Wie man versierten Innentätern auf die Spur kommen kann

Next Generation Insider Threats“ nennt man Gefahren, bei denen eigene Mitarbeiter unter Nutzung modernster Techniken sensible Geschäftsinformationen ausspionieren. Mit herkömmlichen Security-Tools und -Methoden ist ihnen kaum beizukommen. Vielmehr müssen die Abwehrmaßnahmen ihrer Vorgehensweise angepasst sein.  

Cyberkriminelle werden immer professioneller und ihre Attacken immer ausgefeilter. Dies gilt nicht nur für Angreifer, die von außen Systeme infiltrieren, sondern genauso für Insider. Auch sie werden immer raffinierter. In aller Regel sind sie technisch versiert und in der Lage, eingesetzte Sicherheitstools zu überlisten, unbemerkt die Systeme zu durchstöbern und Zugriffsrechte zu manipulieren. 

Insider wissen ganz genau, wo sensible Geschäftsinformationen liegen und können sich das auffällige Durchstöbern sparen.

Dabei spielen vor allem drei Faktoren eine entscheidende Rolle. Erstens muss ein gut positionierter interner Angreifer (dies kann ein Ingenieur oder ein Finanzanalyst sein) üblicherweise nicht wie ein externer Angreifer spionieren. Wenn externe Angreifer ein Firmennetz nach Informationen absuchen, kann es auffallen. Interne Spionage ist nicht so leicht zu erkennen, aber auch hier kann intelligentes Monitoring den Sicherheitsteams durchaus wertvolle Hinweise und Warnungen liefern. Oft wissen Insider jedoch schon, wo sie Geschäftsgeheimnisse oder Kreditkartennummern von Führungskräften finden und können „laute“ Suchen im Netzwerk und Dateisystem vermeiden.

Tarnen und Täuschen

Zweitens benötigen Insider weder externe Malware, um auf Systeme zuzugreifen, noch sind sie von Command & Control-Servern abhängig, wodurch herkömmliche Viren- oder Malware-Scanner ins Leere laufen. Zwar sind auch in diesem Punkt externe Angreifer ein Stück weiter und greifen über sogenannte Fileless-Malware oder führen Malware-freie Angriffe durch. Die zahlreichen erfolgreichen Emotet-Infektionen der jüngsten Zeit zeigen, dass externe Hacker sich immer wieder neue Techniken einfallen lassen. Doch diese Art von Angriffen werden meist anders eingestuft und bekämpft als Inside-Jobs.

Womit wir beim dritten Punkt wären. Insider verwenden mittlerweile häufig sogenannte „Schatten-Konten“, ganz ähnlich wie externe Angreifer. Dies können entweder gefälschte oder „geliehene“ echte Accounts sein. Durch diese teilen sie ihre Aktivitäten auf und verringern so die Wahrscheinlichkeit einer Entdeckung: Drei Accounts, die jeweils eine bestimmte Datenmenge verschicken, erregen weniger Verdacht als ein Account, der die dreifache Menge versendet.

Insider müssen also keine „laute“ Spionage durchführen, sie brauchen keine Malware und sie haben gelernt, ihre Aktivitäten wie externe Angreifer zu tarnen. Diese fortschrittlichen, hartnäckigen Insider können sich die Zeit nehmen, wertvolle Unternehmensinformationen oder finanziell verwertbare Daten zu finden und nutzen dann ihren Zugang zum Stehlen oder Exfiltrieren, ohne bemerkt zu werden.

Die Privilegien von Power-Usern

Zunächst sollte darauf hingewiesen werden, dass viele Insider gar keine besonderen Anstrengungen hinsichtlich Berechtigungen treffen müssen. Grundsätzlich werden in den meisten Unternehmen den Mitarbeitern weitaus mehr Berechtigungen erteilt, als sie für ihre Arbeit benötigen. Durch falsch konfigurierte oder vernachlässigte interne Zugriffskontrollen erhalten sie einfachen Zugang zu Unternehmensgeheimnissen. So konnte der Datenrisiko-Report 2019 von Varonis zeigen, dass durchschnittlich 22 Prozent der Ordner eines Unternehmens für jeden Mitarbeiter zugänglich sind und dass in jedem zweiten Unternehmen alle Mitarbeiter auf mehr als 1.000 sensible Dateien zugreifen können.

Besonders versierte Innentäter gehen nach dem Playbook von Edward Snowden vor.

Abgesehen davon werden Insider auch immer raffinierter und orientieren sich dabei gerne an den Techniken (nicht unbedingt der ethischen Zielsetzung) von Edward Snowden, indem sie Privilegien auf Admin-Ebene nutzen und so die Tür für sehr schwer zu erkennendes internes Hacking öffnen. Snowden nutzte erhöhte Systemprivilegien, um spezielle digitale Schlüssel zu erstellen, die es ihm erlaubten, seine Aktivitäten zu tarnen, indem er als ein anderer Benutzer auf sensible Inhalte zugriff. Er löschte sorgfältig Systemprotokolle, um seine Spuren zu verwischen und nutzte Verschlüsselungssoftware, um gestohlene Daten vor Sicherheitsüberwachungssystemen zu verstecken.

