sämtliche, beispielsweise durch die Zuordnung des Users zu anderen Usergruppen bereits erteilten Zugriffsberechtigungen überschrieben. Die Verweigerung der Zugriffsberechtigung kann mindestens einem Element des Netzwerks, beispielsweise mindestens einer Datei und/oder mindestens einem Ordner des Netzwerks, vorzugsweise sämtlichen Elementen des Netzwerks zugeordnet sein, wobei als Ausnahme der Zugriff auf eine vordefinierte Hilfeseite noch möglich sein kann.
-
Vorzugsweise ist die Ausgabe eines Warnsignals an den User und/oder an einen Administrator des Netzwerks vorgesehen in Abhängigkeit von einem Vergleich des Überwachungsparameters mit einen zweiten Grenzwert, der verschieden ist von dem ersten Grenzwert, insbesondere kleiner als dieser ist. Der zweite Grenzwert entspricht im Sinne der Erfindung einem Warnwert, wobei beispielsweise ein Überschreiten des Warnwerts dem User und/oder dem Admin durch das Warnsignal signalisieren soll, dass gegebenenfalls ein leicht auffälliges Verhalten des Users vorliegt, das sich vom normalen Verhalten des Users unterscheidet, bevor aber bereits der erste Grenzwert überschritten ist und eine Trennung des Zugriffs des Users auf das Netzwerk erfolgt. Der zweite Grenzwert kann insbesondere durch einen Administrator des Netzwerks vordefiniert sein. Daneben kann die Bestimmung des zweiten Grenzwerts von dem ersten Grenzwert abhängig sein und/oder durch eine weitere Lernphase erfolgen, deren Art bereits oben in Zusammenhang mit dem ersten Grenzwert beschrieben ist. Der zweite Grenzwert kann in Abhängigkeit des jeweiligen Users festgelegt werden. Das Warnsignal kann als Benachrichtigung ausgestaltet sein, die dem User und/oder dem Administrator angezeigt wird. Daneben kann das Warnsignal eine automatisch versendete E-Mail an den User und/oder den Administrator sein. Ein Warnsignal kann ausgegeben werden, wenn die Trennung des Zugriffs des Users auf das Netzwerk erfolgt.
-
Zur weiteren Zugriffssteuerung sieht das Verfahren vorzugsweise eine Abfrage vor, ob der User in einer bestehenden User-Datenbank des Netzwerks existiert und die Trennung des Zugriffs des Users auf das Netzwerk, falls der User nicht in der User-Datenbank existiert. Hierdurch wird sichergestellt, dass nur in der User-Datenbank aufgeführten Usern der Zugriff auf das Netzwerk gewährt wird. Die User-Datenbank kann von einem Administrator des Netzwerks verändert werden. Vorzugsweise wird die User-Datenbank von einem Administrator des Netzwerks erstellt, bevor der User auf das Netzwerk zugreift. Die User-Datenbank kann die User und die einem User zugeordneten Überwachungsparameter und/oder die Grenzwerte umfassen, die vorzugsweise durch die Lernphase ermittelt wurden.
-
Zur Anpassung des erfindungsgemäßen Verfahrens können der erste Grenzwert und/oder der zweite Grenzwert während des Verfahrens geändert werden, vorzugsweise durch einen Administrator des Netzwerks, wobei die Änderung mittels Fernzugriff erfolgen kann, beispielsweise mittels eines Web-Frontend für den Administrator.
-
Die mindestens eine Datenverarbeitungseinrichtung des erfindungsgemäßen Netzwerks weist vorzugsweise einen Dateiverwaltungsdienst, etwa einen File Server auf, der derart ausgestaltet ist, das erfindungsgemäße Verfahren durchzuführen. Das Computerprogramm ist vorzugsweise auf einer Datenverarbeitungseinrichtung des erfindungsgemäßen Netzwerks ausführbar.
