- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Unterschätztes Risiko Insider-Angriff


Datenzentrierter Security-Ansatz zum Schutz vor böswilligen Insidern
Abwehr von Insider-Bedrohungen mit User and Entity Behavior Analysis (UEBA) auf Basis von Machine Learning

- Anzeigen -





Von Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

Beim Stichwort Cyber-Bedrohung denkt man häufig an großangelegte Malware-Angriffe wie Ransomware, mit denen Kriminelle versuchen, das Firmennetzwerk zu kompromittieren. Unterschätzt wird jedoch oft eine Gefahr, die bereits im Firmengebäude sitzt: Die Insider-Bedrohung. Insider – seien es unachtsame Angestellte oder böswillige Mitarbeiter, die aus finanziellen oder persönlichen Motiven Daten stehlen oder gar löschen – sind ein enormes Risiko für die Datensicherheit in Unternehmen. Oft haben Angestellte, externe Auftragnehmer und andere Dritte legitimen Zugriff auf sensible Daten, um effektiv und flexibel arbeiten zu können. Dies stellt eine Herausforderung für Sicherheitsteams dar, denn es ist wesentlich schwieriger, Bedrohungen zu erkennen, wenn der betreffende Akteur gültigen Zugriff auf Unternehmensdaten hat. Mit entsprechenden Richtlinien und Technologien kann die Gefahr eines internen Datenverlustes oder -diebstahls jedoch erheblich reduziert werden.

Sensibilisierung unvorsichtiger Mitarbeiter
Die Sensibilisierung und Schulung der eigenen Mitarbeiter ist für Unternehmen eine der wirksamsten Abwehrmaßnahmen gegen Insider-Bedrohungen. Dies liegt daran, dass die meisten unbeabsichtigten Datenverstöße auf Handlungen eines unachtsamen Mitarbeiters zurückzuführen sind. Durch regelmäßige Schulungen zum Thema Datensicherheit wird Mitarbeitern beigebracht, korrekt mit sensiblen Unternehmensdaten umzugehen. Zudem sollten alle Angestellten über neue Datenrichtlinien oder Technologien informiert werden, bevor diese implementiert werden.

Dies schützt sensible Daten allerdings nicht vor Mitarbeitern, die ihre Zugriffsrechte nutzen, um vorsätzlich das Falsche zu tun. Das Risiko der missbräuchlichen Datennutzung oder des Diebstahls durch Insider-Bedrohungen kann jedoch mit geeigneten Technologien eingedämmt werden. Diese Technologien sollten datenzentriert sein: Das bedeutet, sie geben Sicherheitsteams einen Überblick, auf welche Unternehmensdaten wie, wann und von wem zugegriffen wird. Dadurch können Sicherheitsverantwortliche ungewöhnliche Aktivitäten rasch erkennen. Zudem sollten diese Technologien automatisch verhindern, dass ein unbefugter Mitarbeiter sensible Daten kopiert, überträgt oder löscht. Solch ein datenzentrierter Sicherheitsansatz sorgt darüber hinaus dafür, dass unachtsame Angestellte sensible Daten nicht versehentlich verschieben oder versenden.

User and Entity Behavior Analysis (UEBA) mithilfe von Machine Learning
User and Entity Behavior Analysis (UEBA) ist ein Cybersecurity-Prozess zur Verfolgung verdächtiger oder bösartiger Verhaltensweisen. UEBA-Tools überwachen das Nutzerverhalten von Mitarbeitern und externen Auftragnehmern mit Zugriff auf Anwendungen, Konten und Servern, die sensible Daten speichern. Dabei nutzen UEBA-Tools fortschrittliche Machine Learning-Algorithmen in Kombination mit statistischen Auswertungsmethoden, um potentielle Insiderbedrohungen zu ermitteln. Hierzu wird ein Standard-Verhaltensprofil des jeweiligen Nutzers erstellt, mit Informationen wie Ort und Geräten, von denen sich ein User in der Regel anmeldet, auf welche Dateien und Server er normalerweise zugreift, wie oft und zu welcher Zeit, welche Zugriffsrechte er aktuell hat und vieles mehr.

