Startseite > Security > Die unterschätzte Gefahr von innen

FireEye: Schutz vor Insider Threats

Die unterschätzte Gefahr von innen

12. August 2021, 8:30 Uhr | Anna Molder

Fortsetzung des Artikels von Teil 1

Schutz vor Insider-Risiken

Unternehmen müssen Technik und Wachsamkeit kombinieren und ihre Angestellten durch regelmäßige Schulungen über die Gefahren von Insider Threats aufklären, um so Insider-Angriffe effizient zu erkennen. Damit es gar nicht erst so weit kommt, sollten Unternehmen sich der Gefahr durch Insider Threats bewusst sein und geeignete Schutzmaßnahmen ergreifen.

Unternehmen sollten in eine Insider-Threat-Data-Loss-Prevention-Lösung investieren. Diese erkennt bösartiges Verhalten, schlägt Alarm und kann Aktionen falls nötig blockieren. Die Lösung sollte sowohl mit als auch ohne Internet-Verbindung funktionieren.
Alle Umgebungen in den Unternehmensnetzwerken sollten durch Zugangskontrollen geschützt sein. Dabei ist es ratsam, dass jeder Angestellte nur die Rechte erhält, die er für seine tägliche Arbeit benötigt. Die Zahl der Mitarbeitenden, die neue Konten in On-Premise- und Cloud-Umgebungen anlegen dürfen, sollte auf ein Minimum beschränkt sein.
Log-Daten und Event Aggregation sollte man an ein SIEM (Security Information and Event Management) senden. Das stellt die Authentizität von Logs sicher und verhindert, dass ein Angreifer sie löschen oder manipulieren kann.
Unternehmen sollten eine Netzwerksegmentierung umsetzen. Indem Netzwerkbereiche durch Sicherheitskontrollen voneinander getrennt sind, kann man verhindern, dass sich ein Angreifer uneingeschränkt ausbreiten kann. Außerdem sollte unnötiger Datenverkehr zwischen hochsensiblen und weniger vertrauenswürdigen Umgebungen limitiert sein. Alle Systeme, die nicht unbedingt öffentlich erreichbar sein müssen, sollten vom öffentlichen Zugang getrennt sein.
Der Fokus sollte auch auf einem sicheren Offboarding liegen. Wenn ein Mitarbeitender das Unternehmen verlässt, sollte sein Netzwerkzugang sofort gesperrt sein. Alle SSH-Schlüssel, PEM-Dateien und Passwörter, auf die die Person Zugriff hatte, sollten für alle Umgebungen abgeändert und die Multifaktor-Authentifizierung (MFA) umgehend deaktiviert sein.

Um das Risiko für Insider-Bedrohungen zu minimieren, benötigen Unternehmen Data-Loss-Prevention-Prozesse, SIEM-Funktionalität, Verhaltensanalysen und ein dediziertes Team. Untersuchungen zu Insider-Bedrohungen sollten auf Beweisen basieren, die eine Profilbildung widerlegen und einer rechtlichen Prüfung standhalten. Externe Spezialisten können die bestehenden Fähigkeiten überprüfen, um die Nutzung der Investitionen zu maximieren, die Erstellung eines neuen Programms für Insider-Bedrohungen zu beschleunigen oder ein bestehendes Programm auf der Grundlage jahrelanger Katalogisierung bewährter Verfahren in der gesamten Branche zu verbessern. Da sich Voraussetzungen schnell ändern können, ist es wichtig, Security Assessments regelmäßig durchzuführen. Sie ermöglichen, Schwachstellen aufzudecken und die Sicherheitsaufstellung kontinuierlich zu verbessern. So erhalten Unternehmen einen individuellen Fahrplan, um sich effektiv vor Insider-Angriffen und ihren Auswirkungen zu schützen.

Interessierte Leserinnen und -Leser können hier den kostenlosen Security Awareness Newsletter der LANline abonnieren, der 14-täglich per E-Mail erscheint. Jede Ausgabe enthält unter anderem einen Tipp, den (Security-)Admins an ihre "Schäfchen" weitergeben können.