-
Weitere Vorteile und Merkmale der Erfindung ergeben sich aus den Ansprüchen und der nachfolgenden Beschreibung, in der Ausführungsbeispiele der Erfindung unter Bezugnahme auf die Zeichnung im Einzelnen beschrieben sind. Dabei zeigen:
- 1 eine erfindungsgemäße Vorrichtung in einer schematischen Skizze,
- 2 ein erfindungsgemäßes Verfahren in einem Ablaufdiagramm und
- 3 eine weitere Ausgestaltung des erfindungsgemäßen Verfahrens in einem Ablaufdiagramm.
-
1 zeigt in einer schematischen Skizze ein erfindungsgemäßes Netzwerk 10 mit einer Datenverarbeitungseinrichtung 11, die der Einfachheit wegen als einzelner Computer dargestellt ist, wobei das Netzwerk 10 mehrere Datenverarbeitungseinrichtungen 11 umfassen kann. Der Computer 11 weist einen File Server 12 auf, der zur Durchführung des erfindungsgemäßen Verfahrens ausgestaltet ist. Links neben dem Computer 11 sind zwei User 13,14 dargestellt, die Zugriff auf das Netzwerk 10 ersuchen, was durch mit Pfeilen versehene Linien dargestellt ist. Daneben hat ein in 1 unten angeordneter Administrator 15 Zugriff auf das Netzwerk 10, insbesondere auf dessen File Server 12, beispielsweise mittels eines Web-Frontends, und kann die im Folgenden beschriebenen Parameter definieren bzw. ändern. Im Folgenden wird das erfindungsgemäße Verfahren für einen einzelnen U-ser 13 erläutert, wenngleich das Verfahren in Bezug auf mehrere User 13,14 durchgeführt werden kann.
-
2 zeigt eine Ausgestaltung des erfindungsgemäßen Verfahrens in einem Ablaufdiagramm, wobei ein bereits bestehender Zugriff des Users 13 auf das Netzwerk 10 besteht; eine Authentifizierung und eine Autorisierung des Users 13 sind bereits erfolgt, so dass der User 13 Zugriff auf eine freigegebene Datenressource des Netzwerks 10 hat. Auf dem File Server 12 ist dem User 13 für die Dauer seines Zugriffs auf das Netzwerk 10 eine entsprechende User-Session zugeordnet. Daneben wurde bereits durch den Administrator 15 des Netzwerks der erste Grenzwert (Quota-Wert) Q auf 50 gesetzt, wobei der erste Grenzwert Q dem User 13 zugeordnet und beispielsweise in einer Datenbank des Netzwerks 10 abgelegt wurde. Außerdem wurde eine User-Gruppe auf dem Computer 11 bzw. Server 12 erstellt, wobei deren Mitglieder automatisch sämtliche Zugriffsberechtigungen verweigert sind. Damit wird sichergestellt, dass der User 13 ab dem Zeitpunkt seiner Zuweisung zu dieser User-Gruppe auf keine Daten zugreifen, insbesondere keine Dateien mehr lesen, verändern, kopieren oder löschen kann. Die User-Gruppe wird daher auch als insbesondere lokale Verweigerungsgruppe bezeichnet. Sämtliche der vorstehend genannten vorbereitenden Schritte sind in 2 als Verfahrensschritt A dargestellt.
