Immer mehr IT-Experten beschäftigen sich mit einem wachsenden Problem, das in ihren eigenen Organisationen lauert. Mit den jüngsten hochkarätigen Geschichten über Datenschutzverletzungen, die Schlagzeilen machen, ist das Risiko, das von Insider-Bedrohungen ausgeht, zu einer Angelegenheit von größter Bedeutung für IT-Teams geworden, wobei solche Vorfälle in den letzten zwei Jahren um 44 Prozent gestiegen sind, so die 2022 Ponemon Cost of Insider Threats Global Report.
Während Insider-Bedrohungen wahrgenommen werden von der breiten Öffentlichkeit als verärgerte Mitarbeiter, die aktiv Systeme sabotieren oder Daten stehlen, um sie an Wettbewerber zu verkaufen, ist das Problem viel komplexer. Aufgrund der weltweit steigenden Lebenshaltungskosten werden immer mehr Mitarbeiter anfällig für die Anfragen von böswilligen Akteuren, die nach potenziellen Komplizen für den Einsatz von Ransomware suchen. Darüber hinaus beschränkt sich der Missbrauch des Insider-Zugriffs nicht nur auf das Freisetzen von Ransomware, da Benutzer möglicherweise auch einen Anreiz sehen, ihre Anmeldeinformationen zu verkaufen, um leichtes Geld zu verdienen. Diese Risiken geben jedem Unternehmen große Sorgen, da Benutzerrechte leicht ausgenutzt und eskaliert werden können, um kritische IT-Ressourcen zu übernehmen. Tatsächlich haben unsere eigenen Quest-Sicherheitsbewertungen ergeben, dass ein erheblicher Teil der Benutzerkonten – beeindruckende 70–100 Prozent – über Zugriffsrechte verfügen, die von Hackern leicht eskaliert werden können, um Zugriff auf Tier-Zero-Assets zu erhalten, einschließlich der Active Directory-Domäne.
Leider endet die Bedrohung hier nicht, da Hacker immer bereit sind, jede Gelegenheit zu nutzen, um Chaos anzurichten – einschließlich der Ausnutzung von Flüchtigkeitsfehlern von Mitarbeitern. Hacker können diese Pannen nutzen, um die Kontrolle über Anmeldeinformationen in Ihrer Umgebung zu erlangen und sich von externen Angreifern in Insider-Bedrohungen verwandeln.
Wir wissen, dass es schwierig sein kann, einen Überblick über die Benutzerkonten Ihrer Organisation zu haben. Bei so vielen Unternehmen mit Hunderten, wenn nicht Tausenden von Benutzerkonten mit unterschiedlichen Berechtigungsstufen – wo fangen Sie überhaupt an?
Sie können damit beginnen, einen Blick auf diese drei Best Practices zu werfen, die Ihnen helfen werden Mindern Sie Insider-Bedrohungen und verbessern Sie die Cybersicherheit Ihres Unternehmens.
Die Kontrollrechte Ihres Unternehmens verstehen
Der erste Schritt zur Minderung der Insider-Bedrohung besteht darin, sich ein klares Bild zu machen wer auf was Zugriff hat. Für die meisten Unternehmen bedeutet dies, Ihre Active Directory-Benutzer und-Gruppen und die ihnen zugewiesenen Berechtigungen zu verstehen. Ein gemeinsamer Schwerpunkt vieler Organisationen sind Gruppen wie Domänen-Admins, Unternehmens-Admins und Konto-Operatoren. Die Mitgliedschaft in einer dieser mächtigen Gruppen bietet enorme Privilegien für eine Umgebung, daher ist es wichtig, sie unter strenger Kontrolle zu halten.
Leider wissen Hacker oft, dass diese Gruppen stark überwacht werden, also suchen sie nach andere Möglichkeiten, ihre Privilegien zu erhöhen. Böswillige Akteure können beispielsweise versuchen, mit den gesuchten Daten lokalen Administratorzugriff auf den Datenbankserver zu erhalten, oder ein Konto kompromittieren, das Zugriff auf die gewünschten Daten hat, unabhängig davon, ob es sich um ein Administratorkonto oder ein Benutzerkonto handelt. Darüber hinaus sind, wie bereits erwähnt, nicht unbedingt privilegierte Anmeldeinformationen oder böswillige Absichten erforderlich, um ernsthafte Probleme zu verursachen – ein eiliger Benutzer oder ein unachtsamer Administrator könnte einfach einen Fehler machen, der Ihre Daten gefährdet.
Die richtige Kontrolle über Ihre GPOs haben
Gruppenrichtlinienobjekte (GPOs) sind Sammlungen von Richtlinieneinstellungen, die Sie verwenden können, um die Anforderungen an die Kennwortkomplexität zu steuern, Benutzer am Zugriff auf Teile des Systems zu hindern und umzubenennen das Administratorkonto löschen oder sein Kennwort zurücksetzen, benutzerdefinierte Registrierungswerte bereitstellen und vieles mehr. Es ist schwer, die Macht der Gruppenrichtlinie in einer Microsoft-Umgebung zu übertreiben. Nur eine Änderung in einem GPO durch einen böswilligen Akteur kann Benutzer schnell von geschäftskritischen Anwendungen ausschließen oder sogar dazu führen, dass Ransomware oder andere Malware beim Systemstart ausgeführt wird, was möglicherweise zu lähmendem Datenverlust oder Systemausfall führt.
Einrichten der angemessenen Administratorrechte
Ihre letzte Hauptpriorität sollte sich darauf konzentrieren, die Fähigkeit von Hackern zu verringern, von vornherein die Kontrolle über Benutzerkonten zu erlangen. In den meisten Fällen werden zunächst Benutzerarbeitsstationen angegriffen. Sobald Angreifer auf einer Benutzer-Workstation Fuß gefasst haben, suchen sie nach Anmeldeinformationen, die sie verwenden können, um seitlich auf andere Systeme zu wechseln und ihre Berechtigungen böswillig zu eskalieren. Es ist natürlich schon schlimm genug, wenn sie Benutzeranmeldeinformationen sammeln, aber es ist noch viel schlimmer, wenn sie es schaffen, Administratoranmeldeinformationen zu sammeln, die mächtigere Privilegien gewähren. Daher ist es wichtig, genau zu kontrollieren, wo Administratoranmeldeinformationen verwendet werden.
Es gibt kein Wundermittel, um die Insider-Bedrohung vollständig zu eliminieren. Es ist jedoch zwingend erforderlich, Ihren Benutzern und Administratoren die richtigen Berechtigungen zuzuweisen, wenn Sie unerwünschte Zugriffe auf Ihre Systeme minimieren möchten. Durch die Implementierung dieser drei einfachen Vorgehensweisen wird Ihr Unternehmen viel besser in der Lage sein, richtig zu reagieren und sich vor dem ständigen Risiko von Insider-Bedrohungen zu schützen.
Bildnachweis: LeoWolfert/Shutterstock
Bryan Patton ist Direktor Berater für strategische Systeme, Quest.