Beim Stichwort Cyber-Bedrohung denkt man häufig an großangelegte Malware-Angriffe wie Ransomware, mit denen Kriminelle versuchen, das Firmennetzwerk zu kompromittieren. Unterschätzt wird jedoch oft eine Gefahr, die bereits im Firmengebäude sitzt: Die Insider-Bedrohung.
Insider – seien es unachtsame Angestellte oder böswillige Mitarbeiter, die aus finanziellen oder persönlichen Motiven Daten stehlen oder gar löschen – sind ein enormes Risiko für die Datensicherheit in Unternehmen. Oft haben Angestellte, externe Auftragnehmer und andere Dritte legitimen Zugriff auf sensible Daten, um effektiv und flexibel arbeiten zu können. Dies stellt eine Herausforderung für Sicherheitsteams dar, denn es ist wesentlich schwieriger, Bedrohungen zu erkennen, wenn der betreffende Akteur gültigen Zugriff auf Unternehmensdaten hat. Mit entsprechenden Richtlinien und Technologien kann die Gefahr eines internen Datenverlustes oder -diebstahls jedoch erheblich reduziert werden.
Sensibilisierung unvorsichtiger Mitarbeiter
Die Sensibilisierung und Schulung der eigenen Mitarbeiter ist für Unternehmen eine der wirksamsten Abwehrmaßnahmen gegen Insider-Bedrohungen. Dies liegt daran, dass die meisten unbeabsichtigten Datenverstöße auf Handlungen eines unachtsamen Mitarbeiters zurückzuführen sind. Durch regelmäßige Schulungen zum Thema Datensicherheit wird Mitarbeitern beigebracht, korrekt mit sensiblen Unternehmensdaten umzugehen. Zudem sollten alle Angestellten über neue Datenrichtlinien oder Technologien informiert werden, bevor diese implementiert werden.
Datenzentrierter Security-Ansatz zum Schutz vor böswilligen Insidern
Dies schützt sensible Daten allerdings nicht vor Mitarbeitern, die ihre Zugriffsrechte nutzen, um vorsätzlich das Falsche zu tun. Das Risiko der missbräuchlichen Datennutzung oder des Diebstahls durch Insider-Bedrohungen kann jedoch mit geeigneten Technologien eingedämmt werden. Diese Technologien sollten datenzentriert sein: Das bedeutet, sie geben Sicherheitsteams einen Überblick, auf welche Unternehmensdaten wie, wann und von wem zugegriffen wird. Dadurch können Sicherheitsverantwortliche ungewöhnliche Aktivitäten rasch erkennen. Zudem sollten diese Technologien automatisch verhindern, dass ein unbefugter Mitarbeiter sensible Daten kopiert, überträgt oder löscht. Solch ein datenzentrierter Sicherheitsansatz sorgt darüber hinaus dafür, dass unachtsame Angestellte sensible Daten nicht versehentlich verschieben oder versenden.
User- and Entity-Behavior-Analysis (UEBA) mithilfe von Machine-Learning
User- and Entity-Behavior-Analysis (UEBA) ist ein Cybersecurity-Prozess zur Verfolgung verdächtiger oder bösartiger Verhaltensweisen. UEBA-Tools überwachen das Nutzerverhalten von Mitarbeitern und externen Auftragnehmern mit Zugriff auf Anwendungen, Konten und Servern, die sensible Daten speichern. Dabei nutzen UEBA-Tools fortschrittliche Machine-Learning-Algorithmen in Kombination mit statistischen Auswertungsmethoden, um potentielle Insiderbedrohungen zu ermitteln. Hierzu wird ein Standard-Verhaltensprofil des jeweiligen Nutzers erstellt, mit Informationen wie Ort und Geräten, von denen sich ein User in der Regel anmeldet, auf welche Dateien und Server er normalerweise zugreift, wie oft und zu welcher Zeit, welche Zugriffsrechte er aktuell hat und vieles mehr.
Angenommen, ein Benutzer lädt jeden Tag eine bestimmte Datenmenge von einem bestimmten Gerät herunter und greift jede Woche auf eine bestimmte Anzahl von Servern zu. Stellt das Analyse-Tool fest, dass der Account plötzlich Gigabytes an Daten von einem fremden Standort herunterlädt oder auf neue Server zugreift, wird es Alarm schlagen.
