IT-SICHERHEIT 67 DSD 3 | 2023 Welche Spuren interne Täter im Netzverkehr legen Vier Arten von internen Angreifern verlangen einen Schutz auf Netzwerk- und Endpunktebene. Von Paul Smit Viele Diskussionen malen gerne den eigenen Mitarbeiter als IT-Sicherheitsrisiko an die Wand. Die tatsächliche Gefahr, die von ihm ausgeht, ist aber oft unklar. Verschiedene Täterprofile interner Angreifer können größeren Schaden anrichten. Eine Erkennung und Abwehr dieser Aktionen sind nur durch einen permanenten Blick auf den Netzwerkdatenverkehr und die Endpunkte möglich – basierend auf Künstlicher Intelligenz. Hinter den internen Gefahren für IT, Informationen und Geschäftsprozesse stehen absichtliche oder unabsichtliche Aktionen von Mitarbeitern sowie von Zulieferern oder freien Mitarbeitern mit Zugriff aufs Netz. Absicht, Versehen oder mit gekaperter Identität – Täterprofile interner Angreifer Die größte Gefahr geht vom absichtlich agierenden Binnentäter aus, der seine Zugänge auf Dateien, Applikationen und Systeme nutzt. Persönliche und finanzielle Gründe sind die Hauptmotivation, weit vor einer Sabotage. Hier gibt es zwei Typen: • Der Kollaborateur ist für seine Auftraggeber aktiv: Konkurrenten, cyberkriminelle MalwareAkteure oder gar Staaten. • Der „einsame Wolf“ agiert unabhängig und unbeeinflusst. Handelt es sich um einen Anwender mit den entsprechenden Privilegien, verfügt ein solcher Täter über ein ernstzunehmendes Gefahrenpotenzial. Der nicht absichtlich oder achtlos handelnde Täter lässt sich ebenfalls in zwei Kategorien einteilen. • Der Bauer im Schach der Cyberkriminellen („pawn“): Er ist ein autorisierter Anwender, den Hacker ohne dessen Willen manipulieren. Cyberkriminelle greifen ihn mit gezieltem Spear Phishing an, um seine Identität zu kapern. Viele Angriffe zielen auf den Endpunkt eines einzelnen Anwenders. • Unabsichtlich handelnder „goof“: Er verstößt aus Arroganz, Ignoranz, Inkompetenz oder schlichtweg mangelndem Bewusstsein gegen Richtlinien der IT-Sicherheit. Er ist oft eine leichte Beute für Phishingangriffe mit anschließender Privilegieneskalation. Informationen beiseiteschaffen und löschen kann jeder Mitarbeiter am PC. Für größere und komplexere Angriffe verengt sich der Täterkreis. Der überwiegende Teil der Belegschaft verfügt nicht über die Mittel, die Rechte und das Wissen, um schwerwiegende Angriffe auf einen Back-up- oder Active-Directory-Server zu starten. Zudem können sie keine Privilegien eskalieren oder in größerem Umfang Daten aus einem vom Provider gut abgeschirmten Cloud-Endpunkt exfiltrieren. Dazu sind nur technisch kompetente Mitarbeiter aus der IT-Administration in der Lage. Kapern aber Angreifer die Identitäten eines gewöhnlichen Mitarbeiters, können auch diese zu einer gefährlichen Waffe werden. Der Blick nach innen Jeder Angreifertyp hinterlässt Spuren im Netzverkehr und auf den Endgeräten. Auf Netzwerkebene nutzen sie etwa mit Server Message Blog (SMB) das Windows-Netzwerkprotokoll für ihre eigenen Zwecke. Eine Exfiltration von Informationen verrät sich durch den Kontakt zu einer unbekannten IP-Adresse. Wenn sich interne Nutzer plötzlich anders verhalten, erkennt eine Künstliche Intelligenz diese punktuellen Abweichungen von Normalabläufen sowohl im Netzwerk als auch auf dem Endpunkt. KI-Lösungen machen Vorgänge sichtbar und setzen sie in einen Kontext. Selbst kleine und mittelständische Unternehmen können diese KI-Lösungen nutzen. Gerade für den Schutz vor Angreifern aus dem Inneren sind sie ein notwendiges Instrument für eine handhabbare IT-Sicherheit. Anomales Verhalten von Tätern im Netzwerk ist vor allem durch folgende Aktivitäten sichtbar: • Unerlaubter oder anomaler Zugriff auf Systeme oder Daten mit legitimen Zugangsdaten: Ein Mitarbeiter loggt sich etwa plötzChief Technical Officer bei ForeNova Technologies ForeNova Technologies B.V. ist ein schnell wachsender Cybersicherheitsspezialist, der mittelständischen Unternehmen preiswerte und umfassende Network Detection and Response (NDR) anbietet, um Schäden durch Cyberbedrohungen effizient zu mindern und Geschäftsrisiken zu minimieren. NovaCommand wurde vom renommierten Sans-Institute getestet. Mit ForeNova NovaGuard steht auch ein EDR-Agent zur Verfügung. Der Dienst ForeNova MDR kombiniert aktuelle, auf Künstlicher Intelligenz basierende Sicherheitstechnologien mit dem Know-how, der Expertise und dem Urteilsvermögen von menschlichen Sicherheitsanalysten. ForeNova B.V. betreibt seine Lösung für Kunden aus einem Rechenzentrum in Frankfurt am Main und konzipiert alle Lösungen DSGVO-konform. Die Zentrale des Unternehmens befindet sich in Amsterdam. Weitere Informationen unter https://www.forenova.com/de/ Paul Smit
RkJQdWJsaXNoZXIy Mjc4MQ==