Insiderangriffe
SAA statt CIA: Worauf es bei der Erkennung von Insiderangriffen ankommt
Von Sebastian Mehle, Account Manager bei Varonis Systems
Insiderangriffe stellen für Unternehmen und Behörden eine der größten Herausforderungen dar. Im Gegensatz zu Attacken „von außen“ können Innentäter in der Regel ohne Verdacht zu erregen in aller Ruhe auf sensitive Daten zugreifen und diese exfiltrieren. Die Cybersicherheit ist jedoch nicht die erste Branche, die sich mit Insiderbedrohungen auseinandersetzen muss. Der Spionage-Bereich beschäftigt sich schon seit langem mit der Abwehr von Insidern, indem er die „CIA-Triade“ aus Vertraulichkeit, Integrität und Verfügbarkeit (Confidentiality, Integrity, Availability) anwendet. Dieser Ansatz wurde auch auf den IT-Bereich übertragen – mit offensichtlich mäßigem Erfolg. Eine moderne Antwort der Cyber Security auf das Insiderrisiko ist der Datensicherheits-Dreiklang von Sensitivität, Zugriff und Aktivität (SAA: Sensitivity, Access, Activity). Mithilfe dieser drei Dimensionen der Datensicherheit lassen sich das Risiko und die Auswirkungen eines Insiderangriffs effektiv verringern.
Wenn Sicherheitsverantwortliche wissen, wo die sensitiven Daten gespeichert sind, können sie Kontrollen um sie herum einrichten, um unerlaubten Zugriff oder Exfiltration zu verhindern. Mit automatischer Klassifizierung und Kennzeichnung sind sie in der Lage, eine Bestandsaufnahme der sensitiven Daten vorzunehmen, sie zu klassifizieren und die entsprechenden Kontrollen zum Schutz der Daten anzuwenden. Die Sensitivität gibt vor, wer wie auf welche Daten zugreifen darf und welche Aktivitäten erlaubt sind. Übermäßiger Zugriff ist dabei das Kernproblem von Insiderbedrohungen. Unternehmen setzen immer mehr auf Zusammenarbeit und die gemeinsame Nutzung von Daten. Dabei haben oftmals Produktivität und die Verfügbarkeit von Daten Vorrang vor der Sicherheit. Der Schlüssel zur Risikominderung liegt also darin, genau zu wissen, wer auf Daten zugreifen kann, und diesen Zugriff so einzuschränken, dass die Produktivität nicht beeinträchtigt wird. Schließlich müssen Unternehmen in der Lage sein, zu sehen, welche Aktionen mit Daten durchgeführt werden, ungewöhnliche Aktivität zu erkennen und schnell darauf zu reagieren.
Säule 1: Sensitivity (Sensitivität)
Insider werden immer Zugang zu Unternehmensdaten haben, aber nicht alle Daten sind gleich vertraulich oder wertvoll. Die Vermeidung von Insiderrisiken beginnt damit, zu verstehen, welche Daten sensitiv oder reguliert sind, und welche Daten möglicherweise zusätzliche Kontrollen benötigen. Unternehmen müssen in der Lage sein, personenbezogene Daten (PII), Zahlungskarteninformationen (PCI), geschützte Gesundheitsinformationen (PHI), geistiges Eigentum, vertrauliche Geschäftsinformationen usw. in Cloud-Anwendungen und -Infrastrukturen, On-Premises-Dateifreigaben und hybriden NAS-Geräten zu erkennen. Aufgrund der schieren Datenmenge kann dies nur automatisch erfolgen. Durch entsprechendes Labeln können bestimmte Dateien zusätzlich verschlüsselt werden, um ein Plus an Sicherheit zu schaffen. Somit wird es durch eine korrekte (und vollständige) Klassifizierung von Daten für Insider wesentlich schwieriger, sensitive Daten zu entwenden.
