Insider-Bedrohungen
Das größte Sicherheitsrisiko steht auf der Gehaltsliste
Über die Herausforderung Insider-Bedrohungen zu verhindern
Bereits viel diskutiert, aber schwer zu lösen, ist die Erkennung von potentiellen Bedrohungen innerhalb des Unternehmensnetzwerkes. Nicht ohne Grund ist das Social Engineering die begehrteste Angriffsmethode bei den Angreifern. Die Ausnutzung der menschlichen Schwäche und das fehlende Sicherheitsbewusstsein der eigenen Mitarbeiter, führen zur erfolgreichsten Strategie, um sensible Unternehmensdaten zu kompromittieren.
Durch die Kombination aus den persönlichen digitalen Mitarbeiteraktivitäten (Social Media, mobile Web- und Cloud-Anwendungen, BYOD, etc…) und der Zunahme von Mitarbeiterzugriffen auf die Unternehmensdaten (mobiles Arbeiten, Remote Offices, etc…), wird es immer schwieriger, zwischen legitimen Datenzugriffen und potentiellen Insider-Bedrohungen zu unterscheiden.
Insider-Bedrohungsprofile
Um sich der Herausforderung der Bedrohungserkennung besser stellen zu können, muss man die Mitarbeiter in unterschiedliche Bedrohungs-Profile unterteilen. Nicht jeder Mitarbeiter hat bei einem risikoreichen Zugriff auf sensible Daten sofort einen bösen Hintergedanken.
Eine erste Definition der unterschiedlichen Zugriffs-Profile führt zu einer geeigneten Auswahl von effektiven Sicherheitsmaßnahmen.
Profil – "der Kompromittierte"
Mitarbeiter die z.B. auf einen Phishing-Link geklickt haben und nun Malware ins Netzwerk einschleusen, oder infizierte, private Smartphones mit dem Firmennetz verbinden, sind beim Zugriff auf sensible Daten, meist unbeabsichtigt eine echte Bedrohung. Um diese Fälle kümmern sich die meisten, bereits installierten Sicherheitsmaßnahmen wie, Endpoint-Sicherheit, Sandboxing, Anti-Phishing, BYOD-Sicherheit, etc.
Profil – "der Sorglose"
Vorstellbar wäre ein Datenbank-Administrator, der einen legitimen Netzwerkzugriff besitzt und aus Zeit- oder Bequemlichkeitsgründen Short Cuts zur Durchführung seiner Arbeiten verwendet. Oder ein DB-Mitarbeiter, der unvorsichtig über einen Applikation-Service, statt über seinen bekannten Account, auf die Datenbank zugreift und dabei den Change Control Prozess umgeht. Vielen Unternehmen fehlt bei einem solchen gedankenlosen Umgang, die Sichtbarkeit auf eine potentiell gefährliche Aktion. Im Allgemeinen wird bei unvorsichtigen Handlungen auch kein Alarm ausgelöst.
Profil – "der Böswillige"
Auch hier sind die möglichen Szenarien unbegrenzt. Mitarbeiter mit weitreichenden Zugriffsrechten, die bereits innerlich gekündigt haben, treffen Wochen vorher bereits entsprechende Vorkehrungen, um wichtige oder sensible Daten (evtl. für den nächsten Job), Schritt für Schritt aus dem Unternehmen zu ziehen. Oder sie werden dazu erpresst. Nach einer Ponemon Studie geben 69% der befragten Mitarbeiter zu, sensible Unternehmensdaten mitgehen zu lassen.
Neben den Benutzerprofilen muss man auch die Daten ansprechen. Entscheidend für die Identifizierung von möglichen Insider-Bedrohungen ist die Betrachtung der Schnittstelle zwischen User und Daten. Dies ist der neuralgische Punkt, an dem die Datenverletzungen passieren. Der jährlich erscheinende Verizon Data Breach Investigations Report hat gezeigt, dass die größten Datenmissbrauchsfälle, durch Insider-Bedrohungen ausgelöst wurden, also durch kompromittierte, sorglose oder böswillige Benutzer.
