Eine Insider-Bedrohung ist ein Sicherheitsrisiko für eine Organisation, das aus dem Unternehmen selbst kommt. Sie kann von aktuellen oder ehemaligen Mitarbeitern, Auftragnehmern oder anderen Geschäftspartnern ausgehen, die Zugang zu den Daten und Computersystemen eines Unternehmens haben – oder hatten. Da die Bedrohung von innen kommt und absichtlich oder unabsichtlich sein kann, ist eine Insider-Bedrohung eine der kostspieligsten und am schwersten zu entdeckenden Angriffsarten.
Arten von Insider-Bedrohungen
Es gibt mehrere Arten von Insider-Bedrohungen, die durch die Absicht und Motivation der beteiligten Personen definiert werden.
- „Fahrlässige“ Insider haben vielleicht nicht die Absicht, das Unternehmen zu gefährden, tun dies aber ohne böswillige Absicht, indem sie sich unsicher verhalten. Diese Insider reagieren möglicherweise nicht auf Sicherheitsaufklärung und Schulungen oder machen vereinzelte Fehler durch schlechtes Urteilsvermögen. In beiden Fällen wird Fahrlässigkeit oft als die teuerste Art von Mitarbeiterrisiko genannt.
- „Kollusive“ Insider arbeiten mit böswilligen externen Bedrohungsakteuren zusammen, um das Unternehmen zu kompromittieren. Diese Art der Insider-Bedrohung ist zwar riskant und selten, wird aber immer häufiger, da professionelle Cyberkriminelle zunehmend das Dark Web nutzen, um Mitarbeiter als Verbündete zu rekrutieren. In diesen Fällen geht es oft um Betrug, Diebstahl von geistigem Eigentum oder eine Kombination aus beidem, was sie sehr kostspielig machen kann. Diese Art von Kollusion kann auch länger dauern, um entdeckt zu werden, da böswillige externe Bedrohungsakteure in der Regel gut mit Sicherheitstechnologien und Strategien zur Vermeidung einer Entdeckung vertraut sind.
- „Böswillige“ Insider exfiltrieren Daten oder begehen andere negative Handlungen gegen das Unternehmen mit dem Ziel finanzieller Belohnungen oder anderer persönlicher Vorteile. Böswillige Insider, die nach einem zweiten Einkommensstrom suchen, exfiltrieren Daten typischerweise langsam auf persönliche Konten, um einer Entdeckung zu entgehen. Eine andere Art von böswilligen Insidern, der verärgerte Mitarbeiter, zielt darauf ab, ein Unternehmen absichtlich zu sabotieren oder sein geistiges Eigentum zu stehlen. Sie können dabei beobachtet werden, wie sie sensible Unternehmensinformationen durchkämmen oder große Datenexporte durchführen, insbesondere zu dem Zeitpunkt, an dem sie ihre Position kündigen oder die übliche Kündigungsfrist von zwei Wochen einhalten, bevor sie ihre Position verlassen.
- „Drittanbieter“-Insider sind Auftragnehmer oder Lieferanten, denen ein Unternehmen typischerweise eine Art von Zugang zu seinem Netzwerk gewährt hat. Diese Insider können Mitarbeiter haben, die unter eine der oben genannten Kategorien fallen, oder sie haben einfach Schwachstellen in ihren eigenen Systemen und Geräten, die Angreifern Angriffsmöglichkeiten bieten.
Risiken durch Insider-Bedrohungen
Insider sind besonders gefährlich, weil sie im Gegensatz zu Außenstehenden, die versuchen, in das Unternehmen einzudringen, in der Regel legitimen Zugriff auf Computersysteme und das Netzwerk haben, den sie benötigen, um ihre tägliche Arbeit zu erledigen. Wenn diese Berechtigungen missbraucht oder zum Schaden des Unternehmens ausgenutzt werden, können die Folgen katastrophal und kostspielig für das Unternehmen sein.
Wenn sie aktiv daran arbeiten, ein Unternehmen zu kompromittieren, haben Insider auch einen Vorteil, da sie in der Regel mit der Datenstruktur des Unternehmens vertraut sind und wissen, wo sich geistiges Eigentum befindet. Sie wissen möglicherweise auch, wie diese Informationen geschützt werden, was es ihnen leichter macht, Sicherheitsmaßnahmen zu umgehen.
Da ein Insider bereits direkten Zugriff auf das Unternehmen und sein Netzwerk hat und sich nicht über den äußeren Perimeter einhacken muss, sind Insider-Bedrohungen oft schwieriger abzuwehren als Angriffe von Außenstehenden. Sie sind auch schwieriger zu erkennen, da sich die Bewegungen von Insider-Bedrohungen oft mit den geschäftlich gerechtfertigten Verhaltensweisen vermischen.
