von Rob Sobers
Wie ein Permissions Report das Loch der undichten neuseeländischen Server hätte stopfen können
Anfang dieser Woche bloggte Keith Ng über massive Sicherheitslücken im Netzwerk des Ministeriums für Soziale Entwicklung in Neuseeland (MSD). Von einem öffentlichen Internet-Terminal der Abteilung Arbeit und Einkommen aus gelang es ihm, Zugriff auf Abertausende sensible Daten zu erhalten – ohne ein Passwort entschlüsseln oder einen Trojaner einschleusen zu müssen.
Welche Daten waren betroffen? Ng konnte u. a. die folgenden Informationen durchsuchen, lesen und verändern:
Eine ziemlich erschreckende Bilanz also.
Wie konnte es soweit kommen?
Es gibt zwei mögliche Ursachen:
1. Der Internet-Terminal war mit einem Administratorkonto (z. B. Domain-Admin) mit uneingeschränktem Zugriff auf alle Daten im Netzwerk angemeldet.
2. Der Terminal war mit einem „normalen“ Konto angemeldet, aber die Berechtigungen für die Daten waren falsch zugewiesen und ermöglichten einen globalen Zugriff.
Ich halte es für ziemlich unwahrscheinlich, dass der Terminal als Administrator angemeldet war, aber ausgeschlossen werden kann dies nicht. Die zweite mögliche Ursache, d. h. fehlerhafte bzw. überschüssige Berechtigungen, ist dagegen ein sehr verbreitetes Problem, mit dem wir bei Varonis buchstäblich jede Woche zu kämpfen haben.
Womit hätte diese Situation verhindert werden können?
Den Internet-Terminal vom Netzwerk zu trennen, wäre nur der erste Schritt, denn der Terminal ist nicht das eigentliche Problem. Beim Management und Schutz von Informationen gibt es weit größere Probleme, die die eigentliche Ursache dieses Datenlecks darstellen.
Im Anschluss finden Sie einige Tipps, um die Hauptursache und nicht nur den Katalysator zu ermitteln:
1. Lokalisieren Sie ungeschützte, sensible Daten
Sobald Sie Ihre sensiblen Daten lokalisiert haben, sollten Sie dafür sorgen, dass nur die richtigen Personen darauf Zugriff haben. Im Anschluss daran sollten Sie die Aktivitäten dieser Daten überwachen und sicherstellen, dass berechtigte Benutzer ihre Zugriffsrechte nicht missbrauchen.
Wenn ich ein CSO wäre, möchte ich eine Lösung, die mir zu jeder Zeit genau sagen kann, wo sich meine sensiblen Daten befinden, wo diese nicht geschützt sind und wer darauf zugreifen kann. Wenn jemand eine Datei mit einer Sozialversicherungsnummer oder einer Patienten-ID anlegt und diese in einem öffentlichen Ordner ablegt, der von einem Internet-Terminal aus eingesehen werden kann, will ich, dass mein Team automatisch darüber alarmiert wird.
2. Globale Zugriffsgruppen identifizieren und von den ACL entfernen
Das kann schwierig sein, da es a) nicht gerade einfach ist, jede ACL auf jedem File-Server oder NAS-Device zu durchsuchen und nach „Jeder“ zu suchen und b) globaler Zugriff entzogen werden muss, ohne dabei die Nutzerberechtigungen der Personen zu beeinträchtigen, die die Daten wirklich benötigen.
3. Beobachten Sie Ihre Super-User
Auch wenn der Terminal versehentlich mit einem Super-User-Konto eingerichtet wurde, hätte das MSD durch die Prüfung der Zugriffsaktivitäten den unverhältnismäßig hohen Anteil an Super-User-Aktivitäten von den IP-Adressen der öffentlichen Internet-Terminals aus feststellen sollen.
4. Data Owner zuweisen und einbinden
Durch die Übertragung dieser Verantwortung an die Person, die die besten Voraussetzungen mitbringt, Entscheidungen über Zugriffskontrollen zu treffen (d. h. Data Owner), erhalten Sie schlussendlich nicht nur bessere Entscheidungen, sondern können auch den Arbeitsaufwand der IT-Abteilung verringern.
Wie schwer kann das sein?
„Anfängerfehler“ oder „Sicherheits-ABC!“ lauteten viele der Kommentare zum Post von Ng. Das Management und der Schutz von Informationen ist aber deutlich schwerer, als angenommen wird; besonders in einem Zeitalter, in dem Daten einer Art ansteckenden Krankheit ähneln, die sich entwickelt und dann mit rasanter Geschwindigkeit ausbreitet.
Ich habe eine einfache Frage an alle diese Kommentatoren: Wie würde die IT-Abteilung des MSD ohne eine automatische Lösung wissen, welche Ordner fälschlicherweise für jedermann zugänglich waren?
In nur wenigen Sekunden kann die Option „Jeder“ versehentlich für eine ACL ausgewählt werden, aber es könnte Jahre dauern, um diesen Fehler in der Zugriffskontrolle zu finden und zu beheben. Schlimmer noch, wie würden Sie nach dem Auffinden wissen, ob diese ungeschützten Daten durch jemanden gestohlen wurden, der nicht so harmlos ist wie Keith Ng?
Das ist die Frage, die sich die Regierung Neuseelands im Moment stellen muss.
Wie sieht es mir Ihrem Datenschutz aus?
Wenn Sie eine kostenlose Auswertung Ihrer Datensicherheit von Varonis erhalten möchten, setzen Sie sich mit uns in Verbindung.
The post Undichte Server in Neuseeland zeigen Notwendigkeit für Management und Schutz von Informationen appeared first on Varonis Deutsch.