Nicht nur Cyber-Attacken, sondern auch Insider-Angriffe stellen für Unternehmen nach wie vor eine erhebliche Sicherheitsgefahr dar. CyberArk gibt fünf Empfehlungen, wie ein Unternehmen Insider-Angriffe erkennen und die kostspieligen Folgen verhindern kann.
Viele Unternehmen haben die „Bedrohung von innen“ mittlerweile erkannt und ihre Schutzmaßnahmen entsprechend verstärkt. Dabei konzentrieren sie sich in erster Linie auf böswillige Insider, die allerdings nicht ausschließlich für Sicherheitsvorfälle verantwortlich sind, auch Unachtsamkeiten der Mitarbeiter müssen ins Kalkül gezogen werden.
Bereits schwer herauszufinden ist, welche Insider böswillige Absichten verfolgen. Noch schwieriger ist es, potenzielle Opfer eines Angriffs zu ermitteln, deren Accounts ausgenutzt werden. Und ebenfalls nicht einfach ist die Identifizierung von Mitarbeitern, die unbeabsichtigt zu einer Bedrohung für Unternehmenssysteme, -applikationen und -daten werden.
Die folgenden fünf Empfehlungen können dabei helfen, das Risiko von Insider-Bedrohungen generell zu reduzieren und Angriffe schnell zu erkennen – und so mögliche Schäden auszuschließen beziehungsweise zu begrenzen.
1. Angriffsfläche verringern
Ein Unternehmen sollte die Standard-Benutzerrechte basierend auf Rollen einschränken, um die Gefahr vorsätzlicher und versehentlicher Schäden zu minimieren. Durch die Überwachung von Anwendungen lassen sich zudem Kompromittierungen von Benutzer-Accounts schneller erkennen.
2. Anmeldedaten sichern
Privilegierte Anmeldedaten sollten in einem sicheren, zentralen Repository gespeichert werden, das starke Zugriffskontrollen und Multifaktor-Authentifizierung unterstützt sowie Revisionssicherheit bietet. Zusätzlich müssen Anmeldedaten in regelmäßigen Abständen geändert werden.
3. Befugnisse von Accounts begrenzen
Auf Basis einer strikten „Separation of Duties“ sollten administrative Aufgaben entsprechend den Rollen privilegierter Benutzer auf Basis eines „Least-Privileges-Konzepts“ getrennt werden. Voller Admin- oder Root-Zugriff sollte nur bei zwingendem Bedarf erlaubt werden.
4. Unerwünschtes Verhalten unterbinden
Ein Unternehmen sollte die Verwendung von privilegierten und Shared Accounts überwachen und alle Aktivitäten aufzeichnen, um Aktionen konkreten Benutzern zuordnen und unterbinden zu können.
5. Als autorisierte Insider getarnte Angreifer ermitteln
Angreifer, die privilegierte Accounts nutzen, erscheinen auf den ersten Blick wie autorisierte Insider, unterscheiden sich von diesen jedoch in der Regel in ihrem Verhalten. Unternehmen sollten deshalb das Verhalten privilegierter Benutzer und Accounts überwachen und analysieren, um Abweichungen, die auf einen laufenden Angriff hindeuten können, einfacher zu identifizieren.
„Für einen effektiven Schutz vor Insider-Bedrohungen müssen Unternehmen zur Verkleinerung ihrer Angriffsfläche die Vergabe von Benutzerrechten restriktiv handhaben, privilegierte Anmeldedaten schützen und privilegierte Accounts, die immer wieder Ziel interner und externer Angreifer sind, fortlaufend überwachen“, erklärt Michael Kleist, Regional Director DACH bei CyberArk.
„Genau diese Möglichkeiten bietet unsere Privileged Access Security Suite. Mit ihren intelligenten Kontrollfunktionen können Unternehmen die Gefahr vorsätzlicher und versehentlicher Insider-Bedrohungen deutlich senken. Die Funktionen für Echtzeit-Überwachung und Threat Analytics ermöglichen darüber hinaus eine einfache und schnelle Erkennung von Bedrohungen.“