2023 Autor: Susan Creighton | [email protected]. Zuletzt bearbeitet: 2023-05-24 11:14
Viele Sicherheitssysteme wurden mit dem primären Ziel entwickelt, Hacker daran zu hindern, in das Netzwerk zu gelangen. Das ist ein guter Anfang, denn laut Verizon Data Breach Investigations Report 2018 stammen fast 75 Prozent der Datenverletzungen und Angriffe von außen.
Dies bedeutet jedoch auch, dass ein Viertel der Sicherheitsbedrohungen von innerhalb des Unternehmens ausgeht. Diese Bedrohungen sind schwer zu verteidigen, da sie von Personen stammen, die autorisierten Zugriff auf das Netzwerk und die Daten haben und deren Verhalten keine roten Fahnen auslöst. Insider sind jedoch in der Lage, dem Geschäft finanziell und in Bezug auf den Ruf ernsthaften Schaden zuzufügen.
Was ist eine Insider-Bedrohung?
Insider-Bedrohungen gibt es in verschiedenen Formen. Das erste Problem ist die versehentliche Bedrohung durch Insider, die auftritt, wenn der Mitarbeiter einen unschuldigen Fehler macht. Es kann sein, dass Sie in einer Phishing-E-Mail auf einen schädlichen Link klicken, vertrauliche Dateien per E-Mail an die falsche Person senden oder einen Laptop unbeaufsichtigt lassen. Der Mitarbeiter bedeutet keinen Schaden für das Unternehmen, aber es entsteht ein Sicherheitsvorfall.
Böswillige Insider sind diejenigen Mitarbeiter, die Schaden anrichten wollen. Diese Personen manipulieren oder stehlen absichtlich Unternehmensinformationen oder sabotieren das Netzwerk.
Dann gibt es die Insider, die Zugriffsberechtigungen haben, aber nicht sollten. Ehemalige Mitarbeiter fallen in diese Kategorie. Sie geben ihre Arbeit auf, aber die IT-Abteilung hat die Berechtigungen nicht widerrufen, so dass der frühere Mitarbeiter die Möglichkeit hat, auf frühere Konten zuzugreifen. Zu dieser Art von Insider-Bedrohung können auch Drittanbieter und Berater sowie derzeitige Mitarbeiter gehören. Sie sind in bestimmten Bereichen des Netzwerks zulässig, verwenden jedoch ihre Berechtigungen, um auf nicht autorisierte Datenbanken und Dateien zuzugreifen. Auch diese Aktivitäten sind nicht unbedingt böswillig, bedeuten jedoch, dass gegen die Daten verstoßen wurde, was für das Unternehmen mit den neuen strengen Datenschutzbestimmungen zu einem finanziellen Verlust führen könnte.
Insider-Bedrohungen sind mit Kosten verbunden. Laut den Kosten für Insider-Bedrohungen des Ponemon Institute für 2018: Global kostet ein fahrlässiger Vorfall eines Insiders durchschnittlich 283.000 USD. Wenn es sich bei der Bedrohung um gestohlene Anmeldeinformationen handelt, steigen die Kosten auf mehr als 600.000 USD pro Vorfall. Je größer das Unternehmen ist, desto höher sind die Kosten für die Minderung der Bedrohung.
Insider-Sicherheitsvorfälle verursachen den Verlust von geschützten und vertraulichen Informationen und können den Ruf eines Unternehmens schädigen. Die meisten Fälle sind jedoch vermeidbar. Schauen wir uns sowohl No-Tech- als auch High-Tech-Lösungen an.
No-Tech-Lösungen
Also, wo fängst du an? Sie können Probleme mit Insider-Bedrohungen vermeiden, indem Sie die folgenden Maßnahmen implementieren:
- Erstellen Sie eine Datennutzungsrichtlinie.
- Mitarbeiter schulen.
- Überprüfen Sie die Benutzerrechte regelmäßig.
- Etablierung einer Kultur der Rechenschaftspflicht gegenüber Managern.
In einer Datennutzungsrichtlinie, die normalerweise Teil einer Richtlinie zur akzeptablen Nutzung (AUP) ist, wird festgelegt, was Mitarbeiter mit Informationen, die Eigentum einer Organisation sind oder einer Organisation anvertraut wurden, tun dürfen und was nicht. Dies bezieht sich auf Sicherheit, Datenschutz und ordnungsgemäße Verwaltung. Den Mitarbeitern muss die Richtlinie zur Datennutzung vorgelegt werden, und sie müssen über den Zweck des Datenschutzes und der Privatsphäre sowie die Folgen von Regelverstößen informiert werden.