-
In einem weiteren Verfahrensschritt B erfolgt die Bestimmung eines Überwachungsparameters P, der den Zugriff des Users 13 sowohl auf Dienste des Netzwerks 10 als auch auf dessen Dateien berücksichtigt. Im Rahmen der Bestimmung des Überwachungsparameters P wird im vorliegenden Ausführungsbeispiel für die gesamte Dauer des Zugriffs des Users 13, also während der User-Session, geprüft, ob der User 13 den Systemdienst „Volume Shadow Copy“ des Computers 11 des Netzwerks 10 deaktiviert. Solange dies nicht der Fall ist, erfolgt hierdurch keine Änderung des Überwachungsparameters P, so dass in Folge des anschließenden Vergleichs C des Überwachungsparameters P mit dem ersten Grenzwert Q keine Trennung D des Zugriffs des Users 13 auf das Netzwerk 10 erfolgt und der User 13 weiterhin Zugriff auf das Netzwerk 10 hat. Das Verfahren wird in diesem Fall mit der Bestimmung B des Überwachungsparameters P fortgesetzt. Falls dagegen der User 13 den Systemdienst „Volume Shadow Copy“ deaktiviert, wird der Überwachungsparameter P auf einen Wert von 999 gesetzt. Infolge des dann vorgenommenen Vergleichs C des Überwachungsparameters P mit einem ersten Grenzwert Q, der vom Administrator 15 des Netzwerks 10 im vorliegenden Ausführungsbeispiel bekanntlich auf einen Wert von 50 festgelegt wurde, ist der Überwachungsparameter P, mit einem Wert von 999, größer als der erste Grenzwert Q. In einer weiteren Ausgestaltung der Erfindung kann der Überwachungsparameter P einen Boolean-Wert umfassen, der bei Feststellung eines deaktivierten Systemdienstes auf „true“ gesetzt wird, was durch den Vergleich mit dem ersten Grenzwert Q, der den Wert „true“ aufweist, registriert wird. In diesem Fall sieht das Verfahren vor, unabhängig von dem im Folgenden noch erläuterten Zugriff des Users 13 auf Dateien des Netzwerks 10, die Trennung D des Zugriffs des Users 13 auf das Netzwerk 10 zu veranlassen. Dies erfolgt durch ein sofortiges Beenden der Sitzung des Users 13 und der Trennung von sämtlichen Dateien, die der User 13 aktuell offen hat. Daneben wird der 13 User der lokalen Verweigerungsgruppe zugewiesen, so dass ein erneuter Zugriff auf Dateien des Netzwerks 10 aufgrund der Mitgliedschaft des Users 13 in der lokalen Verweigerungsgruppe nicht mehr möglich ist.
-
Außerdem wird jeweils eine E-Mail an den User 13 und an den Administrator 15 des Netzwerks versendet, um auf das auffällige Verhalten des Users 13 hinzuweisen. Die Trennung D des Zugriffs des Users 13 auf das Netzwerk 10 kann nur durch den Administrator 15 wieder aufgehoben werden.
-
Alternativ oder zusätzlich kann der Verfahrensschritt B im Rahmen der Bestimmung des Überwachungsparameters P die Ermittlung des Standorts des Users 13 vorsehen, so dass der Überwachungsparameter P der Entfernung des Standorts des Users 13 vom Standort des Netzwerks 10 entspricht, welcher in der Regel bekannt ist. Der erste Grenzwert Q weist eine vordefinierte Maximalentfernung auf, die im Rahmen des erfindungsgemäßen Vergleichs mit der Entfernung des Standorts des Users 13 vom Standort des Netzwerks 10 gemäß Verfahrensschritt C verglichen wird. Falls dabei festgestellt wird, dass der Standort des Users 13 weiter als die vordefinierte Maximalentfernung vom Standort des Netzwerks 10 entfernt ist, wird die Trennung D des Zugriffs veranlasst.
-
Weiterhin sieht das Verfahren gemäß 2 vor, dass die Bestimmung B des Überwachungsparameters P auch abhängig von dem Zugriff des Users 13 auf Dateien des Netzwerks 10 ist, wobei der Überwachungsparameter P im vorliegenden Ausführungsbeispiel der 2 der Anzahl der von dem User 13 geöffneten Dateien pro Stunde entspricht und wobei die Anzahl der vom User geöffneten Dateien als File Handles bezeichnet und protokolliert werden. Demgemäß bedeutet der vordefinierte Wert des ersten Grenzwerts bzw. des Quota-Werts von 50, dass der User 13 solange unauffällig ist, wie der User 13 weniger als 50 Dateien pro Stunde öffnet. Falls der User 13, beispielsweise aufgrund einer Infektion mit Ransomware, beginnt, vergleichsweise rasch und häufig Dateien zu kopieren, zu ändern und/oder zu löschen, überschreitet der Überwachungsparameter P den ersten Grenzwert Q, was durch den Verfahrensschritt C des Vergleichs erkannt wird. Demgemäß wird die Trennung D des Zugriffs des Users 13 auf das Netzwerk 10 in der bereits beschriebenen Weise veranlasst. Solange der Überwachungsparameter P kleiner ist als der erste Grenzwert Q, wird das Verfahren mit der Bestimmung B des Überwachungsparameters P fortgesetzt.
