chones - stock.adobe.com

Vier Anzeichen eines Sicherheitsvorfalls von Innen

Insider-Angriffe können sowohl tatsächlich aus der inneren Büroumgebung stattfinden, wie auch aus der Cloud oder äußeren Infrastrukturen. Wie können Unternehmen diese entdecken?

Unternehmen müssen branchenübergreifend tagtäglich mit einem Sicherheitsvorfall rechnen, es ist nicht mehr die Frage ob er passiert, sondern nur, wann er passiert. Besonders schwierig ist der Schutz vor Insider-Attacken. Eine hundertprozentige Sicherheit gibt es daher nicht und kann auch kein Anbieter und kein Unternehmen seinen Kunden garantieren.

Sicherheitsverantwortliche denken nicht unbedingt zu allererst an den Geschäftsvorteil und -Vorsprung, den ihr Unternehmen derzeit hat, wenn sie um einen Insider-Angriff geht. Solche Insider-Bedrohungen werden zumeist aus der Perspektive des tatsächlichen inneren Angriffs, also aus dem Büro heraus, betrachtet. Doch tatsächlich finden solche Insider-Angriffe auch auf Infrastrukturen statt, die außerhalb der Büros stehen. Diese IT-Architekturen in der Außenwelt, also in Cloud und Cloud-ähnlichen Umgebungen, ermöglichen ein flexibles Arbeiten und ermöglichen auch Heimarbeit. Gleichzeitig erhöhen sie aber auch die Zugriffsmöglichkeiten von außen über Remote-Zugänge. Die Wahrscheinlichkeit eines unentdeckten Insider-Angriffs steigt dadurch signifikant.

1. Anzeichen: Zugriffe aus unternehmensfremden Regionen

In diesem Zusammenhang sind geografische Anomalien, die normalerweise für Stirnrunzeln bei den Administratoren sorgen, wenn sie von einem sorglosen und unerfahrenen Angreifer infiltriert werden, alltäglich. Warum sollte das betroffene Unternehmen, das ausschließlich innerhalb der EMEA-Zone tätig ist, plötzlich mit einem Netzwerk kommunizieren, das sich in der APAC-Zone befindet? Das ist doch sehr unwahrscheinlich, und selbst wenn es legitim vorkommt, ist es sicherlich ein offensichtlicher Grund den Zugriff kritisch zu hinterfragen und zu überprüfen. Der Zugriff aus einem anderen Wirtschaftstraum ohne eigene Niederlassung oder Mitarbeiter ist also etwas, was ein erstes Anzeichen für einen Sicherheitsvorfall, also ein Indicator of Compromise (IoC) sein kann.

2. Anzeichen: Zugriffe mit autorisierten mobilen Geräten

Insider-Bedrohungen von außen sind darüber hinaus auch mobile Endpunkte. Sicherheitsexperten entwickeln ständig das Gleichgewicht zwischen Flexibilität und Verantwortung für ihre Benutzer bei gleichzeitiger Aufrechterhaltung eines sicheren Unternehmensnetzwerks. Mobile Geräte sind oftmals das erste Ziel für potenzielle Angreifer, die aufgrund der oft laxen Sicherheit auf mobilen Endgeräten, diese nutzen, um ein Netzwerk zu infiltrieren.

Die Überprüfung oder Überwachung der Prozesse, die auf Endgeräten ausgeführt werden, kann anhand einer vordefinierten Liste genehmigter Prozesse ein einfacher Weg sein, um Rogue-Prozesse zu identifizieren, die zwar kein sicheres Anzeichen für eine Kompromittierung sind, aber sicherlich ein persönliches Gespräch mit dem Inhaber des mobilen Geräts rechtfertigen, dass sich Zugriff auf das Netzwerk verschaffen wollte.

