Was ist eine Insider-Bedrohung? Insider-Bedrohungen sind Benutzer mit legitimem Zugriff auf Unternehmensressourcen, die diesen Zugriff böswillig oder unabsichtlich nutzen, um dem Unternehmen Schaden zuzufügen. Bei Insider-Bedrohungen muss es sich nicht zwangsläufig um aktuelle Mitarbeiter handeln, es können auch ehemalige Mitarbeiter, Auftragnehmer oder Partner sein, die Zugang zu den Systemen oder Daten eines Unternehmens haben.
Da Insider-Bedrohungen den primären Vektor für 60 Prozent der Datenschutzverletzungen darstellen, müssen Unternehmen die Bedrohungen, die jeden Tag durch ihre Tür kommen, mit der gleichen Strenge prüfen, wie sie es bei der Sicherung des Perimeters vor externen Angreifern tun.
Warum sind Insider-Bedrohungen so gefährlich?
In einem SANS-Bericht über fortschrittliche Bedrohungen aus dem Jahr 2019 haben Sicherheitsexperten große Lücken bei der Abwehr von Insider-Bedrohungen ausgemacht, die auf einen Mangel an Transparenz in Bezug auf das normale Benutzerverhalten sowie die Verwaltung privilegierter Benutzerkonten zurückzuführen sind, die ein attraktiveres Ziel für Phishing oder die Kompromittierung von Anmeldedaten darstellen.
Die Erkennung von Insider-Bedrohungen ist für Sicherheitsteams keine leichte Aufgabe. Der Insider hat bereits legitimen Zugriff auf die Informationen und Vermögenswerte des Unternehmens und die Unterscheidung zwischen der normalen Aktivität eines Benutzers und einer potenziell bösartigen Aktivität ist eine Herausforderung. Insider wissen in der Regel, wo sich die sensiblen Daten innerhalb des Unternehmens befinden, und verfügen oft über erhöhte Zugriffsrechte.
Daher ist eine durch einen Insider verursachte Datenpanne für Unternehmen wesentlich kostspieliger als eine durch einen externen Angreifer verursachte. In der Studie „Cost of Insider Threats 2018“ des Ponemon Institute stellten die Forscher fest, dass die durchschnittlichen jährlichen Kosten einer Insider-Bedrohung 8,76 Millionen US-Dollar betragen, während die durchschnittlichen Kosten einer Datenverletzung im gleichen Zeitraum bei 3,86 Millionen US-Dollar liegen.
Erfahren Sie mehr über die Erkennung von Insider-Bedrohungen
4 Arten von Insider-Bedrohungen
Während der Begriff Insider-Bedrohung in gewisser Weise übernommen wurde, um ausschließlich bösartiges Verhalten zu beschreiben, gibt es ein definiertes Spektrum von Insider-Bedrohungen. Nicht alle Insider sind gleich und unterscheiden sich stark in ihrer Motivation, ihrem Bewusstsein, ihrer Zugriffsebene und ihren Absichten.
Für jede Art von Insider-Bedrohung gibt es unterschiedliche technische und nicht-technische Kontrollen, die Unternehmen einsetzen können, um die Erkennung und Prävention zu unterstützen. Gartner klassifiziert Insider-Bedrohungen in vier Kategorien: Bauern, Trottel, Kollaborateure und einsame Wölfe.
Bauern
Bauern sind Mitarbeiter, die durch Spear-Phishing oder Social-Engineering dazu gebracht werden, bösartige Aktivitäten auszuführen, oft unbeabsichtigt. Ob es sich um einen unwissenden Mitarbeiter handelt, der Malware auf seine Workstation herunterlädt, oder um einen Benutzer, der seine Anmeldedaten an einen Dritten weitergibt, der sich als Helpdesk-Mitarbeiter ausgibt – dieser Vektor ist eines der umfassenderen Ziele für Angreifer, die dem Unternehmen Schaden zufügen wollen.
Ein Beispiel betrifft Ubiquiti Networks, das Opfer einer Spear-Phishing-Attacke wurde, bei der Mitarbeiter in E-Mails von leitenden Angestellten angewiesen wurden, 40 Millionen US-Dollar auf das Bankkonto einer Tochtergesellschaft zu überweisen. Die Mitarbeiter waren sich zu diesem Zeitpunkt nicht bewusst, dass die E-Mails gefälscht waren und das Bankkonto von Betrügern kontrolliert wurde.
Goof
Goofs handeln nicht in böser Absicht, sondern führen absichtlich und potenziell schädliche Aktionen durch. Goofs sind unwissende oder arrogante Benutzer, die glauben, dass sie von Sicherheitsrichtlinien ausgenommen sind, sei es aus Bequemlichkeit oder Inkompetenz. In fünfundneunzig Prozent der Unternehmen gibt es Mitarbeiter, die aktiv versuchen, Sicherheitskontrollen zu umgehen, und fast 90 Prozent der Insider-Vorfälle werden von Goofs verursacht. Ein Beispiel für einen Fehler wäre ein Benutzer, der unverschlüsselte persönliche Daten (PII) in einem Cloud-Speicherkonto speichert, um auf seinen Geräten leicht darauf zugreifen zu können, obwohl er weiß, dass dies gegen die Sicherheitsrichtlinien verstößt.
Kollaborateur
Kollaborateure sind Benutzer, die mit einer dritten Partei kooperieren, oft mit Konkurrenten und Nationalstaaten, um ihren Zugang in einer Weise zu nutzen, die der Organisation absichtlich Schaden zufügt. Kollaborateure nutzen ihren Zugang typischerweise, um geistiges Eigentum und Kundeninformationen zu stehlen oder den normalen Geschäftsbetrieb zu stören.