Säule 2: Access (Zugriff)
Die zweite Komponente zur Minimierung des Insiderrisikos ist der Zugriff: Kontrolliert man den Zugriff auf Daten, kontrolliert man das Risiko. Was in der Theorie so einfach klingt, stellt sich in der Praxis als echte Herausforderung dar. Wie der SaaS-Datenrisiko-Report zeigt, hat ein durchschnittlicher Mitarbeitender Zugriff auf über 17 Millionen Dateien und Ordner. Zudem verfügen Unternehmen im Durchschnitt über 40 Millionen eindeutige Berechtigungen für SaaS-Anwendungen. Angesichts der Geschwindigkeit, mit der Daten erstellt und gemeinsam genutzt werden, und der unterschiedlichen Berechtigungsstrukturen in den verschiedenen Anwendungen würde ein Heer von Administratoren Jahre brauchen, um diese Berechtigungen zu verstehen und zu korrigieren. Entsprechend führt auch hier kein Weg an Automatisierung vorbei. Hinzu kommt: SaaS-Anwendungen verfügen über unzählige Konfigurationen und bergen so stets das Risiko von Fehlkonfigurationen. Auf diese Weise können Daten nicht nur für zu viele interne Mitarbeiter, sondern möglicherweise auch für externe Benutzer zugänglich werden. Deshalb sollten Sicherheitsverantwortliche idealerweise über einen Echtzeit-Überblick ihrer Datensicherheitslage verfügen. Von gemeinsam genutzten Links über verschachtelte Berechtigungsgruppen bis hin zur Verwaltung von Fehlkonfigurationen und veralteten Daten – all dies muss für die Identifizierung der tatsächlichen effektiven Berechtigungen einbezogen werden. Auf dieser Basis können dann Abhilfemaßnahmen je nach Risiko priorisiert und somit der Explosionsradius reduziert werden.
Säule 3: Activity (Aktivität)
Einer der gefährlichsten Aspekte von Insidern ist, dass sie oft keinen Alarm auslösen. Sie müssen nicht erst wie externe Angreifer in die Systeme eindringen, da sie bereits über legitimen Zugriff verfügen. So können sie im Stillen herumstöbern und herausfinden, worauf sie Zugriff haben. So geschehen im Fall des Militärangehörigen Jack Teixeira , der Zugang zu vertraulichen Militärdokumenten hatte und Bilder dieser Dokumente in einem Discord-Thread teilte. Deshalb müssen Unternehmen überwachen, wer wie auf Daten zugreift und wie sie geteilt werden. Nur so kann auffälliges Verhalten erkannt und die Bedrohung automatisiert gestoppt werden.
Dabei sollte jede wichtige Aktion im Zusammenhang mit Daten, also jedes Lesen, Schreiben, Erstellen und Freigeben, erfasst werden. Auf dieser Grundlage wird für jeden User und jedes Gerät das „Normalverhalten“ identifiziert. Wird nun auf untypische sensitive Dateien zugegriffen oder werden große Datenmengen an ein persönliches E-Mail-Konto gesendet, schlägt das System an und kann diese Aktivität in Echtzeit mit automatischen Reaktionen stoppen. Hierbei kommt es vor allem auf den Kontext an, d.h. sämtliche Informationen und Speicherorte (egal ob in der Cloud oder lokal) müssen in die Analyse einfließen, um Zusammenhänge zu erkennen. Jede einzelne Aktion kann für sich betrachtet harmlos erscheinen, sieht man jedoch den Kontext, wird aus scheinbar normalem Verhalten schnell gefährliches abnormales Verhalten.
Um seine Daten effektiv zu schützen, müssen alle drei Dimensionen der Datensicherheit berücksichtigt werden. Sicherheitsverantwortliche müssen in der Lage sein, jederzeit folgende scheinbar einfachen Fragen beantworten zu können: Wissen wir, wo unsere sensitiven Daten gespeichert sind? Wissen wir, wer auf diese zugreifen kann? Und können wir gewährleisten, dass dies nur auf die vorgesehene Weise geschieht? Erst wenn die Antwort dreimal „ja“ lautet, sind die Daten wirklich sicher, ganz gleich, ob der Angriff von außen oder von innen erfolgt.
