Fünf Tipps zur Reduzierung der Insider-Bedrohung
13. Februar 2019Nicht nur externe Cyber-Attacken, sondern auch Insider-Angriffe stellen für Unternehmen nach wie vor eine erhebliche Sicherheitsgefahr dar. CyberArk gibt fünf Empfehlungen, wie ein Unternehmen Insider-Angriffe erkennen und die kostspieligen Folgen verhindern kann.
Viele Unternehmen haben die „Bedrohung von innen“ mittlerweile erkannt und ihre Schutzmaßnahmen entsprechend verstärkt. Dabei konzentrieren sie sich in erster Linie auf böswillige Insider, die allerdings nicht ausschließlich für Sicherheitsvorfälle verantwortlich sind, auch Unachtsamkeiten der Mitarbeiter müssen ins Kalkül gezogen werden.
Bereits schwer herauszufinden ist, welche Insider böswillige Absichten verfolgen. Noch schwieriger ist es, potenzielle Opfer eines Angriffs zu ermitteln, deren Accounts ausgenutzt werden. Und ebenfalls nicht einfach ist die Identifizierung von Mitarbeitern, die unbeabsichtigt zu einer Bedrohung für Unternehmenssysteme, -applikationen und -daten werden.
Die folgenden fünf Empfehlungen können dabei helfen, das Risiko von Insider-Bedrohungen generell zu reduzieren und Angriffe schnell zu erkennen – und so mögliche Schäden auszuschließen beziehungsweise zu begrenzen.
- Angriffsfläche verringern: Ein Unternehmen sollte die Standard-Benutzerrechte basierend auf Rollen einschränken, um die Gefahr vorsätzlicher und versehentlicher Schäden zu minimieren. Durch die Überwachung von Anwendungen lassen sich zudem Kompromittierungen von Benutzer-Accounts schneller erkennen.
- Anmeldedaten sichern: Privilegierte Anmeldedaten sollten in einem sicheren, zentralen Repository gespeichert werden, das starke Zugriffskontrollen und Multifaktor-Authentifizierung unterstützt sowie Revisionssicherheit bietet. Zusätzlich müssen Anmeldedaten in regelmäßigen Abständen geändert werden.
- Befugnisse von Accounts begrenzen: Auf Basis einer strikten „Separation of Duties“ sollten administrative Aufgaben entsprechend den Rollen privilegierter Benutzer auf Basis eines „Least-Privileges-Konzepts“ getrennt werden. Voller Admin- oder Root-Zugriff sollte nur bei zwingendem Bedarf erlaubt werden.
- Unerwünschtes Verhalten unterbinden: Ein Unternehmen sollte die Verwendung von privilegierten und Shared Accounts überwachen und alle Aktivitäten aufzeichnen, um Aktionen konkreten Benutzern zuordnen und unterbinden zu können.
- Als autorisierte Insider getarnte Angreifer ermitteln: Angreifer, die privilegierte Accounts nutzen, erscheinen auf den ersten Blick wie autorisierte Insider, unterscheiden sich von diesen jedoch in der Regel in ihrem Verhalten. Unternehmen sollten deshalb das Verhalten privilegierter Benutzer und Accounts überwachen und analysieren, um Abweichungen, die auf einen laufenden Angriff hindeuten können, einfacher zu identifizieren. (rhh)
Hier geht es zu CyberArk