Lernen aus den jüngsten Insider-Datenverletzungen

Cyber Security News

Die Sicherheitslektionen, die Unternehmen aus den Trends bei Insider-Angriffen ziehen können, wurden von Neil Daswani, Mitbegründer und Co-Direktor des Stanford Advanced Cybersecurity Program, während eines RSAC 365 Webcasts diskutiert.

Daswani, Autor des kürzlich erschienenen Buches Big Breaches: Cybersecurity Lessons for Everyone, begann mit einem Überblick über die Trends, die es in Bezug auf das Volumen von Insider-Datenverletzungen gegeben hat. Im Zeitraum von 2005 bis 2009 lag die durchschnittliche Anzahl pro Jahr unter 25, aber diese Zahl stieg dann in den Jahren 2010 bis 2014 auf fast 100 pro Jahr an. Dies wurde vor allem durch die Leaks der National Security Agency (NSA) von Edward Snowden im Jahr 2013 in die Höhe getrieben. Überraschenderweise ging die Zahl in den folgenden Jahren deutlich zurück, und erstaunlicherweise gab es 2019 keine gemeldeten Insider-Datenverletzungen. Daswani fügte jedoch hinzu, dass “wenn etwas zu gut ist, um wahr zu sein, ist es das normalerweise auch, denn 2020 haben wir wieder einen Anstieg der Insider-Datenverletzungen gesehen.”

Daswani wies auch auf erhebliche Unterschiede in der Prävalenz von Insider-Datenverletzungen in verschiedenen Branchen hin. Bei weitem am stärksten betroffen ist die Gesundheitsbranche, und als Ergebnis “wenn Sie für eine dieser Organisationen arbeiten, sollten Sie wahrscheinlich mehr Aufmerksamkeit auf Insider-Angriffe als Kollegen in anderen Arten von Organisationen.” Am zweitstärksten betroffen war der Finanzsektor, gefolgt von Einzelhandel und Gewerbetreibenden sowie Regierung und Militär.

Daswani analysierte anschließend, wie es zu Insider-Datenangriffen kommt, und betrachtete zunächst das berühmteste Beispiel dieser Art – die Snowden-Leaks im Jahr 2013. Es scheint, dass das Problem von der Tatsache ausging, dass Snowden weitreichenden Zugang zu hochsensiblen Daten erhielt; er bekam Zugang zum Auftragnehmer, SSH-Schlüssel, digitale Zertifikate und eine Smartcard. Dies ermöglichte es ihm, einen “Crawler” innerhalb der Regierungssysteme aufzubauen und über eine Million Dateien herunterzuladen. “Es war interessant, dass ein Systemadministrator so viele Zugangsdaten hatte”, kommentierte Daswani.

Ein weiteres Problem war die Unfähigkeit der NSA, die riesige Menge an verschlüsselten Verkehrsströmen innerhalb ihrer Netzwerke zu erkennen. “Es gab einen Mangel an Überwachung, einen Mangel an Anomalie-Erkennung, der wahrscheinlich diesen Angriff erfolgreich gemacht hat”, sagte Daswani.

Im vergangenen Jahr, seit dem Beginn der COVID-19-Pandemie, gibt es Anzeichen dafür, dass Insider-Angriffe leichter durchzuführen sind. Daswani zitierte Zahlen von Code 42, wonach es wahrscheinlicher ist, dass Mitarbeiter Dateien durchsickern lassen, als dies vor COVID der Fall war.

Der Hauptgrund dafür ist laut Daswani die Verlagerung zur Heimarbeit, was bedeutet, dass “CISOs und ihre Teams nicht so viel Einblick in den gesamten Datenverkehr hatten.” Außerdem waren Unternehmen nicht in der Lage, Sicherheitsmaßnahmen für Mitarbeiter zu ergreifen, die einem hohen Maß an sensiblen Daten ausgesetzt sind. Zum Beispiel müssten sich Kundendienstmitarbeiter normalerweise an bestimmte physische Gegenmaßnahmen am Arbeitsplatz halten, wie z. B. keine Handys und Papier/Stifte, “so dass sie keine Dinge aufschreiben und nur über virtuelle Desktop-Oberflächen mit Kunden interagieren können.” Diese Art von Richtlinien lassen sich aus der Ferne unmöglich durchsetzen.

Da die Heimarbeit in vielen Unternehmen seit über einem Jahr eingeführt ist, hofft Daswani, dass “Unternehmen, die die Sichtbarkeit verloren haben, Schritte unternehmen werden, um die Sichtbarkeit zurückzugewinnen, auch wenn die Mitarbeiter aus der Ferne arbeiten.”

Daswani sprach auch über mehrere hochkarätige Insider-Angriffe der letzten Zeit, die bei Twitter, Tesla und Shopify stattgefunden haben. Aus diesen lassen sich eine Reihe von Lehren ziehen. Während sich traditionelle Sicherheitsansätze auf Prävention konzentrieren und binär sind, ist dieses Modell für Insider-Angriffe, bei denen sich die Täter bereits in Ihren Systemen befinden, nicht ausreichend.

Für Insider-Bedrohungen können präventive Maßnahmen ergriffen werden, die sich hauptsächlich auf die psychologische Profilierung von Mitarbeitern konzentrieren, um risikoreiche Persönlichkeitsmerkmale aufzudecken, und auf der Grundlage dieser Erkenntnisse nutzungsbasierte Sicherheits- und Benutzerverhaltensanalysen entwickeln. Dies sollte in Überwachungs- und Erkennungsfunktionen auf höchster Ebene einfließen. Daswani sagte: “Man muss ein Modell haben, das in erster Linie auf Erkennung ausgerichtet ist und probabilistisch ist.”

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com