Cyberangriffe müssen nicht immer von außen erfolgen. Manchmal kommen sie auch aus dem Inneren eines Unternehmens. Insider-Bedrohungen gehen von den eigenen aktuellen oder ehemaligen Mitarbeitern aus. Diese machen sich ihre Zugänge zu vertraulichen Informationen zunutze, um der Organisation Schaden zuzufügen. Laut Forrester Research sind 58 Prozent der Sicherheitsvorfälle mit sensiblen Daten auf Insider-Bedrohungen zurückzuführen.
Fast ein Drittel (31 Prozent) der befragten Unternehmen sehen Insider-Bedrohungen nicht als wesentliche Bedrohung an. Es ist daher nicht verwunderlich, dass sie immer wieder zu Erfolg führen. Imperva hat fünf Fragen an Unternehmen formuliert, um den Schutz vor Insider-Angriffen zu überprüfen.
- Verwenden Sie eine Multi-Faktor-Authentifizierung (MFA)?
Mit der Multi-Faktor-Authentifizierung lassen sich Benutzer doppelt überprüfen. In der Regel geht es um die Kenntnis einer E-Mail-Adresse oder Benutzernamens sowie Kennworts und ob der User ein bestimmtes Mobiltelefon besitzt. Somit verwehren Sicherheitsverantwortliche den Cyber-Angreifern den Zugang zu Systemen, selbst wenn sie den ersten Authentifizierungsschritt durch Brute-Forcing eines Benutzernamens und Kennworts umgehen.
Viele Insider-Bedrohungen, die den größten Schaden anrichten, beginnen zunächst als Außenstehende. Microsoft berichtet, dass eine MFA über 99,9 Prozent der Angriffe auf Konten abwehren kann. MFA wird häufig beim Online-Banking, Social-Media-Plattformen und E-Commerce-Websites eingesetzt, um die Zugriffskontrollen für Webanwendung mit sensiblen Daten zu stärken. - Setzen Sie eine aktuelle Richtlinie für Benutzer durch und überprüfen Sie regelmäßig die Benutzerberechtigungen?
Das Prinzip der minimalen Rechtevergabe (Principle of least Privilege) ist eine wichtige, bewährte und relativ einfach umzusetzende Best Practice für die Cybersicherheit. Es besagt, dass ein Benutzer nur Zugriff auf Daten und Systeme haben sollte, die für seine Arbeit erforderlich sind.
Wenn Mitarbeiter das Unternehmen verlassen und andere nachfolgen, richten Unternehmen die Arbeitsplätze neu ein und müssen die Zugriffsberechtigungen überprüfen. Immer zu wissen, wer Zugang zu sensiblen Informationen hat, und die Berechtigungen auf das erforderliche Minimum zu reduzieren, kann helfen, Cyberangriffe von innen zu verhindern. - Führen Sie regelmäßig Simulationen von Phishing-Angriffen durch?
Dieser Ansatz stellt sicher, dass Mitarbeiter erste Anzeichen eines Cyberangriffs als solchen erkennen. Wer zu schnell auf einen zweifelhaften Link in einer E-Mail klickt, öffnet den Kriminellen Tür und Tor, um die eigenen Systeme mit Malware zu infizieren.
Sicherheitsteams können diese Bedrohung eindämmen, indem sie ihre Mitarbeiter kontinuierlich darin schulen, diese Phishing-Mails zu identifizieren und zu melden. Das Phänomen "Phishing" gibt es schon lange, aber bei erhöhter Fluktuation in Unternehmen mit Veränderungen in den Abläufen und einer größeren Anzahl von Mitarbeitern und vermehrter Remote-Arbeit ist die Gefahr gestiegen. - Setzen Sie Sicherheitsrichtlinienkontrollen in Ihren Cloud-verwalteten Datenspeichern durch?
Laut Gartner dienen bis 2025 Cloud-native Plattformen als Grundlage für mehr als 95 Prozent neuer, digitaler Initiativen. Gleichzeitig sagt Crowd Research Partners, dass bei 84 Prozent der Unternehmen traditionelle Sicherheitslösungen in Cloud-Umgebungen nicht funktionieren. Zugegeben: Die Anwendung von Sicherheitsrichtlinien und die effektive Erkennung von richtlinienwidrigem Verhalten in Cloud-Architekturen ist schwierig.
Wenn Unternehmen keinen vollständigen Einblick in ihre Cloud-verwalteten Umgebungen haben, steigt das Risiko von Sicherheitsverletzungen aus dem Untertnehmensinneren an. Alle Cloud-verwalteten Infrastrukturen sind individuell und haben ihre eigenen Konfigurationen und APIs. Die beste Vorgehensweise bei dem Versuch, Transparenz zu erlangen und sensible Cloud-Daten vor Insider-Bedrohungen zu schützen, besteht in der Zusammenarbeit mit Cloud-Sicherheitsexperten. - Verwenden Sie ein Analysetool zur Untersuchung früherer Insider-Bedrohungen?
Muster aus der Vergangenheit helfen, um ungewöhnliche Aktivitäten rasch zu erkennen und einzuordnen. Die gefährlichste Insider-Bedrohung ist der sogenannte "Resident Insider". Der Resident dringt in das Netzwerk eines Unternehmens ein und nistet sich für Monate oder sogar Jahre unerkannt ein. Sie verwenden Keylogger, Sniffer und andere Methoden, um Anmeldeinformationen zu stehlen und Datenbanken zu kompromittieren. Durch ein langsames und behutsames Vorgehen bleiben sie unentdeckt.
Es gibt allerdings Wege für Unternehmen, den “Resident Insidern” das Leben so schwer zu möglich zu machen. Erstens: Unternehmen sollten dafür sorgen, dass die Mitarbeiter ihre Passwörter häufig ändern. Zweitens sollten sie maschinelles Lernen einsetzen, um anomales Verhalten genau zu analysieren und böswillige Aktivitäten aufzuspüren. Algorithmen des maschinellen Lernens können Grundprinzipien des Zugriffs eines privilegierten Benutzers erstellen und frühzeitig Alarm schlagen.