Das erste Mal, das sein Security-Operations-Team von einem Insider-Threat-Vorfall erfährt, ist meistens, wenn ihnen ein Fehler in einem Kundenaccount gemeldet wird. Dann müssen sie Zugänge einfrieren, die letzten Accountaktivitäten nachverfolgen und versuchen, eine forensische Timeline über den entstandenen Schaden aufzubauen. Das ist leider alles reaktiv.
Chief Information Security Officers (CISOs) bekommen aktuell überall auf der Welt von ihren Aufsichtsräten die Vorgabe, proaktiver zu werden und Schritte zu ergreifen, die den Schaden schon früher begrenzen. „Shift-left“ ist schnell zu einem Mantra in der Branche geworden. Sobald wir herausgefunden haben, WIE wir hochriskante Aktivitäten früher im Zyklus erkennen, müssen wir danach immer noch die potenzielle Reichweite der organisatorischen Response verstehen.
Welche Strategien sind in einer Insider-Risk-Situation effektiv und warum sollten wir als Sicherheitsprofis nicht nur über Cybersicherheitsrisiken nachdenken, sondern auch das weitere organisatorische Risiko berücksichtigen? Sicherheitsexperten werden ermutigt, ihre Strategien zum Umgang mit Risiken angesichts des größeren Unternehmensrisikoprogramms zu kontextualisieren. Während sich der hinnehmbare Verlust vieler Sicherheitsvorfälle schwer quantifizieren lässt, können wir dieses Konzept jedoch auf jeden Fall auf das Management von Insider-Risiken und -Bedrohungen anwenden.
Die Aktienhändler, die sich nicht-linear entwickelten
Wir kennen alle die Geschichten von den Aktienhändlern, die ihre Bank durch Überspekulation in eine Krise stürzten. Wenn wir uns die Taxonomie ihres Verhaltens genauer anschauen, sehen wir als roten Faden, dass sie, sobald sie sich einmal durch Überspekulation in eine finanzielle Klemme manövriert hatten, alle anfingen, die Grenzen des Akzeptablen und des geltenden Rechts weiter zu überschreiten, in dem immer verzweifelter werdenden Versuch, ihre Probleme durch weitere Spekulation loszuwerden. In einem kürzlichen Gespräch wies der CISO einer der großen internationalen Investmentbanken auf eine weitere Gemeinsamkeit hin, die vielen Branchenexperten (und Analysten), die das Problem verstehen wollten, entgangen ist.
„Alle Aktienhändler haben mit dem Überspekulieren angefangen, um eine persönliche finanzielle Notlage zu lösen“, erklärte der CISO. „Entweder hatten sie Schulden, oder sie lebten über ihre Verhältnisse, und deshalb erweiterten sie ihr Risiko über das, was die Bank als normale, sinnvolle Begrenzungen ansehen würde, hinaus. Letztendlich hatten sie sich alle so hoffnungslos überschuldet, dass sie anfingen, Geld von einem Kundenaccount zu leihen, um ein Loch in einem anderen zu stopfen. An diesem Punkt hatten sie den Punkt unwiderruflich überschritten, ab dem es keine andere Option mehr gab, als die Strafverfolgungsbehörden einzuschalten.“
Fehlverhalten von außer Kontrolle geratenen Investmentbankern mal beiseitegelassen, ist die Realität doch so, dass die Gelegenheit, die Privilegien einer beruflichen Rolle zu missbrauchen, in jeder Organisation besteht, und zwar in jedem Industriezweig, egal ob sie in Privateigentum sind oder an der Börse gehandelt werden. Dieses Potential erstreckt sich nicht nur auf IT-Powernutzer und Administratoren, sondern auf Büroangestellte in der Lohnabrechnung, Buchhaltungsteams, Gesundheitsanbieter und viele andere. Es fällt tatsächlich schwer, sich eine berufliche Position vorzustellen, die nicht mit irgendeiner Art Privileg einhergeht, das verantwortungsvoll genutzt werden muss.
Ein wichtiges Unterscheidungsmerkmal zwischen einem Insiderereignis und einem externen Angriff ist, dass der externe Angreifer verschiedenste Werkzeuge und zu einer Waffe gemachte Exploits einsetzen wird, um Zugriff zu erlangen und aufrecht zu erhalten, sich weitere Berechtigungen zu holen und dann Assets abzuleiten, während sein interner Widerpart einfach die Berechtigungen ausnutzen kann, die er ohnehin schon hat, um seinen Job zu machen.
Früherkennung gibt CISOs Wahlmöglichkeiten in Bezug auf Response und Intervention
Proofpoint ermutigt CISOs zu einem UMDENKEN über das Insider-Problem. Es wäre ein Fehler, Insider- und externe Vorfälle gleich zu behandeln. Es kann in der Tat argumentiert werden, ein eigenes Team einzusetzen, das Vorfälle mit Insidern untersucht, damit sich das Security Operations Center (SOC) weiterhin auf die Identifizierung, Eindämmung und Beseitigung von Angriffen aus einer externen Quelle fokussieren kann.
