Den Feind im Inneren aufspüren

Wie Unternehmen Insider-Angriffe erkennen und stoppen können

Insider-Bedrohung

Insider-Bedrohungen sind auf dem Vormarsch. Einem Report des Ponemon Instituts zufolge stieg die Zahl der von Insidern verursachten Cybersecurity-Vorfälle zwischen 2020 und 2022 um 44 Prozent.

Gleichzeitig stiegen die durchschnittlichen Kosten pro Vorfall auf 648.000 US-Dollar für böswillige und auf 485.000 US-Dollar für nicht-böswillige Insider-Bedrohungen. Im letzten Jahr haben die von Insidern ausgelösten Bedrohungen noch einmal zugenommen und kosten Unternehmen durchschnittlich 16,2 Millionen Dollar pro Jahr.

Anzeige

Laut Definition handelt es sich bei einer Insider-Bedrohung um eine Person, die das Potenzial hat, ihren Zugang zu nutzen, um die Vertraulichkeit, Integrität oder Verfügbarkeit der Daten oder IT-Systeme ihres Unternehmens nachteilig zu beeinflussen. Dazu gehören zum einen böswillige Bedrohungen, bei denen ein Mitarbeiter oder Auftragnehmer seinen Zugang absichtlich nutzt, um ein Ziel zu verfolgen, das nicht den Interessen des Unternehmens entspricht. Als Insider-Bedrohungen gelten aber auch unabsichtliche Bedrohungen, bei denen jemand, der im Rahmen seiner Aufgaben mit Cybersicherheits-Exploits arbeitet, Standardverfahren nicht befolgt, die das Risiko mindern würden.

Angesichts der hohen Kosten und der zunehmenden Anzahl von Insider-Bedrohungen beider Formen ist es für Unternehmen wichtiger denn je, diese Risiken zu verstehen und zu wissen, wie sie sich dagegen schützen können.

CrowdStrikes Analyse bekannter Insider-Bedrohungen zeigt, dass viele der Abwehrmaßnahmen, die gezielt zur Erkennung und Eindämmung von Eindringlingen und Cyberkriminellen eingesetzt werden, auch bei der Abwehr von Insider-Bedrohungen wirksam sind.

Problem Nr. 1: Ausweitung der Rechte

Das CrowdStrike Counter Adversary Operations- und das Falcon Complete-Team haben Insider-Bedrohungen in den Netzwerken beobachtet, die sie seit Jahren schützen. Um ein Gefühl dafür zu bekommen, wie sie funktionieren, hat CrowdStrike Vorfälle von Januar 2021 bis April 2023 analysiert und festgestellt, dass mehrere Insider ihre Ziele erreichen, indem sie bekannte Schwachstellen ausnutzen.

Mehr als die Hälfte (55 %) der Insider verursachen Risiken, indem sie ihre Rechte auf ihrem Computer oder im Netzwerk ausweiten. Die Insider streben nach höheren Privilegien, um nicht autorisierte Software herunterzuladen, Beweise verschwinden zu lassen oder Fehler in IT-Systemen zu beheben. Durch den Versuch, ihre Privilegien zu erweitern, haben diese internen Benutzer wissentlich oder unwissentlich ein Risiko für das Unternehmen geschaffen.

Diese Vorfälle beruhen nicht auf obskurem Wissen, das nur wenigen bekannt ist. Vielmehr nutzten Insider sechs bekannte Schwachstellen, deren Exploit-Code auf GitHub öffentlich zugänglich ist und die in einem öffentlichen Katalog der United States Cybersecurity and Infrastructure Security Agency (CISA) aufgeführt sind.

Manchmal wurden diese Schwachstellen für offensichtlich harmlose Zwecke genutzt. Beispielsweise nutzte ein Insider WhatsApp, um einen Exploit herunterzuladen, mit dem er seine Rechte ausweiten und eine uTorrent-Anwendung für den Datenaustausch sowie nicht autorisierte Spiele installieren konnte.

In anderen Fällen stecken jedoch bösartige Absichten hinter der Ausnutzung von Schwachstellen. So beobachtete CrowdStrike Ende Juli 2022, wie ein ehemaliger Mitarbeiter eines Medienunternehmens versucht hat, eine Sicherheitslücke (CVE-2017-0213) über das Windows-Betriebssystem auszunutzen, um unberechtigte Aktivitäten durchzuführen. Die Nutzung älterer Schwachstellen, von denen einige bereits 2015 bekannt wurden, unterstreicht, dass Schwachstellen für alle Angreifer (intern oder extern) nützlich bleiben können, bis sie gepatcht oder entschärft werden. Außerdem macht es deutlich, wie wichtig der Schutz vor Identitätsbedrohungen und der Einsatz von modernen Sicherheitstools und -technologien ist.

Problem Nr. 2: Download von Exploits und Sicherheitstools

Bei 45 Prozent der von CrowdStrike untersuchten Vorfälle mit Insider-Bedrohungen handelte es sich um Insider, die unwissentlich Risiken in ihre Umgebung einführen, indem sie unbefugt Exploits oder andere offensive Sicherheitstools zu Test- oder Schulungszwecken heruntergeladen haben.

Bei diesen Vorfällen hat das Testen von Exploits und offensiven Tools möglicherweise zu den regulären Aufgaben dieser Insider gehört. Sie haben aber nicht die Verfahren zum sicheren Umgang damit verfolgt. So versuchte beispielsweise im Februar 2023 ein interner Benutzer eines Technologieunternehmens, ein Exploit für eine Sicherheitslücke im Windows-Kernel herunterzuladen, wobei er jedoch seinen Firmencomputer und nicht das genehmigte Testsystem (ein separates virtuelles System) verwendete.

