Indikatoren für Insider-Bedrohungen: Den Feind im Inneren finden

Organisationen sind bestrebt, ihre sensiblen Daten und Informationen zu schützen. Viele Organisationen stellen umfangreiche Ressourcen für ihre Cyber-Abwehrmaßnahmen bereit und richten ein Security Operations Center (SOC) ein, um sich vor Cyberangriffen zu schützen.

Cyberangriffe stellen zwar eine Bedrohung für Unternehmen dar, sind jedoch nicht so häufig und in manchen Fällen auch nicht so gefährlich wie schwer zu erkennende Insider-Bedrohungen. In diesem Artikel informieren wir Sie über Insider-Bedrohungen: Was sind sie, welche Indikatoren helfen, sie zu erkennen, und welche Tools sich am besten davor schützen.

Empfohlene Lektüre:Security Big Data Analytics: Vergangenheit, Gegenwart und Zukunft.

Was ist eine Insider-Bedrohung?

Eine Insider-Bedrohung ist eine böswillige Aktivität, die sich gegen Organisationen richtet und von Mitarbeitern der Organisation ausgeführt wird. Die Verdächtigen in diesen Szenarien sind in der Regel Mitarbeiter oder Auftragnehmer, die Zugriff auf das Netzwerk der Organisation, einschließlich Datenbanken und Anwendungen, haben.

Arten von Insider-Bedrohungen

Es gibt mehrere Möglichkeiten, wie eine im Unternehmen beschäftigte Person zu einer Insider-Bedrohung werden kann:

• Böswilliger Insider– eine Person, die ihren Zugang und ihre Anmeldeinformationen missbraucht, um Aktivitäten mit böswilliger Absicht durchzuführen, typischerweise in Form des Diebstahls von Informationen zum finanziellen und persönlichen Vorteil.
• Unvorsichtiger Insider– jemand, der unwissentlich oder versehentlich Schwachstellen schafft und das System oder Netzwerk externen Bedrohungen aussetzt. Dies ist die häufigste Insider-Bedrohung, da sie jedem unbeabsichtigt passieren kann, indem er auf einen irreführenden Link klickt oder einen USB-Stick mit vertraulichen Informationen vergisst.
• Kompromittierter Insider– ein Außenstehender, der sich Insiderzugriff verschafft hat, indem er sich als Benutzer mit legitimem Zugriff ausgibt, beispielsweise als Mitarbeiter, Auftragnehmer oder Partner. Dies kann auch Wirtschaftsspionage umfassen.

Tipps vom Experten

Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.

Meiner Erfahrung nach können Ihnen die folgenden Tipps dabei helfen, Insider-Bedrohungen besser zu erkennen und zu bewältigen:

Verfolgen Sie das Verhalten über längere Zeiträume
Insider-Bedrohungen entwickeln sich oft über Monate oder Jahre. Verwenden Sie UEBA, um langfristige Verhaltensprofile zu erstellen und nach schleichenden Abweichungen von normalen Aktivitäten zu suchen, wie z. B. einer langsamen Erhöhung des Zugriffs auf sensible Systeme oder dem regelmäßigen Kopieren großer Datenmengen.

Kombinieren Sie UEBA mit SIEM für einen erweiterten Kontext
Nutzen Sie UEBA in Kombination mit SIEM, um Verhaltensdaten mit Echtzeitwarnungen aus Ihrer Sicherheitsinfrastruktur anzureichern. Dies liefert einen tieferen Kontext für ungewöhnliche Aktivitäten wie Privilegienerweiterungen oder unerwartete Datenübertragungen und hilft Ihnen, Insider-Bedrohungen früher zu erkennen.

Aktualisieren Sie regelmäßig die Benutzerzugriffskontrollen
Überprüfen und aktualisieren Sie regelmäßig die Benutzerzugriffsrechte, um sicherzustellen, dass Mitarbeiter nur den Zugriff haben, den sie für ihre aktuelle Rolle benötigen. Entziehen Sie Mitarbeitern umgehend den Zugriff, wenn sie das Unternehmen verlassen oder die Abteilung wechseln, um das Risiko interner Bedrohungen zu minimieren.

Setzen Sie SOAR für die automatisierte Reaktion auf Insider-Vorfälle ein
Implementieren Sie SOAR-Tools (Security Orchestration, Automation and Response), um Reaktionen auf häufige Insider-Bedrohungsindikatoren zu automatisieren. Automatisierte Workflows können beispielsweise ausgelöst werden, wenn ungewöhnliche Datenübertragungen oder Zugriffsmuster erkannt werden. Dies reduziert das Risiko verzögerter Reaktionen.