Erkennung von Insider-Bedrohungen
Insider-Bedrohungen können bestehende Schutzmaßnahmen leicht umgehen, was die Erkennung erschwert. Die Vertrautheit mit und der Zugang zu sensiblen Daten, die Insider haben, macht die Erkennung jedoch kritisch. Da sich Insider-Bedrohungen mit geschäftlich gerechtfertigten Aktivitäten vermischen können, müssen Sicherheitsteams in der Lage sein, über einzelne Artefakte hinaus zu schauen, um Verhaltensweisen und andere Muster zu erkennen, die auf eine Kompromittierung hindeuten können. Diese Muster variieren je nach Art der Insider-Bedrohung.
Die Wahrscheinlichkeit, einen Insider zu entdecken, und die Punkte innerhalb des Angriffslebenszyklus, an denen sie wahrscheinlich entdeckt werden, sind für jede Art von Insider-Bedrohung unterschiedlich. Fahrlässige Insider können entdeckt werden, indem man ihre bestehenden Schwachstellen identifiziert, bevor sie kompromittiert werden, indem man feststellt, wann ihre Anmeldedaten kompromittiert werden oder ob ihre Anmeldedaten für die Befehls- und Kontrollfunktion missbraucht werden, oder indem man ungewöhnliche seitliche Bewegungen aufdeckt, die von diesem Benutzer ausgehen. Kollusive Insider werden am häufigsten entdeckt, wenn sie mit ihren böswilligen externen Mitarbeitern kommunizieren oder Daten an sie weitergeben. Böswillige Insider zeigen möglicherweise ein Muster des Zugriffs auf oder der Exfiltration von Informationen, die sie nicht benötigen oder auf die sie keinen Zugriff haben sollten. Auch externe Insider können auf all diese Arten identifiziert werden.
Bei der Erkennung von Insider-Bedrohungen ist es wichtig, dass Unternehmen ein vollständiges Bild der Geräte, Personen und anderen Entitäten haben, ohne dass sie Protokolle oder Endpunkt-Agenten im gesamten Netzwerk benötigen, da diese oft nicht verfügbar sind. Diese sollten auch dann verfolgt werden, wenn sich IP-Adressen ändern, um Daten und Verhaltensmuster zu erkennen. Sicherheitsteams müssen außerdem Zugriff auf den vollständigen Kontext dieser Entitäten haben, einschließlich Geräte- und Benutzerprofilen mit geschäftlicher Funktion, E-Mail-Adressen, besuchten Domänen, aufgerufenen Dateien, Beziehungen und mehr.
Erkennung von Insider-Bedrohungen & Untersuchung
Awake erkennt Angriffe von Insider-Bedrohungen, die sich mit geschäftlich gerechtfertigten Aktivitäten vermischen, indem es Anomalien und böswillige Absichten identifiziert. Die Awake Network Detection and Response Platform analysiert die kompletten Packet-Capture-Daten, um Hunderte von sicherheitsrelevanten Signalen zu extrahieren und daraus Entitäten wie Geräte und Domänen sowie deren Verhalten und Beziehungen abzuleiten und zu profilieren. Sie erfasst auch das institutionelle Wissen des Teams, einschließlich des geschäftlichen Kontexts, der die Benutzerrollen und das grundlegende Verhalten erhellen kann. Die Plattform ermöglicht dann die verhaltensbasierte Erkennung von Angreifer-TTPs und organisationsspezifischen Bedrohungen. Alle Aktivitäten werden zu einer Bedrohungszeitlinie korreliert, die IOCs, TTPs und Nicht-Malware umfasst. Dieser Prozess ermöglicht eine automatische Triage mit Risikobewertungen für jedes Gerät und jede Domäne.
Dieser Grad an Transparenz und detaillierter forensischer Analyse war bisher nur für die anspruchsvollsten Sicherheitsexperten der Welt möglich, und selbst dann nur durch einen manuellen, zeitaufwändigen Prozess, was bedeutete, dass Insider-Bedrohungen erst spät oder gar nicht aufgedeckt wurden. Awake hat die Erkennung von Insider-Bedrohungen für jede Organisation zugänglich gemacht, unabhängig von Größe, Budget oder Komplexität. Sicherheitsteams können durch die Nutzung umfassender Informationen aus dem Netzwerk schlüssig und schnell reagieren.
Also See
- Lösung der rätselhaften Insider-Bedrohung im Inneren
- Erkennung von Seitenbewegungen über Remote Service Creation
- Lektionen für Sicherheitsteams aus den Mega Breaches der Saison