Einige der gefährlichsten Cyberangriffe der letzten Zeit wurden durch Insider durchgeführt. Die Identifizierung von Insider-Bedrohungen ist schwierig, da es sich häufig um Zombie-Konten handelt. Sie wurden von Benutzern erstellt, die nicht mehr im Unternehmen tätig sind. Wenn die existierenden Konten dann übernommen werden, sind sie gefährlich genug, um über legitime Zugangswege weitreichenden Schaden anzurichten. Insider wissen in der Regel, welche Daten für ein Unternehmen wertvoll sind und wo sie gespeichert sind. Die verursachten Angriffe sind für Unternehmen wesentlich teurer und gefährlicher als Angriffe von externen Angreifern.
In einem Bericht des SANS Instituts über Bedrohungen (Veröffentlichung 2019) wurden die Hintergründe von Insider Bedrohungen untersucht. Das Sicherheitspersonal gab an, dass die größte Lücke bei der Abwehr in erster Linie auf die mangelnde Transparenz des grundlegenden Benutzerverhaltens zurückzuführen ist.
Laut Gartner werden Insider-Bedrohungen in vier Kategorien eingeteilt: Bedrohungen durch Bauern, Goofs (frei übersetzt: Dussel), Kollaborateure und einsame Wölfe.
Bauern
Bauern sind Mitarbeiter, die durch Social Engineering dazu gebracht werden, bösartige Aktivitäten auszuführen. Sie beteiligen sich unabsichtlich an böswilligen Verhalten.
Goofs (frei übersetzt: Dussel)
Goofs sind unwissende oder arrogante Benutzer. Sie sind fest davon überzeugt, die Sicherheitsrichtlinien nicht einhalten zu müssen. Zudem handeln sie oft unvernünftig oder übermütig. Jedes Unternehmen steht vor der Herausforderung, dass ein erheblicher Prozentsatz der Mitarbeiter aktiv versucht, bestehende Sicherheitskontrollen zu umgehen. Fast 90 Prozent aller Bedrohungen durch Insider werden durch Goofs verursacht.
Kollaborateure
Kollaborateure sind Nutzer, die mit einer dritten Partei, beispielsweise mit Konkurrenten oder Nationalstaaten zusammenarbeiten. Sie wollen der Organisation absichtlich Schaden zufügen. Ihr Ziel besteht darin, geistiges Eigentum und Kundeninformationen zu stehlen oder den normalen Geschäftsbetrieb zu stören.
Einsame Wölfe
Einsame Wölfe sind völlig unabhängige und abtrünnige Insider, die ohne äußeren Einfluss oder Manipulation handeln. Sie sind besonders gefährlich, wenn sie über hohe Privilegien verfügen, wie Systemadministratoren oder DB-Administratoren.
Während verhaltensbedingte Anzeichen ein Hinweis auf potenzielle Probleme sein können, können digitale Forensik und Analytik bei der Aufdeckung von Insider-Bedrohungen helfen. User and Entity Behavior Analytics (UEBA) hilft bei der Erkennung potenziell bösartiger Verhaltensweisen.
Um Insider-Bedrohungen wirksam aufzuspüren, sollten Unternehmen ihres Netzwerkes so transparent wie möglich gestalten. Dadurch vermeiden sie blinde Flecken, die durch eine mangelnde Kontrolle über die Benutzerkonten im Unternehmen und der damit verbundenen Berechtigungen entstanden sind. Dies wird durch die Zusammenführung von Sicherheitsdaten in einer zentralen Überwachungslösung erreicht.
Zudem können Unternehmen durch den Einsatz eines Internet-Überwachungstools und daraus generierten Warnungen 40% aller Bedrohungen durch Insider entdecken (Quelle: IBM X-Force Studie, Dauer der Studie: 2018 - 2020). Die Entwicklung solider Richtlinien für die Verwaltung von Zugriffsrechten ist unabdingbar. Dabei sollten Unternehmen ihren Fokus darauf richten, erhöhte Privilegien zu begrenzen. Freigaben für größere Gruppen, um eine schnellere Bereitstellung und einen schnelleren Zugriff auf Unternehmensressourcen zu ermöglichen, sollten dabei zweitrangig sein.
Nachdem die Daten aggregiert wurden, können sie analysiert und mit Risikowerten für das Verhalten gewichtet werden. Schließlich können Cybersecurity Teams mit Hilfe von Verhaltensanomalien erkennen, ob ein Benutzer zu einem böswilligen Insider geworden ist oder ob seine Anmeldedaten von einem externen Angreifer missbraucht wurden.
Unternehmen stehen ständig vor der Herausforderung, Benutzerrechte und -konten zu verwalten. Das führt oft zu einer beispiellosen Ausbreitung neuer Konten, Rechte und Ressourcen. Deshalb sollten Unternehmen eine PAM-Lösung (Privileged Access Management) einführen und Daten über den Zugriff auf privilegierte Konten von dieser Lösung in ihr SIEM einspeisen. Nach der Validierung kann ein Insider-Bedrohungsvorfall in einer integrierten Workflow-Lösung erstellt werden, um eine entsprechende Reaktion auf den Vorfall festzulegen. Dabei geben die Playbooks an, welche Abhilfemaßnahmen erforderlich sind. Mögliche Abhilfemaßnahmen könnten darin bestehen, den Insider mit MFA herauszufordern oder den Zugang zu sperren, was beides automatisch in einer IAM-Lösung erfolgen kann.
Insider-Bedrohungen sind für Unternehmen extrem gefährlich. Deshalb müssen die Zugänge der Mitarbeiter regelmäßig hinterfragt werden, anstatt einmal gewährt und anschließend nie überprüft zu werden. Unternehmen sollten zum Schutz vor Insider-Bedrohungen das "Zero Trust" Konzept dauerhaft einsetzen. Es ist ein wichtiges technologisches Konzept, das auf dem Glaubenssatz "Vertrauen ist gut, aber Kontrolle ist besser" beruht. Dabei werden Zugänge auf Dauer einschränkt und die Granularität des Zugriffs gefördert. Es hilft Unternehmen sehr dabei, ihre Nutzerpopulation zu begrenzen.