-
Während die Trennung D des Zugriffs des Users 13 auf das Netzwerk 10 nach dem Verfahren gemäß 2 zwei Ursachen haben kann, nämlich ein unzulässiges Beenden eines Dienstes und/oder auffällig viele Dateiöffnungen, erfolgt in beiden Fällen jeweils die Trennung D des Zugriffs des Users.
-
3 zeigt ein weiteres Ausführungsbeispiel des erfindungsgemäßen Verfahrens in einem Ablaufdiagramm. Zunächst erstellt der Administrator 15 des Netzwerks 10 eine User-Datenbank, die im vorliegenden Beispiel den User 13 beinhaltet (Verfahrensschritt E). Falls ein User 13 Zugriff auf das Netzwerk 10 ersucht, erfolgt in einem Verfahrensschritt eine Abfrage F, ob der User 13 in der User-Datenbank enthalten ist. Falls dies nicht der Fall ist, wird das Zugriffgsgesuch des Users 13 bereits als verdächtige Aktion wahrgenommen und es erfolgt die Trennung D des Zugriffs. Nur wenn der User 13 in der User-Datenbank enthalten ist, wird das Verfahren fortgesetzt und der Zugriff auf das Netzwerk 10 gewährt.
-
Daneben sieht das Verfahren im Verfahrensschritt E die Erstellung einer Usergruppe vor, deren Mitgliedern sämtliche Zugriffsberechtigungen aktiv verweigert sind. Mit der Zuteilung eines Users 13 zu dieser Usergruppe werden sämtliche Zugriffsberechtigungen dieses Users 13 unverzüglich verweigert, so dass der User 13 keine Interaktionen mehr mit dem Netzwerk 10 veranlassen kann. Insofern wird die Usergruppe auch als lokale Verweigerungsgruppe bezeichnet.
-
Insbesondere für eine individuell angepasste Bestimmung des ersten Grenzwerts Q ist eine Lernphase G vorgesehen, während der das Verhalten des Users 13 mit Dateien des Netzwerks 10 über eine vordefinierte zeitliche Dauer ermittelt wird. Im vorliegenden Ausführungsbeispiel wird durch die Auswertung des Verhaltens des Users 13 am Ende der Lernphase festgestellt, dass der User 13 im Durchschnitt etwa 20 Dateien pro Stunde öffnet, schreibt, kopiert oder löscht, was 20 File Handles entspricht. Auf dieser Grundlage werden im Abschluss der Lernphase G ein zweiter Grenzwert R, der auch als Warnwert bezeichnet wird, auf einen Wert von 25 und der erste Grenzwert Q auf einen Wert von 50 gesetzt, wodurch die Lernphase G des Verfahrens beendet wird. Der zweite Grenzwert R ist als Warnwert vergleichsweise geringfügig größer als der ermittelte Durchschnittswert der bestimmten File Handles des Users 13, um statistischen Schwankungen Rechnung zu tragen. Dagegen ist der erste Grenzwert Q wesentlich größer als die bestimmten, durchschnittlichen File Handles des Users 13 während der Lernphase G. Die Abhängigkeit des Überwachungsparameters P vom Zugriff des Users 13 auf Dienste des Netzwerks 10 wird durch die Lernphase G nicht beeinflusst.