3. Anzeichen: Auffälliges Login-Verhalten

Die Mehrheit der Insider-Bedrohungen hängt in hohem Maße von der Fähigkeit der Angreifer ab, sich über vordefinierte Konten einen scheinbar „legitimen“ Zugang zum Netzwerk zu verschaffen und sich dann von dort aus zu verbreiten. Dies wird durch eine Vielzahl von Maßnahmen erreicht, darunter Social Engineering und Querverweise auf Daten aus früheren Datenschutz- und Sicherheitsverletzungen, die potenziell nützliche Login-Daten enthalten. Sobald diese Daten erfolgreich kopiert wurden, ist es für den Angreifer entscheidend, sie auf eine effektive Weise zu nutzen, die den geringsten Verdacht im Unternehmen erweckt.

Jake Anthony, LogPoint

Insider-Bedrohungen werden zumeist aus der Perspektive des tatsächlichen inneren Angriffs, also aus dem Büro heraus, betrachtet. Doch tatsächlich finden solche Insider-Angriffe auch auf Infrastrukturen statt, die außerhalb der Büros stehen.

Jake Anthony, LogPoint

Dennoch gibt es in diesem Bereich eine Vielzahl von potenziellen IoCs, die von dem Ort und dem Zeitpunkt, an und von dem der Login stattgefunden hat, bis hin zur Anzahl dieser Logins reichen. Diese können mit auffälligem und normalem Verhalten verglichen werden. Letztlich ist das eine Reihe von einfach zu erkennenden IoCs, die Sicherheitsverantwortliche in den Unternehmen überwachen sollten.

4. Anzeichen: Rechtverwaltung bei Mitarbeiterkonten

Es ist ein gängiges Thema bei Cyberangriffen, dass die anfängliche Infiltration eines Unternehmens oft wenig bis gar keine nützlichen Informationen liefert. Die Angreifer wollen sich von diesem anfänglichen Infektionspunkt aus im gesamten Netzwerk verbreiten und ihre Zugriffsrechte erhöhen und Informationen über die IT-Infrastruktur sammeln. Je länger ein Angreifer im Netzwerk ist, desto mehr Kontrolle wird er versuchen zu erlangen und desto mehr Daten wird er sammeln. Dieses Konzept der lateralen Bewegung innerhalb eines Unternehmens, um Privilegien und Informationen zu erlangen, ist nicht neu und erfordert in den meisten Fällen eine detaillierte Analyse, um die zugrunde liegenden IoCs zu erhalten.

Ein einfaches IoC, nach dem Sicherheitsverantwortliche in dieser Hinsicht suchen können, ist jedoch die Idee der Privilegien-Eskalation, also die Überwachung der Änderungen der Privilegien über die Konten und damit die Zugriffsrechte, die die einzelnen Konten haben. Sobald einem neu erstellten Konto Administratorrechte gewährt werden, sollten Fragen zur Gültigkeit dieser Aktion gestellt werden.

Fazit

Solche Insider-Bedrohungen gehen eben nicht von der vertrauten Büroumgebung aus, sondern auch von außerhalb des Unternehmens, wenn die Mitarbeiter über einen entsprechenden Zugriff auf die Cloud-Architekturen und ausgelagerten IT-Infrastrukturen verfügen.

Eine SIEM-Lösung, ergänzt durch erstklassige Sicherheitsanalysen, kann Security-Analysten bei der Bedrohungssuche unterstützen. Die Zeit zur Beseitigung von Fehlalarmen wird dann drastisch verkürzt, so dass sich das Security-Team auf die wirklich wichtigen Bedrohungen konzentrieren kann. Security-Analysten können dann sowohl verdächtiges Benutzerverhalten als auch andere Infrastrukturen wie Cloud-Anwendungen, mobile oder lokale Anwendungen, Endpunkte aller Art, Netzwerke und externe Bedrohungen problemlos erkennen und nach IoCs untersuchen.

Über den Autor:

Jake Anthony ist Senior Sales Engineering Manager bei LogPoint.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.

Nächste Schritte

Gratis-eBook: SIEM richtig auswählen und einsetzen

Wie man Insider-Bedrohungen begegnen kann

Mit verhaltensbasierten Techniken die Sicherheit optimieren

Erfahren Sie mehr über Security