Ob böswillig oder nicht, diese Aktivitäten stellen ein Risiko für Unternehmen dar. Das Testen von Exploits auf nicht autorisierten Systemen könnte den Betrieb durch Systemabstürze oder andere unbeabsichtigte negative Aktionen beeinträchtigen. Außerdem führen diese Aktionen zu Schwachstellen: Ein Angreifer, der bereits im Netzwerk Fuß gefasst hat, könnte Exploits oder Tools finden und sie zur Unterstützung seiner böswilligen Aktivitäten nutzen. Schließlich kann das Herunterladen von Code und die unzureichende Verwaltung seiner Verwendung zu Hintertüren führen, die Angreifer ausnutzen können.

Bei CrowdStrikes Analyse wurden beispielsweise mehrere Vorfälle festgestellt, bei denen das Metasploit Framework von privilegierten Benutzern in der Umgebung unbefugt eingesetzt wurde. Dabei handelt es sich um ein bekanntes Framework für Penetrationstests, das häufig von Sicherheitsteams eingesetzt wird. Es kann Angreifern jedoch auch einen leicht zugänglichen Mechanismus für die Durchführung von Aktivitäten vor und nach der Kompromittierung bieten.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Lösungsansätze für den Umgang mit Insider-Bedrohungen

Die wichtigste Maßnahme, die jedes Unternehmen in Betracht ziehen sollte, ist die Investition in Sensibilisierungs- und Compliance-Schulungen für Mitarbeiter. Ein erster wertvoller Schritt ist getan, wenn Mitarbeiter darin geschult werden, einen potenziellen Insider zu erkennen, der das Unternehmen gefährdet. Die meisten Sicherheitsteams verfügen über Protokolle, an die sie sich für den sicheren Umgang mit Werkzeugen und Testmustern halten sollten. Es ist wichtig, diese Verfahren zu kennen, zu befolgen und die Geschäftsleitung über deren Missbrauch oder Fehlgebrauch zu informieren.

Die Unternehmen müssen außerdem das principle of least priviledge (POLP) verstehen und durchsetzen. Diesem Prinzip zufolge sollten Benutzer und Prozesse nur mit den für die Ausführung ihrer Aufgaben erforderlichen Mindestberechtigungen ausgestattet werden. POLP ist eine der effektivsten Methoden zur Stärkung der Cybersicherheit eines Unternehmens und ermöglicht es ihnen, den Netzwerk- und Datenzugriff zu kontrollieren und zu überwachen. Die Durchsetzung von POLP trägt dazu bei, die Probleme, die mit der Rechteausweitung einhergehen, zu lösen.

Darüber hinaus gibt es für viele der Sicherheitslücken, die Insider ausgenutzt haben, Exploits, die auf GitHub öffentlich zugänglich sind. Die Einschränkung oder Überwachung des Downloads von Exploits von GitHub und anderen Online-Code-Repositories würde dazu beitragen, diese Bedrohungen zu entschärfen.

Viele der beschriebenen Schwachstellen wurden auch gezielt von Eindringlingen und Cyberkriminellen ausgenutzt. Daher sind viele der gängigen Defense-in-Depth-Maßnahmen, die Netzwerkverteidiger bereits zur Erkennung und Abwehr von Angriffen einsetzen, auch zur Bekämpfung von Insider-Bedrohungen geeignet.

Insider nutzen außerdem viele alte Schwachstellen, von denen einige bereits 2015 bekannt wurden. Dies unterstreicht, dass Angreifer (intern oder extern) Schwachstellen weiterhin ausnutzen können, bis das Unternehmen sie patcht oder entschärft. Es ist von entscheidender Bedeutung, dass die Schwachstellen rechtzeitig gepatcht werden, um das Netzwerk und alle mit diesem verbundenen Geräte zu schützen. 

Patches allein reichen jedoch nicht aus, um die potenziellen Bedrohungen zu bekämpfen. Aus diesem Grund müssen Unternehmen mehrere Verteidigungsschichten implementieren. Die Implementierung einer Zero-Trust-Architektur und der Identity Protection Services beispielsweise verhindern den unbefugten Zugriff auf Systeme und Netzwerke. Darüber hinaus ist die Analyse des Nutzerverhaltens eine wichtige Technik für Unternehmen, um einen Angreifer, der gestohlene Anmeldeinformationen verwendet, aufzuspüren oder verdächtige Aktivitäten von Insidern erkennen zu können. Die Verhaltensanalyse beginnt mit der Erstellung einer Basislinie für das normale Verhalten jedes Benutzers auf der Grundlage historischer Daten, so dass es möglich wird, verdächtige Veränderungen zu erkennen und sie zu stoppen, bevor sie Schaden anrichten.

Zu guter Letzt bietet die Implementierung von Threat Hunting-Lösungen in die Sicherheitsprogramme eines Unternehmens zahlreiche Vorteile. Threat Hunting ist für eine verbesserte Cybersicherheit von entscheidender Bedeutung. Es reicht nicht aus, einfach nur auf Warnhinweise zu warten. Unternehmen müssen gezielt nach ungewöhnlichem Verhalten suchen und die oben genannten Tools und Techniken einsetzen, um potenzielle Insider-Bedrohungen zu erkennen.

Thomas Etheridge
Thomas Etheridge

Etheridge Thomas

CrowdStrike -

Chief Global Services Officer

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.