In Bezug auf Benutzerrechte "führt eine der wichtigsten - und am häufigsten übersehenen - Kontrollen häufige Überprüfungen von Benutzerkonten durch", sagte Mike Chapple, Dozent für IT, Analytik und Operations an der University of Notre Dame. "Diese Überprüfungen sollten auf unnötige Konten achten, die nicht deaktiviert wurden, und auf Berechtigungen, die für nicht mehr benötigte Konten vergeben werden. Das Durchgreifen von Berechtigungen ist eines der Hauptprobleme, das zu Insiderangriffen führt."
Laut Jeff Jenkins, Vice President und Chief Internet Security Officer von First Advantage, besteht eine weitere effektive No-Tech-Lösung darin, eine Kultur der Verantwortlichkeit gegenüber Managern durch Anerkennungen oder Bestätigungen zu etablieren und sicherzustellen, dass sie ihre Verantwortung für die Handlungen ihrer Mitarbeiter verstehen.
"Aus einer positiveren Perspektive ist es auch nützlich, Personalmanager zu beauftragen, die bei der Schulung, Überwachung und Durchsetzung von Verhaltensweisen ihrer Mitarbeiter behilflich sind", sagte er.
Hightech-Lösungen
Wenn Ihre Organisation über das Budget verfügt, um in eine technische Lösung zum Schutz vor Insider-Bedrohungen zu investieren, sind dies einige der effektivsten:
- Verhinderung von Datenverlust (DLP)
- Identitäts- und Zugriffsverwaltung (IAM)
- Benutzeraktivitätsüberwachung (UAM)
- Benutzerentitäts- und Verhaltensanalyse (UEBA)
Laut Chapple überwacht DLP das Netzwerk auf Anzeichen einer unbefugten Exfiltration vertraulicher Informationen. DLP kann Daten abfangen, die offensichtlichen Mustern entsprechen, z. B. Kreditkartennummern oder Sozialversicherungsnummern, und nach Dateien suchen, die den Signaturen von entsprechen sensibles geistiges Eigentum."
IT-Administratoren verwenden IAM, um den Benutzerzugriff auf sichere Systeme, Anwendungen und Dokumente zu steuern, in der Regel durch einmaliges Anmelden. Ein Benutzer kann sich beim SSO anmelden und Zugriff auf verschiedene Anwendungen in einem Netzwerk erhalten.
UAM überwacht die IT-Umgebung eines Unternehmens und sammelt Benutzeraktivitätsdaten in Echtzeit, z. B. E-Mails und Internet-Uploads und -Downloads. Um effektiv zu sein, arbeitet eine UAM-Lösung normalerweise mit einer Art Sicherheitsinformations- und Ereignismanagementsystem (SIEM) zusammen, um Warnungen an Administratoren zu senden, wenn Verdacht aufkommt.
Eine UEBA-Lösung durchsucht große Datenmengen, die aus IT-Protokollen und Daten aus Netzwerkanwendungen und Endpunkten erfasst wurden, um Muster abnormalen Verhaltens zu finden, die auf eine Bedrohung durch Insider hinweisen können. Diese Art von Lösung ist relativ teuer und erfordert ein gewisses Fachwissen der IT-Mitarbeiter bei der Entschlüsselung von Warnungen und Berichten.
"Obwohl UAM, IAM und UEBA die am weitesten verbreiteten Technologien sind, die Sicherheitsverantwortliche für die Erkennung von Insider-Bedrohungen einsetzen oder in Betracht ziehen, können einige grundlegende Technologien wie Netzwerksegmentierung, DLP und Endpunktbeschränkungen (Einschränkung der Administratorrechte, Verbot von USB-Geräten usw.), um die Mitarbeiter vor dem Missbrauch von Systemen oder Daten zu schützen ", sagte Jenkins. "Unternehmen, die es ernst meinen, Insider-Bedrohungen vorzubeugen, müssen alle Formen von Sicherheitskontrollen in Betracht ziehen, sowohl präventive als auch detektivische, auch wenn ältere und restriktivere Maßnahmen wie Endpunktbeschränkungen von Mitarbeitern nicht als beliebt angesehen werden."
Jenkins warnt auch davor, die Datenschutzrechte eines Mitarbeiters zu verletzen, insbesondere in Ländern außerhalb der USA. "Es kann einige Herausforderungen bei der Einführung von Kontrollen zur Begrenzung von Insider - Bedrohungen geben, insbesondere für globale Unternehmen, die in EMEA - oder APAC - Ländern geschäftlich tätig sind Diese Bereiche sind der Ansicht, dass die Sicherheit oder das Recht eines Unternehmens, die Computeraktivität der Mitarbeiter zu überwachen, zu Schwierigkeiten führen können, von Mitarbeitern, die ihre Sicherheitsverantwortung falsch verstehen, bis hin zur Unfähigkeit, einige der empfohlenen Kontrollen zu implementieren an internationalen Standorten."