Angenommen, ein Benutzer lädt jeden Tag eine bestimmte Datenmenge von einem bestimmten Gerät herunter und greift jede Woche auf eine bestimmte Anzahl von Servern zu. Stellt das Analyse-Tool fest, dass der Account plötzlich Gigabytes an Daten von einem fremden Standort herunterlädt oder auf neue Server zugreift, wird es Alarm schlagen.

UEBA-Tools können somit selbstlernend auf Basis von Berechtigungen und Zugriffsrechten des jeweiligen Nutzers arbeiten. Mit Hilfe von Algorithmen kann UEBA spezifische Verhaltensmuster, Anomalien sowie Insider-Bedrohungen erkennen, die bei herkömmlicher menschlicher Überwachung eventuell völlig unbemerkt bleiben würden. Zudem schützt UEBA so auch vor Bedrohungen von außen: Für Cyberkriminelle mag es beispielsweise mithilfe von Phishing-Angriffen relativ simpel sein, Anmeldeinformationen wie Benutzername und Passwort eines Mitarbeiters abzugreifen, doch es wird schwierig werden, das Standardverhalten des jeweiligen Benutzers im Netzwerk nachzuahmen.

Interne und externe Bedrohungen im Überblick, gegen die UEBA schützen kann

• >> Insider-Bedrohungen:
Die Motivation von böswilligen Insidern ist vielfältig, von finanziellem Gewinn durch den Verkauf personenbezogener Daten oder Weitergabe von Industrie- und Geschäftsgeheimnissen bis hin zum Löschen unternehmenskritischer Daten als Racheakt aufgrund einer Entlassung.
UEBA-Abwehrmechanismus: Durch integriertes Machine Learning kann das UEBA-Tool Sicherheits-, Richtlinienverstöße und Privilegien-Missbrauch durch Mitarbeiter eines Unternehmens erkennen und Sicherheitsteams bei verdächtigen Insideraktivitäten direkt alarmieren.

• >> Gehackte privilegierte Konten: Häufig haben Führungskräfte erweiterte Zugriffsrechte und verfügen aufgrund ihrer Unternehmensposition auch über besondere Berechtigungen. In anderen Fällen erhalten externe Auftragnehmer oder leitende Angestellte auch kurzfristigen Zugriff auf sensible Daten, beispielsweise für ein Projekt. Cyberkriminelle sind stets auf der Suche nach derart privilegierten Konten, um möglichst lukrative Informationen zu erbeuten.
UEBA-Abwehrmechanismus: Privilegierte Konten können sowohl durch böswillige Insider als auch unachtsame Mitarbeiter gefährdet werden, die versehentlich sensible Informationen preisgeben. Durch die unmittelbare Erkennung untypischen Verhaltens unterstützt UEBA IT-Teams darin, kompromittierte Konten auszusortieren, bevor ein Hacker Schaden anrichten kann. Darüber hinaus weiß das Analyse-Tool auch, wann privilegierte User angelegt wurden, und überwacht, ob sie überhaupt noch Zugriff auf bestimmte Daten benötigen oder über nicht mehr notwendige Berechtigungen verfügen.

• >> Passwort-Angriffe: Hat ein Hacker ein Passwort abgegriffen, kann er mithilfe simpler Brute Force-Attacken Variationen des Kennworts ausprobieren, um in weitere Konten des Opfers einzudringen. Angreifer nutzen hierbei die Wahrscheinlichkeit aus, dass Nutzer bestimmte Abwandlungen des gleichen Passworts für verschiedene Accounts verwenden.

UEBA-Abwehrmechanismus: Sobald Hacker Zugang zu Logins und Passwörtern haben, werden sie im nächsten Schritt wahrscheinlich Firewalls, Server-Einträge oder Authentifizierungssysteme von Drittanbietern angreifen. UEBA ist in der Lage, Brute Force-Attacken zu erkennen und den Zugang zu angegriffenen Systemen sofort zu sperren.