Implementieren Sie DLP mit Echtzeit-Warnung bei Datenexfiltration
Nutzen Sie Data Loss Prevention (DLP)-Tools mit Echtzeitüberwachung, um ungewöhnliche Datenbewegungen, insbesondere auf Wechseldatenträger oder externe Cloud-Plattformen, zu erkennen. So erhalten Sie sofortige Warnungen bei potenziellem Datendiebstahl durch Insider.

Beispiele für Insider-Bedrohungsindikatoren

Jedes unregelmäßige Verhalten auf System- oder Netzwerkebene, das auf verdächtige Aktivitäten hindeutet, stellt eine Insider-Bedrohung dar. Es gibt zahlreiche Indikatoren für Insider-Bedrohungen. Das Wissen, wie man diese Signale erkennt und Mitarbeiter im Auge behält, ist ein wichtiger Teil der Prävention von Insider-Bedrohungen. Beispiele:

• Schlechte Leistungsbeurteilungen– Wenn die Leistungsbeurteilungen eines Mitarbeiters plötzlich schlechter werden, kann dies ein Zeichen für einen unzufriedenen Mitarbeiter sein, der das Interesse an seiner Arbeit oder die Loyalität zum Unternehmen verloren hat. Andererseits kann eine schlechte Leistungsbeurteilung dazu führen, dass sich ein Mitarbeiter beleidigt fühlt und seinen Zugang missbraucht, um den Betrieb des Unternehmens zu behindern und sich am Unternehmen zu rächen.
• Meinungsverschiedenheiten mit Richtlinien– Mitarbeiter, die ihre Ablehnung von Unternehmensrichtlinien lautstark zum Ausdruck bringen, können zu Insider-Bedrohungen werden. Dies geschieht typischerweise, wenn sie Maßnahmen ergreifen, um das Unternehmen zu den gewünschten Richtlinienänderungen zu bewegen.
• Unzufriedene Mitarbeiter– Mitarbeiter, die häufig mit Kollegen und Vorgesetzten streiten und in Konflikte geraten, können ihren Frust auf eine Weise auslassen, die dem Unternehmen schaden kann. Weitere Anzeichen für unzufriedene Mitarbeiter sind: nachlassende Leistung, mehr Fehler als üblich, verpasste Termine und ständiges Zuspätkommen im Büro.
• Finanzielle Notlage– Mitarbeiter, die sich aus finanziellen Gründen in einer schwierigen Lage befinden, stehen ständig unter Druck. Sie können leicht von Außenstehenden ausgenutzt werden. Der Verkauf wertvoller Daten an Dritte kann ein Versuch sein, ihre Schulden zu begleichen.
• Verdächtiger finanzieller Gewinn– Mitarbeiter, die große Anschaffungen wie neue Autos tätigen, die teurer erscheinen, als sie sich in ihrer Gehaltsstufe leisten können, können Anlass zur Sorge geben. Sie sollten sorgfältig beobachtet werden, um sicherzustellen, dass sie nicht mit Firmeninformationen Profit machen.
• Ungewöhnliche Arbeitszeiten– Mitarbeiter, die sich außerhalb der Arbeitszeiten zu verdächtigen Zeiten, beispielsweise mitten in der Nacht, beim Netzwerk anmelden, versuchen möglicherweise, böswillige Absichten zu verbergen.
• Ungewöhnliche Auslandsreisen– Mitarbeiter, die plötzlich häufig in andere Länder und/oder Städte reisen, betreiben möglicherweise Wirtschaftsspionage. Diese Mitarbeiter werden oft als Maulwürfe bezeichnet, da sie möglicherweise heimlich von anderen Organisationen, ob Industrie oder Regierung, angeheuert werden, um Informationen von anderen Unternehmen zu stehlen.
• Verlassen des Unternehmens– Wer das Unternehmen verlässt, stellt ein potenzielles Risiko für Insider dar. Es empfiehlt sich, die früheren Netzwerkaktivitäten solcher Personen zu überprüfen und sicherzustellen, dass sie ihren Zugriff nicht in irgendeiner Form missbraucht haben.
• Übermäßig enthusiastische Mitarbeiter– Übermäßig enthusiastische Mitarbeiter könnten eine geheime Absicht verfolgen und versuchen, ihren Wert unter Beweis zu stellen, um ihren Zugriff auf Daten zu erweitern und diese zu missbrauchen.

Lösungen zur Erkennung von Insider-Bedrohungen

Insider-Bedrohungen sind schwerer zu erkennen und zu verhindern als herkömmliche externe Bedrohungen. Ein Unbefugter, der versucht, sich Zugang zum Unternehmensnetzwerk zu verschaffen, könnte viele Warnsignale auslösen. Ein ehemaliger Mitarbeiter, der dieselben Informationen verkauft, auf die der Angreifer zugreifen wollte, wird jedoch keine Warnsignale auslösen. Aus diesem Grund werden viele Insider-Bedrohungen erst erkannt, wenn sie ihre böswilligen Absichten verwirklichen.

