Branchen-Frameworks spielen in der Cybersicherheit eine wichtige Rolle. Sie helfen Sicherheitsteams bei der Bewertung ihrer Kontrollen anhand eines allgemeinen bewährten Frameworks. Durch die Zuordnung zu einem Framework können Sicherheitsteams kritische Lücken identifizieren, durch die das Unternehmen für einen Cyberangriff anfällig sein könnte. Ein Framework bietet auch eine gemeinsame Sprache, die von Sicherheitsverantwortlichen branchen- und fachübergreifend verwendet werden kann. MITRE ATT&CK und NIST sind zwei häufig verwendete, etablierte Frameworks.
Die Insider Threat Matrix™ ist ein offenes, öffentliches Framework, das sich ausschließlich auf die Erkennung und Verhinderung von Insider-Bedrohungen konzentriert. Wir hatten kürzlich die Gelegenheit, uns mit den Gründern der Insider Threat Matrix™, James Weston und Joshua Beaman, zusammenzusetzen.
Wir sprachen mit ihnen darüber, warum sie die Matrix entwickelt haben, welche Vision sie für die Zukunft haben und wie die Matrix Insider-Risiko-Teams helfen kann. Als ehemalige Verantwortliche für Insider-Bedrohungen verfügen James Weston und Joshua Beaman über umfangreiche Erfahrung bei der Identifizierung und Abwehr von Insider-Bedrohungen und der Leitung von Insider-Untersuchungen. Dies ist eine Zusammenfassung unseres Gesprächs.
Warum haben Sie die Insider Threat Matrix™ entwickelt?
Wir wissen aus eigener Erfahrung, dass Insider-Untersuchungen oft chaotisch und nicht eindeutig sind und von bestehenden Frameworks kaum abgedeckt werden. Andere Branchenmodelle konzentrieren sich in erster Linie auf externe Bedrohungsakteure und nicht auf Insider. Wir haben diese Lücke gesehen und wollten einen Framework für Insider-Bedrohungen schaffen. Deshalb dreht sich bei der Insider Threat Matrix™ alles um den Faktor Mensch und darum, wie das Vertrauen innerhalb eines Unternehmens verletzt wird. Mithilfe dieses Frameworks können Insider-Bedrohungsuntersuchungsteams Insider-Bedrohungsereignisse klassifizieren, erkennen und gezielt abwehren.
Bei der Abwehr von Insider-Bedrohungen geht es mehr als in jedem anderen Sicherheitsbereich um abteilungsübergreifende Zusammenarbeit. Wir wollten für die Untersuchung eine einheitliche Taxonomie und Sprache zur Verfügung stellen, die von Cyber-, Personal-, Rechts- und Compliance-Teams verwendet werden kann.
Wer sind Ihrer Meinung nach die primären Anwender der Insider Threat Matrix™?
Bei der Entwicklung der Matrix hatten wir vor allem Insider-Bedrohungsuntersucher und Analysten für Sicherheitsabläufe im Blick, im Grunde die Teams, die alle Bereiche eines Insider-Ereignisses verstehen sollen. Bei den Ereignissen kann es sich um relativ ungefährliches Fehlverhalten, aber auch um hochriskante Zwischenfälle handeln, bei denen Methoden und Absichten oft unklar sind.
Bei Proofpoint unterscheiden wir zwischen Insider-Risiken und Insider-Bedrohungen. Wie definieren Sie diese Begriffe und wie hängen sie zusammen?
Wir unterscheiden ebenfalls klar zwischen Insider-Risiken und Insider-Bedrohungen. Außerdem verwenden wir einen wichtigen klärenden Begriff: Population.
Damit bezeichnen wir einen Personenkreis, bestehend aus Einzelpersonen, Mitarbeitern, Auftragnehmern, verbundenen Unternehmen und anderen Angestellten, die die Belegschaft eines Unternehmens bilden und den Richtlinien, Kontrollen sowie Zugangskontrollen dieses Unternehmens unterliegen.
Mit Insider-Risiko beziehen wir uns auf die Wahrscheinlichkeit, dass die Aktion oder Untätigkeit eines Mitglieds der Population Schaden oder Verlust für das Unternehmen verursachen kann, und auf die potenziellen Auswirkungen des Schadens- oder Verlustereignisses. Insider-Risiko umfasst sowohl absichtliches als auch unbeabsichtigtes Verhalten.
Mit einer Insider-Bedrohung sind Mitglieder oder Gruppen von Mitgliedern der Population gemeint, die beabsichtigen, dem Unternehmen Schaden oder Verlust zuzufügen, oder bei denen die Wahrscheinlichkeit besteht, dass sie dies beabsichtigen. Dieser Begriff bezieht sich insbesondere auf diejenigen, deren Aktionen, Motivationen oder Umstände ein begründetes Risiko darstellen.