Mit entsprechenden Richtlinien wie regelmäßiger Mitarbeiterschulung und datenzentrischen Sicherheitstechnologien vermeiden Unternehmen, dass ihre Daten in die falschen Hände geraten. UEBA-Tools können hier IT-Teams maßgeblich unterstützen, verdächtiges Nutzerverhalten schnell zu erkennen und alarmieren proaktiv, bevor es zu einem Sicherheitsverstoß kommt. (Digital Guardian: ra)

eingetragen: 10.08.18
Newsletterlauf: 24.08.18

Digital Guardian: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Grundlagen

  • IAM eine der grundlegenden Sicherheitsmaßnahme

    Wenn man die Analogie zum Fußball bemühen will, dann hat der Erfolg einer IT-Sicherheitsabteilung maßgeblich mit einer guten Verteidigung zu tun. Es kommt darauf an, dass die Abwehr geschlossen steht und der Gegner am besten gar nicht erst zum Schuss oder auch nur in eine dafür geeignete Position gelangt. Die beste Voraussetzung für einen Sieg. Ein Bild, dass sich durchaus auf den Datenschutz und das Zusammenwirken unterschiedlicher Sicherheitsebenen übertragen lässt. Im Idealfall hält ein mehrschichtiger Sicherheitsansatz Cyberkriminelle davon ab "ein Tor zu machen" - sprich in ein Netzwerk vorzudringen, an Unternehmensdaten zu gelangen, diese zu entwenden und zu missbrauchen.

  • Angriffe, die keinem bekannten Muster folgen

    Technologien, die auf künstlicher Intelligenz basieren, sind inzwischen weit verbreitet und für hunderttausende IT-Sicherheitsexperten auf der ganzen Welt zugänglich. Forscher müssen dank künstlicher Intelligenz nicht mehr am Computer Unmengen von Zahlen und Daten analysieren. Der Siegeszug der KI hat einige Gründe. Einer davon ist die zur Verfügung stehende Rechenleistung. Wirtschaftliche Cloud-Lösungen und bedienerfreundliche Tools haben ebenfalls dazu beigetragen ausgereiftes maschinelles Lernen und Algorithmen, die auf künstlicher Intelligenz beruhen, einem breiten Kreis von Anwendern zugänglich zu machen und mithilfe dieser Tools Probleme zu lösen.

  • Angreifer werden zunehmend hartnäckiger

    Unternehmen, die im Umbruch sind, scheinen besonders gefährdet zu sein, Opfer von Hacking-Angriffen zu werden. Laut des gerade erst veröffentlichten M-Trends Reports von FireEye, scheint sich ein Trend abzuzeichnen, dass Unternehmen oder Organisationen, die einen Merger & Acquisition-Prozess durchlaufen, gezielt ins Visier von Cyber-Bedroher geraten. Schwächstes Glied in der Kette ist demnach der Mitarbeiter: Phishing-E-Mails sind die wichtigsten Einfallstore für Hacker, um via einem gefälschten Link oder verseuchten Anhängen Zugriffe auf ein Netzwerk zu erlangen.

  • Hype um die Sicherheit

    Von Automobilherstellern über Chemie- und Industrieunternehmen bis zum verarbeitenden Gewerbe - Robotic Process Automation (RPA) findet in verschiedenen Branchen Anwendung und führt dort zu wirtschaftlichen Vorteilen. Besonders etabliert hat sich der Einsatz von Software-Robotern in den Bereichen Finanzen und Buchhaltung sowie IT, Personalwesen und Einkauf, wo sensible Informationen im Umlauf sind. "Durch den Einsatz von RPA lassen sich administrative Aufwände rund um den Datenschutz erheblich vereinfachen", erklärt Alexander Steiner, Chief Solution Architect der meta:proc GmbH. "Gleichzeitig gilt es einige Dinge zu beachten, wenn der Bot vollen Zugriff auf sensible Kundendaten erhält."

  • Algorithmen in einer Post-Quantum-Welt

    Die National Academies of Sciences, Engineering and Medicine veröffentlichte einen neuen Bericht, in dem sie Fortschritte und Perspektiven - oder deren Fehlen - rund um das Thema Quantencomputer - untersucht hat. Der Report skizziert verschiedene technische und finanzielle Probleme, die es zu überwinden gilt, bevor man einen funktionsfähigen Quantencomputer bauen kann. Selbst für Prognosen für die zeitliche Entwicklung der Technologie ist es nach Ansicht der Wissenschaftler noch zu früh. Auch wenn das für einige überraschend klingen mag: die Art der Fortschritte auf diesem Gebiet und das technologische Wachstum haben sich im Laufe der Jahre so dramatisch verändert, dass einige Experten davon ausgehen, dass wir möglicherweise nie eine groß angelegte Implementierung sehen werden.