Fünf Tipps gegen Insider-Bedrohung
Nicht nur Cyber-Attacken, sondern auch Insider-Angriffe stellen für Unternehmen nach wie vor eine erhebliche Sicherheitsgefahr dar.
Viele Unternehmen haben die „Bedrohung von innen“ mittlerweile erkannt und ihre Schutzmassnahmen entsprechend verstärkt. Dabei konzentrieren sie sich in erster Linie auf böswillige Insider, die allerdings nicht ausschliesslich für Sicherheitsvorfälle verantwortlich sind, auch Unachtsamkeiten der Mitarbeitenden müssen ins Kalkül gezogen werden.
Bereits schwer herauszufinden ist, welche Insider böswillige Absichten verfolgen. Noch schwieriger ist es, potenzielle Opfer eines Angriffs zu ermitteln, deren Accounts ausgenutzt werden. Und ebenfalls nicht einfach ist die Identifizierung von Mitarbeitern, die unbeabsichtigt zu einer Bedrohung für Unternehmenssysteme, -applikationen und -daten werden.
Die folgenden fünf Empfehlungen von CyberArk können dabei helfen, das Risiko von Insider-Bedrohungen generell zu reduzieren und Angriffe schnell zu erkennen – und so mögliche Schäden auszuschliessen beziehungsweise zu begrenzen.
- Angriffsfläche verringern
Ein Unternehmen sollte die Standard-Benutzerrechte basierend auf Rollen einschränken, um die Gefahr vorsätzlicher und versehentlicher Schäden zu minimieren. Durch die Überwachung von Anwendungen lassen sich zudem Kompromittierungen von Benutzer-Accounts schneller erkennen.
- Anmeldedaten sichern
Privilegierte Anmeldedaten sollten in einem sicheren, zentralen Repository gespeichert werden, das starke Zugriffskontrollen und Multifaktor-Authentifizierung unterstützt sowie Revisionssicherheit bietet. Zusätzlich müssen Anmeldedaten in regelmässigen Abständen geändert werden.
- Befugnisse von Accounts begrenzen
Auf Basis einer strikten „Separation of Duties“ sollten administrative Aufgaben entsprechend den Rollen privilegierter Benutzer auf Basis eines „Least-Privileges-Konzepts“ getrennt werden. Voller Admin- oder Root-Zugriff sollte nur bei zwingendem Bedarf erlaubt werden.
- Unerwünschtes Verhalten unterbinden
Ein Unternehmen sollte die Verwendung von privilegierten und Shared Accounts überwachen und alle Aktivitäten aufzeichnen, um Aktionen konkreten Benutzern zuordnen und unterbinden zu können.
- Als autorisierte Insider getarnte Angreifer ermitteln
Angreifer, die privilegierte Accounts nutzen, erscheinen auf den ersten Blick wie autorisierte Insider, unterscheiden sich von diesen jedoch in der Regel in ihrem Verhalten. Unternehmen sollten deshalb das Verhalten privilegierter Benutzer und Accounts überwachen und analysieren, um Abweichungen, die auf einen laufenden Angriff hindeuten können, einfacher zu identifizieren.
Benutzerrechte restriktiver vergeben
„Für einen effektiven Schutz vor Insider-Bedrohungen müssen Unternehmen zur Verkleinerung ihrer Angriffsfläche die Vergabe von Benutzerrechten restriktiv handhaben, privilegierte Anmeldedaten schützen und privilegierte Accounts, die immer wieder Ziel interner und externer Angreifer sind, fortlaufend überwachen“, erklärt Michael Kleist, Regional Director DACH bei CyberArk. „Genau diese Möglichkeiten bietet unsere Privileged Access Security Suite. Mit ihren intelligenten Kontrollfunktionen können Unternehmen die Gefahr vorsätzlicher und versehentlicher Insider-Bedrohungen deutlich senken. Die Funktionen für Echtzeit-Überwachung und Threat Analytics ermöglichen darüber hinaus eine einfache und schnelle Erkennung von Bedrohungen.“
Quelle: CyberArk