UEBA-Tools können somit selbstlernend auf Basis von Berechtigungen und Zugriffsrechten des jeweiligen Nutzers arbeiten. Mit Hilfe von Algorithmen kann UEBA spezifische Verhaltensmuster, Anomalien sowie Insider-Bedrohungen erkennen, die bei herkömmlicher menschlicher Überwachung eventuell völlig unbemerkt bleiben würden. Zudem schützt UEBA so auch vor Bedrohungen von außen: Für Cyberkriminelle mag es beispielsweise mithilfe von Phishing-Angriffen relativ simpel sein, Anmeldeinformationen wie Benutzername und Passwort eines Mitarbeiters abzugreifen, doch es wird schwierig werden, das Standardverhalten des jeweiligen Benutzers im Netzwerk nachzuahmen.
Interne und externe Bedrohungen im Überblick, gegen die UEBA schützen kann
• Insider-Bedrohungen: Die Motivation von böswilligen Insidern ist vielfältig, von finanziellem Gewinn durch den Verkauf personenbezogener Daten oder Weitergabe von Industrie- und Geschäftsgeheimnissen bis hin zum Löschen unternehmenskritischer Daten als Racheakt aufgrund einer Entlassung.
UEBA-Abwehrmechanismus: Durch integriertes Machine-Learning kann das UEBA-Tool Sicherheits-, Richtlinienverstöße und Privilegien-Missbrauch durch Mitarbeiter eines Unternehmens erkennen und Sicherheitsteams bei verdächtigen Insideraktivitäten direkt alarmieren.
• Gehackte privilegierte Konten: Häufig haben Führungskräfte erweiterte Zugriffsrechte und verfügen aufgrund ihrer Unternehmensposition auch über besondere Berechtigungen. In anderen Fällen erhalten externe Auftragnehmer oder leitende Angestellte auch kurzfristigen Zugriff auf sensible Daten, beispielsweise für ein Projekt. Cyberkriminelle sind stets auf der Suche nach derart privilegierten Konten, um möglichst lukrative Informationen zu erbeuten.
UEBA-Abwehrmechanismus: Privilegierte Konten können sowohl durch böswillige Insider als auch unachtsame Mitarbeiter gefährdet werden, die versehentlich sensible Informationen preisgeben. Durch die unmittelbare Erkennung untypischen Verhaltens unterstützt UEBA IT-Teams darin, kompromittierte Konten auszusortieren, bevor ein Hacker Schaden anrichten kann. Darüber hinaus weiß das Analyse-Tool auch, wann privilegierte User angelegt wurden, und überwacht, ob sie überhaupt noch Zugriff auf bestimmte Daten benötigen oder über nicht mehr notwendige Berechtigungen verfügen.
• Passwort-Angriffe: Hat ein Hacker ein Passwort abgegriffen, kann er mithilfe simpler Brute Force-Attacken Variationen des Kennworts ausprobieren, um in weitere Konten des Opfers einzudringen. Angreifer nutzen hierbei die Wahrscheinlichkeit aus, dass Nutzer bestimmte Abwandlungen des gleichen Passworts für verschiedene Accounts verwenden.
UEBA-Abwehrmechanismus: Sobald Hacker Zugang zu Logins und Passwörtern haben, werden sie im nächsten Schritt wahrscheinlich Firewalls, Server-Einträge oder Authentifizierungssysteme von Drittanbietern angreifen. UEBA ist in der Lage, Brute Force-Attacken zu erkennen und den Zugang zu angegriffenen Systemen sofort zu sperren.
Mit entsprechenden Richtlinien wie regelmäßiger Mitarbeiterschulung und datenzentrischen Sicherheitstechnologien vermeiden Unternehmen, dass ihre Daten in die falschen Hände geraten. UEBA-Tools können hier IT-Teams maßgeblich unterstützen, verdächtiges Nutzerverhalten schnell zu erkennen und alarmieren proaktiv, bevor es zu einem Sicherheitsverstoß kommt.
Von Christoph M. Kumpa, Director DACH & EE bei Digital Guardian
#Netzpalaver #DigitalGuardian