Kurz gesagt: Alle Insider-Bedrohungen gehören auch zu den Insider-Risiken, aber nicht alle Insider-Risiken stellen tatsächlich eine Insider-Bedrohung dar.
Wie hat die Insider-Bedrohungs-Community auf die Matrix reagiert? Was hat Sie am meisten überrascht?
Seit der Einführung der Insider Threat Matrix™ bei Black Hat im Jahr 2024 ist die Resonanz überwältigend positiv. Untersucher und Programmverantwortliche sagen uns, dass die Matrix die gemeinsame Sprache und Struktur bietet, die diesem Bereich bislang gefehlt hatte. Die Matrix wurde bereits bei der Entwicklung von Erkennungsmechanismen, bei investigativen Prozessdesigns, bei Sicherheitsaudits und sogar in der Entwicklung von Richtlinien eingesetzt.
Wir waren aber vor allem von der Breite des Interesses überrascht. Die Vorteile eines gemeinsamen, fachübergreifenden Frameworks werden nicht nur von dedizierten Insider-Bedrohungsteams, sondern auch SOC-Analysten (Security Operations Center) sowie von Verantwortlichen in HR-, Rechts- und Compliance-Teams erkannt. Die abteilungsübergreifende Akzeptanz war weitaus größer als erwartet.
Wie erfassen Sie Feedback zur Matrix? Wie läuft der Änderungsprozess ab?
Die Insider Threat Matrix™ ist bewusst als offenes Framework konzipiert und entwickelt sich kontinuierlich weiter. Wir erhalten Feedback durch Hinweise von Praktikern, Fachforen und direktes Engagement bei Untersuchungen und unsere eigene interne Forschung. Jeder Hinweis wird von einem kleinen Team erfahrener Insider-Bedrohungsexperten geprüft und mit der Terminologie und Struktur der Insider Threat Matrix™ abgestimmt. Damit gewährleisten wir Konsistenz, bevor der Hinweis in das Framework aufgenommen wird. Die Mitwirkenden werden öffentlich genannt, sowohl innerhalb des Wissensobjekts selbst als auch auf der offiziellen Seite der Insider Threat Matrix™-Mitwirkenden.
Wie geht es mit der Insider Threat Matrix™ weiter? Was ist Ihre Vision?
Wir möchten die Insider Threat Matrix™ zu einem lebendigen Repository machen, das das Know-how und die Erfahrung der Insider-Bedrohungs-Community vereint und als zentrale Referenz für die Beschreibung der Ereignisse bei Insider-Bedrohungen dient. Wir hoffen, dass sie alle Verantwortlichen unterstützt und die Qualität von Insider-Risikoprogrammen in Unternehmen und Einrichtungen erheblich verbessert.
Wir entwickeln die Matrix kontinuierlich weiter. Wir planen für das nächste Jahr die Erstellung von Visualisierungen, die Phasen der Insider-Ereignisse im Zeitverlauf zeigen, die Integration der Matrix direkt in Softwareplattformen zur Abwehr von Insider-Bedrohungen und den Ausbau der Community der Mitwirkenden. Unser Ziel ist es, dass die Matrix zur De-facto-Untersuchungssprache für Insider-Bedrohungen wird.
Was raten Sie Sicherheitsteams, die die Matrix operationalisieren möchten? Wie sollten sie anfangen?
Die Insider Threat Matrix™ ist so konzipiert, dass sie unabhängig vom Reifegrad des Programms sofort einsetzbar ist. Für neue Programme ist der beste Ausgangspunkt einfach: Verwenden Sie die Matrix, um Richtlinienbasiswerte festzulegen und das abzubilden, was wir „Volumenverletzungen“ nennen. Das sind die relativ geringfügigen, aber häufigen Richtlinienverstöße, die oft auf sich allgemein änderndes Verhalten hindeuten. Bei etablierten Programmen können Sie mithilfe der Matrix Kontrolllücken identifizieren, Erkennungen abstimmen, um die Abdeckung sicherzustellen, die Entwicklung von Erkennungsregeln vereinfachen und konsistente Prozesse für Untersuchungen festlegen.
Es ist nie zu früh. Der richtige Zeitpunkt für die Einführung der Insider Threat Matrix™ ist immer dann, wenn ein Team von Ad-hoc-Kontrollen und -Reaktionen zu strukturierten, belastbaren Erkennungen, Präventionen und Untersuchungen übergehen möchte. Ein praktischer erster Schritt besteht darin, aktuelle Insider-Ereignisse in Ihrem Unternehmen mit den Matrix-Kategorien abzugleichen. Auf diese Weise werden häufig Muster und Lücken aufgedeckt, die Sie unmittelbar zur Verbesserung der Erkennungen und Richtlinien nutzen können.
Weitere Informationen
Wenn Sie mehr über die Insider Threat Matrix™ erfahren möchten, nehmen Sie im Oktober an unserer zweiteiligen Webinar-Reihe teil.