Ein Beispiel für einen Kollaborateur ist Greg Chung, ein chinesischer Staatsangehöriger und ehemaliger Boeing-Mitarbeiter, der Dokumente über das Space-Shuttle-Programm hortete, um sie nach China zu schicken. Unternehmensspionage ist auch bei Kollaborateuren weit verbreitet, wie im Fall von Uber und Waymo. Uber stellte einen Waymo-Ingenieur ein, der im Besitz von vertraulicher und geschützter Technologie für selbstfahrende Autos war und diese angeblich für sein selbstfahrendes Autoprojekt nutzte.
Einzelner Wolf
Einzelne Wölfe sind völlig unabhängig und handeln böswillig ohne äußeren Einfluss oder Manipulation. Besonders gefährlich sind einsame Wölfe, wenn sie über hohe Privilegien verfügen, wie etwa Systemadministratoren oder DB-Admins. Ein klassisches Beispiel für einen einsamen Wolf ist Edward Snowden, der seinen Zugang zu geheimen Systemen nutzte, um Informationen über Cyberspionage bei der NSA zu veröffentlichen.
Wie man Insider-Bedrohungen bekämpft: Erstellen eines Erkennungsplans
Um Insider-Bedrohungen effektiv zu erkennen, sollten Unternehmen zunächst Sichtbarkeitslücken schließen, indem sie Sicherheitsdaten in einer zentralen Überwachungslösung zusammenführen – sei es eine SIEM-Plattform (Security Information and Event Management) oder eine eigenständige UEBA-Lösung (User and Entity Behavior Analytics). Viele Teams beginnen mit Zugriffs-, Authentifizierungs- und Kontenänderungsprotokollen und erweitern dann den Anwendungsbereich auf zusätzliche Datenquellen wie virtuelle private Netzwerke (VPN) und Endpunktprotokolle, wenn die Anwendungsfälle für Insider-Bedrohungen reifen.
Sobald die Informationen zentralisiert sind, kann das Benutzerverhalten modelliert und Risikowerte zugewiesen werden, die an bestimmte risikobehaftete Ereignisse gebunden sind, wie z. B. Änderungen der Benutzergeografie oder das Herunterladen auf Wechselmedien. Mit genügend historischen Daten kann eine Baseline des normalen Verhaltens für jeden einzelnen Benutzer erstellt werden. Diese Baseline zeigt den normalen Betriebszustand eines Benutzers oder Rechners an, so dass Abweichungen in dieser Aktivität als abnormal gekennzeichnet werden können. Abweichungen sollten nicht nur für einen bestimmten Benutzer verfolgt werden, sondern auch im Vergleich zu anderen Benutzern am gleichen Standort, mit der gleichen Berufsbezeichnung oder Arbeitsfunktion.
Verhaltensanomalien helfen Sicherheitsteams zu erkennen, wenn ein Benutzer zu einem böswilligen Insider geworden ist oder wenn seine Anmeldedaten von einem externen Angreifer kompromittiert wurden. Die Zuweisung von Risikobewertungen gibt den Teams im Security Operations Center (SOC) außerdem die Möglichkeit, das Risiko im gesamten Unternehmen zu überwachen, sei es durch das Erstellen von Überwachungslisten oder durch das Hervorheben der risikoreichsten Benutzer im Unternehmen. Durch die Einführung einer benutzerorientierten Sichtweise können Sicherheitsteams Insider-Bedrohungsaktivitäten schnell erkennen und das Benutzerrisiko von einer zentralen Stelle aus verwalten, anstatt manuell verschiedene Datenpunkte zusammenzusetzen, die einzeln möglicherweise nicht das gesamte Bild zeigen.
Schließen des Kreislaufs mit Abhilfemaßnahmen
Wie bereits erwähnt, stellen privilegierte Konten hochwertige Ziele für Insider dar. Es ist wichtig, dass Unternehmen eine Privileged-Access-Management-Lösung (PAM) einsetzen und Daten über den Zugriff auf privilegierte Konten von dieser Lösung in ihr SIEM einspeisen. Die Analyse des Benutzerverhaltens kann Dinge wie anormale Anmeldeversuche oder mehrfache fehlgeschlagene Passwortversuche erkennen und gegebenenfalls einen Alarm generieren, den der Analyst validieren kann.
Nach der Validierung kann ein Insider-Bedrohungsvorfall in einem integrierten Security Orchestration, Automation and Response (SOAR)-System erstellt werden, in dem das Playbook angeben kann, welche Abhilfemaßnahmen erforderlich sind. Zu den möglichen Abhilfemaßnahmen gehören das Herausfordern des Insiders mit MFA oder das Entziehen des Zugriffs, was beides automatisch in der IAM-Lösung erfolgen kann.
Es gibt verschiedene Arten von Insider-Bedrohungen, die Unternehmen kennen sollten, und jede weist unterschiedliche Symptome auf, die Sicherheitsteams diagnostizieren müssen. Indem sie die Motivationen der Angreifer verstehen, können Sicherheitsteams proaktiver an die Abwehr von Insider-Bedrohungen herangehen.
Erfahren Sie mehr über den Schutz Ihres Unternehmens mit Privileged Access Management (PAM)
Dieser Blog wurde kürzlich als Reaktion auf den „koordinierten Social-Engineering-Angriff“ gegen Twitter im Juli 2020 aktualisiert, um Informationen über Prävention und Abhilfemaßnahmen im Zuge von Insider-Bedrohungen aufzunehmen.