IT-SICHERHEIT 68 DSD 3 | 2023 lich zu ungewöhnlichen Zeiten oder an ungewöhnlichen Orten im Netz ein. Ein IT-Administrator oder Mitarbeiter durchsucht Bereiche des Netzes, für die er keine Rechte hat. Diese Szenarien sind ebenso verdächtig wie ein Zugriff auf einen Back-up-Server, der für gewöhnlich nur zum Verwalten, Überprüfen der Sicherungen oder zum Wiederherstellen von Daten erfolgt. • Suche im Netzwerk: Ein interner Nutzer bewegt sich im Normalfall sicher auf den ihm vorgegebenen Bahnen und steuert gezielt Systeme, Daten und Applikationen an. Verlässt er diese, verhält er sich wie ein externer Angreifer: Er steuert nach und nach Systeme an, um sie auszukundschaften oder zu verändern. • Datenexfiltration: Sensible Daten werden auf einen externen Datenträger kopiert oder per Mail und Cloud-Dienste versandt. Der Anschluss eines Gerätes ist ebenso sichtbar wie der Ausschlag des Datenverkehrs. Abwehr im Netz und am Endpunkt Angriffe eines Binnentäters können durch das kontinuierliche Monitoring des gesamten internen und externen Datenverkehrs erkannt werden. Etwa durch eine konsistente User-Entity- Behaviour-Analyse (UEBA), den Blick auf Nutzeraktivitäten, die Analyse der Log-ins, Dateizugriffe und des Ressourcengebrauchs. Daraus leiten sich vorbeugende Maßnahmen in der Netzwerktopologie und in der Blockade von Angriffen durch eine Endpoint Detection and Response unmittelbar vor der Exekution eines Angriffes ab. Zu diesen Maßnahmen gehören im Netz und am Endpunkt vor allem: • Mikrosegmentierung im Netzwerk: um Systeme, die mit dem angegriffenen Endpunkt regelmäßig kommunizieren, im Ernstfall schnell vollständig blockieren zu können. Dies beschränkt gleichzeitig den Radius der Seitwärtsbewegungen eines internen Angreifers. • Kontrolle der Endpunkte: Hacker ändern Systeme nicht nur durch neue Malware, sondern auch durch neue Konfigurationen. Die Analyse von Änderungen des Systems ist deshalb die erste Bedingung für den Block eines Systems. Ist eine Anomalie auf einem Endpunkt hinreichend auffällig, veranlasst eine automatisierte Abwehr sofort den Back-up des Systems, um die Informationen vor einer Verschlüsselung zu retten. Der angegriffene PC kommt dann in Quarantäne – genauso wie die Rechner der anderen Mitarbeiter einer Abteilung. • Nutzen von IT-Sicherheitstechnologien wie vor allem Antivirus, Firewall, Data Loss Prevention oder Identity Access Management. Das menschliche Auge des Sicherheitsanalysten Viele, oft individuell handelnde, Binnentäter sind durch eindimensionale Sicherheitsansätze oder durch automatisiertes Monitoring allein nicht zu erkennen. Die Angreifer nutzen in der Regel legitime Tools und installieren selten eine Malware. Sie benötigen kein Einbruchswerkzeug. Entitäten wie Nutzer oder Systeme sind aber dennoch durch bestimmtes anomales Verhalten erkennbar. Für das Gesamtbild und vor allem für die effiziente Abwehr bedarf es zusätzlich des menschlichen Auges eines Sicherheitsanalysten. Er analysiert das aufgezeichnete Verhalten interner Entitäten. Er erkennt durch außergewöhnliche Log-ins, dass wahrscheinlich nicht mehr der eigentliche Nutzer den Account kontrolliert. Er reagiert auf Alarme zu einer Malware-Infektion oder hat ihn bei Phishingkampagnen als möglicher Ausgangspunkt einer internen Attacke im Blick. Er steuert die Abwehr und blockt verdächtige Protokolle oder Datenübertragung über die von ihm verwaltete Firewall. Im Dialog mit den zu schützenden Unternehmen erkennt der Sicherheitsanalyst, ob hinter einem verdächtigen Verhalten sich nicht doch ein legitimer Nutzer verbirgt – ein neuer Mitarbeiter, eine neue Filiale oder eine neu vergebene Kompetenz.
RkJQdWJsaXNoZXIy Mjc4MQ==