Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Die Sicherheitsbedrohungen kommen von innen!

Geschrieben von Michael Buckbee | Dec 5, 2017 9:44:00 AM

Denken Sie an irgendeine der großen Datenschutzverletzungen der letzten Zeit: Equifax, Target, NSA, Wikileaks, Yahoo, Sony. Sie alle haben etwas gemeinsam: der Datenmissbrauch erfolgte intern.

Das heißt nicht, dass alle Hacker Mitarbeiter oder Subunternehmer waren, aber gibt es einen Unterschied sobald Hacker den Perimeter überwunden haben? Ihre Aktivitäten sehen für einen außenstehenden Beobachter alle gleich aus.

Wir schreiben so oft über dieses Phänomen. Hat ein Hacker erst mal Zugang zum Netzwerk, hat er oft alles, was er benötigt, um die interessanten und lukrativen Daten zu finden (und sie dann zu stehlen), etwa personenbezogene Daten, E-Mails, Geschäftsdokumente, Kreditkartennummern usw.

Die Frage lautet also – kann Ihr Datensicherheitsteam erkennen, ob sich diese Angreifer innerhalb des Unternehmens befinden, bevor es zu spät ist?

Es ist unbedingt erforderlich, dass Sie zusätzlich zu Ihrer Firewall, Ihren Routern und Ihrer Netzwerküberwachungssoftware auch alles überwachen, was sich darin befindet: das Benutzerverhalten, Dateiaktivitäten, Ordnerzugriff und AD-Änderungen.

Die Grenze wurde überschritten

Stellen Sie sich folgendes Szenario vor: Ein Hacker verschafft sich Zugang zu einem Benutzerkonto und versucht, urheberrechtlich geschützte Daten, die auf OneDrive gespeichert sind, herunterzuladen. Die ersten paar Versuche, auf die Daten zuzugreifen, sind fehlgeschlagen. Aber der Hacker gibt nicht auf und sieht sich weiter um, bis er ein Konto findet, das den erforderlichen Zugriff zum Lesen der Dateien hat.

Selbst bei einer Überwachung auf Dateiebene ist es schwer zu erkennen, ob eine solche Aktivität durch das Klicken des Endbenutzers auf diesen Ordner erfolgt oder durch einen nicht autorisierten Benutzer.

Und hier kommen wir ins Spiel. Varonis analysiert all diese Versuche, auf diese OneDrive-Datei zuzugreifen, mit intelligenter Nutzerverhaltensanalyse (UBA). Auf dieser Grundlage können Sie Varonis-Bedrohungsmodelle nutzen, um diese Aktivität zu analysieren und mit bekannten Verhaltensweisen zu vergleichen, sowohl von dem Benutzer, der versucht, auf diese Daten zuzugreifen, seinen Kollegen als auch von Hackern, die Unternehmensnetzwerke ausnutzen und infiltrieren.

In unserem Szenario greift dieses Konto plötzlich auf geheime, vertrauliche Daten zu, die es noch nie zuvor geöffnet hat. Das ist ein deutliches Warnsignal – und wir haben Bedrohungsmodelle, die speziell zum Erkennen dieses Verhaltenstyps entwickelt wurden.

Diese Aktivität liegt außerhalb der normalen Verhaltensmuster für das Konto, das der Hacker nutzt – und da Varonis die gesamten Aktivitäten in OneDrive nun seit mehr einem Jahr überwacht, haben Sie den Nachweis, den Sie benötigen, um sofort zu handeln.

Ohne Varonis hätten Sie die Versuche, auf diesen OneDrive-Ordner zuzugreifen, wahrscheinlich noch nicht einmal gesehen. Sie hätten nie festgestellt, dass die Dateien aus diesem Ordner kopiert wurden, und Sie hätten nicht gesehen, auf welchen Ordner als nächstes zugegriffen wird.

Untersuchung & Forensik

Der erste Schritt ist, dieses Konto programmgesteuert zu sperren und auszuloggen – das können Sie bei Varonis als automatische Antwort einrichten. Gleichzeitig können E-Mails und Benachrichtigungen an das Security-Team und/oder ein SIEM-System gesendet werden. Sobald die betroffenen Parteien informiert sind, können die Ermittlungsarbeiten beginnen.

Wo fangen wir also an? Finden Sie zuerst heraus, was passiert ist und wie es passiert ist, welche Schwachstellen ausgenutzt wurden und was Sie tun können, um sich künftig davor zu schützen. Mit der Varonis DatAdvantage-Benutzeroberfläche können Sie den Auditverlauf von Dateien der gehackten Benutzerkennung aufrufen, um zu sehen, wo dieses Konto sonst noch gewesen ist, bevor die Benachrichtigung ausgelöst wurde.

Verwenden Sie den vollständigen Dateiprüfungspfad, um zu sehen, welcher Schaden (wenn überhaupt) angerichtet wurde und sperren sie ggf. den Zugriff auf das gesamte System. Nachdem die ursprüngliche Bedrohung neutralisiert wurde, kann damit begonnen werden, die Sicherheitslücken zu schließen.

Die Varonis-Sicherheitsplattform ist eine Schlüsselkomponente eines mehrschichtigen Sicherheitssystems. Schichten schaffen Redundanz und Redundanz erhöht die Sicherheit. Hacker werden jede erdenkliche Lücke finden und nach Möglichkeit ausnutzen; es liegt in unserer Verantwortung, die uns anvertrauten personenbezogenen Daten zu schützen.

Wenn Sie sich mit den richtigen Tools und Prinzipien für eine gute Datensicherheit vertraut machen und diese einsetzen, können Sie damit die Arbeit für Hacker erschweren und die Auswirkungen von Datensicherheitsverstößen eingrenzen.

Möchten Sie erfahren, wie Varonis in Ihrer Umgebung arbeiten wird, um diese Art Insider-Risiken zu erfassen? Klicken Sie hier, um eine Demo mit unseren Sicherheitstechnikern zu vereinbaren.