-
Im weiteren Verlauf des Verfahrens wird der Überwachungsparameter P in der bereits in Zusammenhang mit dem Verfahren gemäß 2 beschriebenen Weise bestimmt (Verfahrensschritt B), wobei in diesem Zusammenhang geprüft wird, ob der User 13 Systemdienste deaktiviert, im vorliegenden Beispiel etwa den Systemdienst „Volume Shadow Copy“. Auch im Verfahren gemäß 3 erfolgt die Trennung D des Zugriffs des Users 13 auf das Netzwerk 10 in Abhängigkeit des Vergleichs C des Überwachungsparameters P mit dem ersten Grenzwert Q, falls der User 13 den Systemdient „Volume Shadow Copy“ deaktiviert, wie dies bereits in Zusammenhang mit 2 beschrieben wurde, unabhängig von dem Ergebnis der Lernphase G. Das Verfahren veranlasst in diesem Fall unverzüglich die Trennung D des Zugriffs des Users 13 auf das Netzwerk 10. Dabei wird die aktuelle Sitzung des Users 13 sofort getrennt. Daneben wird der User 13 der bereits beschriebenen User-Gruppe zugeordnet, wodurch sämtliche Zugriffsberechtigungen des Users 13 verweigert werden. Letzteres stellt auch nach einem erneuten Zugriff des Users 13 auf das Netzwerk 10 sicher, dass der User 13 nicht mehr mit dem Netzwerk 10 interagieren und weitere potentiell schadhafte Handlungen vornehmen kann. Außerdem wird der Port 445 zur Nutzung durch den User 13 gesperrt, so dass kein erneuter Zugriff des Users 13 auf das Netzwerk 10 erfolgen kann. Zugleich wird jeweils, wie bereits im Verfahren gemäß 2, eine E-Mail an den User 13 und an den Administrator 15 versendet, um auf die auffälligen Handlungen des Users 13 hinzuweisen. Damit kann der User 13 weitere Daten des Netzwerks weder kopieren, verschlüsseln, umbenennen oder löschen.
-
Erst nach eingehender Prüfung der Sachlage durch den Administrator 15 kann letzterer den User 13 manuell für den weiteren Zugriff auf das Netzwerk 10 freischalten, wobei sichergegangen werden kann, dass der User 13 insbesondere nicht mehr mit schädlicher Software, insbesondere Ransomware infiziert ist.
-
Nach der Bestimmung des Überwachungsparameters P erfolgt jedenfalls ein Vergleich C, ob der Überwachungsparameter P größer ist als der erste Grenzwert Q, mithin ob der Überwachungsparameter P größer ist als 50. Falls dies der Fall ist, erfolgt die Trennung D des Zugriffs des Users 13 auf das Netzwerk 10 in der bereits beschriebenen Weise. Falls der Überwachungsparameter P kleiner als der erste Grenzwert Q ist, wird das Verfahren fortgesetzt. Im Anschluss hieran erfolgt ein weiterer Vergleich H, ob der Überwachungsparameter P größer ist als der zweite Grenzwert R, der als Warnwert einen Wert von 25 aufweist. Falls dies der Fall ist, mithin der User 13 während einer Sitzung mehr als 25 Dateien pro Stunde geöffnet hat, ist der Überwachungsparameter P größer als der zweite Grenzwert R. In diesem Fall erhält der User 13 weiterhin Zugriff auf das Netzwerk 10; es werden jedoch E-Mails als Warnsignale an den User 13 selbst und an den Administrator 15 des Netzwerks 10 gesendet, die insbesondere die Verbindungsdaten des Users 13, die Zeit und Dauer seines Zugriffs und die geöffneten Dateien beinhalten (Verfahrensschritt I). Auf diese Weise werden sowohl der User 13 als auch der Administrator 15 auf ein (noch) geringfügig auffälliges Verhalten hingewiesen. Unabhängig vom Ergebnis des Vergleichs H wird das Verfahren gemäß 3 fortgesetzt, der User 13 behält Zugriff auf das Netzwerk 10 und der Überwachungsparameter P wird erneut bestimmt (Verfahrensschritt B).