Wie wir bereits gesehen haben, besitzen Insiderbedrohungsvorfälle viel mehr Nuancen, und die komplexen Sachverhalte rund um INTENTION fügt dem Gesamtbild weitere Grautöne hinzu. Allgemein gesagt kann man Insiderbedrohungsvorfälle in folgende Kategorien einteilen:
- Harmlose Anwendungsfehler (unvorsichtiger Nutzer), wo ein Angestellter lediglich eine falsche Entscheidung trifft oder versucht, zum Lösen einer Aufgabe Sicherheitskontrollen zu umgehen.
- Absichtliche Vergehen (böswilliger Insider), wo ein Angestellter Sicherheitskontrollen absichtlich unterlaufen will, um sich selbst einen Vorteil zu verschaffen.
- Missbrauch von Zugangsdaten (kompromittierter Nutzer), wo ein Akteur Zugangsdaten nutzt, die ihm nicht zugeteilt wurden, um eine Handlung durchzuführen, die normalerweise außerhalb seiner Verantwortlichkeit liegt.
Wie wir erkennen konnten, gibt es viele Nuancen und Überschneidungen. Eine Gruppe an Leuten, die zusammen agieren, kann harmlose Anwendungsfehler bei einem unglücklichen Kollegen ausnutzen, Zugangsdaten erlangen und dabei Unterstützung oder Einfluss von einer Quelle außerhalb der Organisation erhalten. Was können wir also dagegen tun?
Sichern Sie sich die leitende Unterstützung von Schlüsselgruppen
Eines ist mehr als deutlich: Insider-Risk-Management ist ein Teamsport. Und CISOs müssen Allianzen aufbauen mit anderen, die auch ein Interesse an dem Prozess haben. Beispielsweise wird die Personalabteilung gemeinhin als der Ort gesehen, wo die Verantwortung für alle Risiken durch Mitarbeiter liegt. Die Finanzabteilung trägt die Verantwortung für finanzielle Verluste und dafür, die Ursachen herauszufinden (insbesondere, wenn Verluste auf der Gewinn- und Verlustrechnung auftauchen). Ein kluger und vorausschauender CISO holt sich die Unterstützung dieser Gruppen ein.
Und da es in diesem Blogbeitrag um Kaufentscheidungen geht: Das, was wir uns hier erkauft haben, ist eine WAHL DER INTERVENTION. Linienmanager eignen sich für informelles formatives Feedback, während die formelleren Prozesse von der Personalabteilung leitend ausgeführt werden (und ich nutze bewusst diese Formulierung). In Europa sind Betriebsräte wichtige Stakeholder in diesem Prozess und bekannterweise viel offener und kooperativ, wenn sie auch wirklich als Stakeholder eingebunden werden.
Insider-Risk-Management: Verhaltensänderung, analystische Erkennisse und präzise Interventionen
Proofpoint vertritt die Ansicht, dass organisatorische Führungskräfte desto mehr Interventionsoptionen haben, wenn es um die Auswahl der geeigneten Insider-Threat-Intervention geht, je früher die Intervention eingesetzt wird. Wie der CISO der Investmentbank, den wir oben zitiert haben, gesagt hat, „Wenn wir das Überspekulationsproblem erkennen, bevor wir es mit einem Kundenschaden zu tun haben, den wir beheben müssen, liegt es im Interesse der Bank, dem Aktienhändler einen günstigen Kredit anzubieten, um die persönlichen Stressfaktoren aufzulösen, die zu dem Verhalten geführt haben.“
Ähnlich verhält es sich, wenn wir sehen, dass jemand Informationen in einem persönlichen Cloud-Account speichert – eine frühe Intervention in Form einer kurzen Security-Awareness-Trainingseinheit kann bereits die Verhaltensänderung bewirken, die wir haben wollen.
Um es kurz zu machen: Je früher wir ein Problem erkennen, desto früher können wir eine explizite Entscheidung treffen, wie wir mit dem Problem umgehen wollen, und (aus Management-Perspektive) desto niedriger die Auswirkung des Vorfalls auf unsere Bilanz und unseren Ruf. Deshalb ist der Risk-Management-Ansatz für Insider so effektiv.
Wenn wir schon dabei sind, Risiken zu untersuchen, ist es auch angebracht, die gesamte Belegschaft im Rahmen unserer Risikobewertung zu berücksichtigen. Diese orientiert sich an Analytics-Tools, die hochriskante Aktivitäten bestimmen und priorisieren können, was für das Cybersicherheitsteam ein wichtiges Werkzeug darstellt, weil es ihm ermöglicht, sich auf hochriskante Verhaltensweisen und die Akteure dahinter zu konzentrieren. Proofpoint ist zuversichtlich, dass dieser Ansatz Risiken minimieren und einen konkreten, messbaren Unterschied für Ihre Endgewinne machen wird.
Erfahren Sie mehr
Erfahren Sie mehr darüber, wie Sie einen proaktiven Ansatz zum Umgang mit dem Insiderproblem verfolgen können, indem Sie die Ressourcen auf unserem Insider-Threat-Management-Portal durchstöbern.