Empfehlungen zur Erkennung und Beseitigung von Insider-Bedrohungen
Sensible Daten erkennen und klassifizieren
Man kann sich nicht einfach auf den „Dateneigentümer“ verlassen, um eine konsistente, skalierbare Datenklassifizierung mit einem manuellen Prozess durchzuführen. Idealerweise sollte man eine große Anzahl vordefinierter Datentypen erstellen und die Definitionen von benutzerdefinierten Datentypen unterstützen. Mit entsprechenden Datenklassifizierungswerkzeugen kann man automatisch und wiederholt, geschäftskritische Informationen identifizieren, die möglichen Insider-Risiken ausgesetzt sein könnten. Zudem sollten sensible Datentypen in den Grundlagen der Risikobewertung priorisiert werden.
Jeden Benutzer-Datenzugriff überwachen
Die Überwachung der Zugriffe sollte nicht nur auf privilegierte Benutzer beschränkt sein, sondern alle Benutzer des Unternehmens einschließen, die auf Datenbanken und Netzwerkdateien zugreifen. Durch die gewonnen Sichtbarkeit, wer auf was, wann und wo zugegriffen hat, können abnormale Verhaltensweisen einem möglichen Risiko gegenübergestellt und angemessen darauf reagiert werden. Integrierte, native Auditing-Tools liefern oft nicht die erforderliche Granularität über alle Interaktionen eines Benutzers mit den Daten.
Definieren und Durchsetzen von Richtlinien
Mit definierten Richtlinien kann man nach bestimmten Verhaltensmustern suchen und bei Regelverstößen einschreiten. Die Richtlinien sollten sowohl die Sicherheits- als auch die Compliance-Anforderungen mit der Flexibilität und Skalierbarkeit abdecken, die den Unternehmens-Anforderungen entsprechen. Bereits mit einfach zu bedienenden Policy-Management-Systemen, können Regelsätze über Daten-Repositories verarbeitet werden.
Künstliche Intelligenz nutzen
Durch den Fortschritt im maschinellen Lernen können riesige Mengen an Datenzugriffsprotokollen detailliert nach Verstößen untersucht werden. Diese Technologie ermöglicht, auf Basis der definierten Richtlinien, ein sofortiges Identifizieren von unangemessenen und missbräuchlichen Datenzugriffen. Je größer das Unternehmen, umso mehr Warnungen schlagen täglich im Security-Team auf. Mit KI können die Vorfälle von Zugriffsverletzungen aus den anderen allgemeinen Systemwarnungen herausgefiltert werden, um möglichst schnell auf potentielle Insider Bedrohungen reagieren zu können.
Verwendung von interaktiven Analyse-Tools
Bei Datenzugriffsverletzungen ist ein möglich schnelles Einschreiten unerlässlich. Das Security-Team muss in der Lage sein z.B. alle Datenzugriffsaktivitäten eines Benutzers sofort herunterzufahren und die Schwere des Vorfalls zu beurteilen. Nur so können folgend die richtigen Maßnahmen eingeleitet werden. Nur mit den richtigen Analyse-Tools können Trends leicht identifiziert und Muster erkannt werden, die Sicherheitsrisiken oder Compliance-Probleme verbergen könnten. Dabei muss das Audit-Tool ein möglichst einfaches Handling bereitstellen, um fehlgeschlagene Anmeldungen zu analysieren, Angriffsquellen zu identifizieren, nicht autorisierte Operationen zu untersuchen und privilegierte Operationen zu verfolgen.
Quarantänefunktion für riskante Benutzer
Sobald verdächtige Datenzugriffsvorfälle identifiziert sind, wäre es von Vorteil, den/die betroffenen Benutzer unter „Quarantäne“ zu stellen, bis die forensischen Untersuchungen, die zu dem Vorfall geführt haben, abgeschlossen sind. Mit granularen Richtlinien kann der Zugriff auf spezifische Daten gesperrt und weitere Datenverletzungen proaktiv verhindern werden.
Vorfälle dokumentieren
Die genaue Berichterstattung über alle Insider-bezogenen Sicherheitsvorfälle vermittelt einen nachvollziehbaren und umfassenden Einblick in die aktuelle Sicherheitsposition des Unternehmens und ermöglicht dem Management entsprechende Maßnahmen für die Zukunft zu ergreifen. Das Reporting-Tool sollte neben den grafischen Dashboards, auch über Berichtsvorlagen verfügen, die an benutzerdefinierte Berichte angeglichen werden können.
Fazit
Um sich vor potentiellen Insider-Bedrohungen besser schützen zu können, müssen zunächst die sensiblen Unternehmensdaten identifiziert und klassifiziert, entsprechende Nutzungsrichtlinien dafür aufgesetzt und das Benutzerverhalten mit intelligenten Analyse-Tools permanent überwacht werden.