Die häufigsten Insider-Bedrohungen sind nicht böswillig motiviert und verursachen unbeabsichtigten Schaden. Um diesen Bedrohungen zu begegnen, müssen bestimmte Sicherheitslösungen und -richtlinien angewendet werden. Beispielsweise ist die Verbesserung der Transparenz von Benutzerzugriffen und -aktivitäten eine bewährte Methode zur Erkennung und Abwehr von Insider-Bedrohungen.

Verwenden von UEBA zum Erkennen von Insider-Bedrohungsindikatoren

Die Benutzer- und Entitätsverhaltensanalyse (UEBA) verfolgt, sammelt und analysiert Daten aus Computer- und Benutzeraktivitäten. UEBA verwendet verschiedene Techniken, um zwischen normalem und verdächtigem Verhalten zu unterscheiden.

Um diese Aufgabe erfüllen zu können, benötigen UEBA-Lösungen eine Lernphase. Nachdem UEBA die normalen Verhaltensmuster erlernt hat, kann es verdächtige Aktivitäten kennzeichnen, die nicht diesen Richtlinien entsprechen. UEBA-Lösungen können verdächtige Aktivitäten erkennen, die auf Insider-Bedrohungen hinweisen können, wie z. B. unregelmäßiges Online-Verhalten, ungewöhnliche Zugriffsaktivitäten, Missbrauch von Anmeldeinformationen und große Daten-Uploads oder -Downloads.

Die wichtigste Funktion von UEBA besteht darin, verdächtige Aktivitäten zu erkennen, die möglicherweise auf böswillige Absichten zurückzuführen sind, und die Personen, die diese Aktivitäten ausführen, als Insider-Bedrohungen zu kennzeichnen, bevor sie erheblichen Schaden anrichten können.

Verwenden von SOAR zum Erkennen von Insider-Bedrohungsindikatoren

Tools zur Orchestrierung, Automatisierung und Reaktion auf Sicherheitsbedrohungen (SOAR) sind Cybersicherheitslösungen, die es Unternehmen ermöglichen, Daten und Warnungen zu Sicherheitsbedrohungen aus mehreren Quellen zu sammeln.

Viele Unternehmen nutzen SOAR-Lösungen in ihrem Security Operations Center (SOC), um andere Sicherheitstools wie Security Information and Event Management (SIEM) zu ergänzen. Ein SOC kann die automatisierten Funktionen von SOAR nutzen, um Bedrohungen schneller und effizienter zu begegnen, die Arbeitsbelastung der Mitarbeiter zu reduzieren und die Reaktionsprozesse bei Sicherheitsvorfällen zu standardisieren.

SOAR unterstützt die SOC-Analysten bei der Entscheidungsfindung und fasst alle Informationen zusammen. SOAR erkennt verdächtige Aktivitäten, beispielsweise die Erstellung mehrerer Benutzer in Ihrem System, und ermöglicht den SOC-Analysten die Entscheidung über das weitere Vorgehen gegen diese Benutzer. Darüber hinaus stellt SOAR den SOC-Analysten Playbooks zur Verfügung, mit denen sie automatisierte Workflows ausführen und verschiedene Maßnahmen zur Eindämmung und Minderung von Bedrohungen ergreifen können. Diese Funktionen reduzieren das Risiko kritischer Schäden.

Abschluss

Der Schutz Ihres Unternehmens vor Insider-Bedrohungen ist ebenso wichtig wie traditionelle Cybersicherheitsmaßnahmen, die sich auf externe Bedrohungen konzentrieren. Insider-Bedrohungen sind jedoch oft deutlich schwieriger zu erkennen als Bedrohungen von außen, die nicht durch Antivirenprogramme und Firewalls blockiert werden können. Indem Sie auf Indikatoren für Insider-Bedrohungen achten, bleiben Sie immer einen Schritt voraus und können auf eine der größten Bedrohungen für Ihr Unternehmen reagieren.

Im Bereich Bedrohungslösungen bietet Exabeam Funktionen wie SIEM, UEBA und SOAR, die helfen, verdächtiges Mitarbeiterverhalten zu erkennen, das auf böswillige Absichten hindeuten könnte. Lesen Sie mehr über die Lösungen von Exabeam und erfahren Sie, wie Sie eine bessere Sicherheitsstrategie entwickeln und Ihre Umgebungen und Systeme vor einer Reihe interner und externer Bedrohungen schützen können.