Es braucht nicht immer Admin-Rechte

Wie bewerkstelligen nun aber Insider ohne Admin-Rechte eine entsprechende Exfiltration? Eine der Möglichkeiten besteht darin, die exzessiven Berechtigungen von Nutzern auszunutzen, die spezielle Aufgaben haben, also etwa Datenbankadministratoren oder Netzwerkverantwortliche. Diese müssen aufgrund ihrer Arbeit in der Lage sein, sich recht frei in den Systemen umzuschauen und Traffic-Analysen durchzuführen. Böswillige Insider können Schulter-Surfen, um Passwörter zu erfahren oder sie einfach erraten. 

Auch Administratoren sind gelegentlich nachlässig mit Passwörtern.

Datenbankadministratoren und Netzwerkmitarbeiter, die nicht speziell überwacht werden, neigen dazu, einen kurzen, leicht zu merkenden Text (z.B. „admin1234“) als Passwort zu wählen, da sie sich während ihres Arbeitstages bei vielen Servern und Konten anmelden müssen. Studien wie der Verizon Data Breach Investigations Report zeigen, dass bei 15 Prozent aller Verstöße eine „böswillige oder unangemessene Nutzung bestehender (privilegierter) Berechtigungen“ zugrunde lag. Und sobald Insider über diese Privilegien auf Administratoren-Ebene verfügen, können sie sich an Snowdens Playbook orientieren und echte Konten nutzen oder Schatten-Konten anlegen, um so ihre Aktivitäten zu verstecken und in aller Ruhe nach wertvollen Daten zu suchen.

Anzeichen von Insider-Bedrohungen erkennen

Wenn böswillige Insider nach den neuen Regeln spielen, müssen Sicherheitsverantwortliche ihre Strategien entsprechend anpassen, um Risiken zu reduzieren. Ein wesentlicher erster Schritt besteht darin, herauszufinden, wo sensible Unternehmensdaten gespeichert sind und den Zugriff auf die kleinstmögliche Anzahl an Mitarbeitern zu beschränken. Durch ein Least-Privilege-Modell erhalten Mitarbeiter nach dem Need-to-know-Prinzip nur Zugriff auf die Dateien, die sie auch tatsächlich für ihre Arbeit benötigen. 

Normale Durchschnittsnutzer haben Zugriff auf viel zu viele Informationen.

Leider hakt es hier bei vielen Unternehmen an der Umsetzung. Sie verfügen über Tausende von Dateien, die sensible Daten enthalten, die für alle Mitarbeiter im Unternehmen zugänglich sind, was die Arbeit eines jeden Angreifers (egal ob von innen oder außen) noch einfacher macht. Aber nicht nur die Zugriffsrechte auf Daten müssen nach diesem Modell reduziert werden, sondern auch die Admin-Rechte. Auch diese müssen so weit wie möglich reduziert werden, etwa nur auf ausgewählte Rechner anstatt auf die gesamte Domäne. Auch dies reduziert das Risiko bei einer Übernahme durch einen feindlichen Akteur.

Überwinden Insider diese grundlegenden Präventivmaßnahmen, besteht dennoch die Möglichkeit, ihnen auf die Schliche zu kommen. Wir haben gesehen, wie böswillige Insider typischerweise vorgehen: Sie greifen auf interne Zertifikate zu, verwenden Verschlüsselungssoftware und erstellen im Rahmen ihrer Taktik Schatten-Konten. All dies ist sicherlich kein normales Nutzerverhalten. Entsprechend kann es von Lösungen, die auf verhaltensbasierten Bedrohungsmodellen basieren, entdeckt werden, während solche Aktivitäten von Standard-Sicherheitssoftware nicht aufzuspüren sind. 

Einige Beispiele

Durch intelligente Analyse des Nutzerverhaltens kann also abnormes Verhalten (jeglicher Art) erkannt und (automatisiert) gestoppt werden. Ein Beispiel für abnormes Verhalten stellt Ransomware (Erpressungssoftware) dar, die durch den Missbrauch eines Nutzerkontos innerhalb kürzester Zeit sehr viele Dateien verschlüsselt. Durch ein entsprechendes Bedrohungsmodell kann der Sicherheitsverantwortliche zeitnah gewarnt werden und ist so in der Lage, schnell Gegenmaßnahmen (wie die Deaktivierung des Nutzerkontos) zu ergreifen. Ein subtileres Beispiel: Ein Mitarbeiter mit Zugriff auf die Mailbox einer Führungskraft könnte sensible E-Mails lesen und als ungelesen markieren, um sein Verhalten zu verbergen. Die Führungskraft würde es nie erfahren, wenn nicht proaktiv (mittels eines entsprechenden Bedrohungsmodells) auf diese Aktivitäten geachtet wird.

Um also Next-Gen-Insider aufzuspüren, muss man ihr Verhalten kennen und versuchen, wie sie zu denken. Man sollte stets davon ausgehen, dass sie längst am Werk sind und als Sicherheitsverantwortlicher wissen, auf welche Ziele sie es abgesehen haben könnten. Beschränken Sie den Zugriff, überwachen und analysieren Sie das Verhalten und suchen Sie nach Benutzern, die die Tricks versierter Insider anwenden.


Über den Autor:

Über den Autor:

Klaus Nemelka ist Technical Evangelist beim Security-Hersteller Varonis Systems.

 

Das könnte Sie auch interessieren

Was meinen Sie dazu?

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Back to top button