Insider-Bedrohungen greifen nach außen

Aus den zwei sind drei Achsen von IT-Bedrohungen geworden. Unternehmen und ihre Sicherheitsansätze stecken in der Regel viel Energie in die Perimetersicherheit. Dieser Ansatz steht jedoch im Gegensatz zur Zero-Trust-Methode: Unternehmen müssen den internen Datenverkehr und jenen von innen nach außen genauso im Auge behalten wie den eingehenden Datenverkehr.

Die Aufgabe des Sidekick (Managed Detection & Response) MDR-Teams von Vectra besteht darin, alle drei Achsen auf Bedrohungen zu überwachen. Die Auswirkungen auf den Ruf eines Unternehmens, das als Quelle krimineller Aktivitäten ertappt wird, sind genauso schlimm wie die, das Ziel zu sein. Unternehmen können schnell auf schwarze Listen gesetzt werden, die die Kommunikation blockieren und damit die Geschäftsabwicklung behindern. Wenn der Angriff erfolgreich ist, kann es sein, dass sie rechtlich haftbar gemacht werden oder technische Gegenmaßnahmen ergreifen müssen. In solchen Situationen ist eine schnelle Reaktion erforderlich.

Denial-of-Service-Angriff (DoS) gegen belarussische und russische Unternehmen

Kürzlich entdeckte das Vectra Sidekick MDR-Team (Managed Detection & Response) internen Datenverkehr, der zu den folgenden Geschehnissen führte: Ein Angestellter hat ein Dienstleistungsunternehmen (25 Milliarden US-Dollar Jahresumsatz) in den Russland-Ukraine-Konflikt verwickelt. Der Mitarbeiter nutzte die Infrastruktur des Unternehmens, um einen Denial-of-Service-Angriff (DoS) gegen belarussische und russische Unternehmen durchzuführen. Ziele des Angriffs waren ein Finanzdienstleistungsunternehmen und ein Versand- und Logistikunternehmen. Das Sidekick-Team entdeckte diese Aktivität und benachrichtigte das Unternehmen, von dem der Angriff ausging, das diese Aktivitäten umgehend beendete.

Viele weisen schnell darauf hin, dass das menschliche Element das schwächste Glied in der Sicherheitskette ist. Sie versäumen es aber, die Dinge aus der Perspektive zu sehen, dass Menschen auch das stärkste Werkzeug sind, das ihnen – oder den Angreifern – zur Verfügung steht. In diesem Fall hätte ein einziger abtrünniger Benutzer einen sehr großen Einfluss haben können. Bei solchen Konflikten haben die Mitarbeiter wahrscheinlich sehr starke Emotionen. Aufgrund dieser Emotionen können ihre Handlungen stärker sein als die Richtlinien eines Unternehmens oder die bestehenden Sicherheitsmaßnahmen.

Über externe Bedrohungen informieren

Schon vor dem jüngsten Konflikt stellte das Sidekick MDR-Team mehrere Fälle fest, in denen Benutzer – manchmal sogar Administratoren – Crypto-Mining-Programme auf Unternehmensressourcen installierten. Dies ist typischerweise an Universitäten und in Laborumgebungen mit gemeinsam genutzten und offenen Rechnern zu beobachten. Finanzielle Motive und die Vorstellung, kostenlose Ressourcen nutzen zu können, veranlassten die Benutzer zum Missbrauch dieser Ressourcen. Was werden die Benutzer also tun, wenn sie sich tatsächlich moralisch verpflichtet fühlen und Zugang zu „kostenlosen Ressourcen“ haben?

Unternehmen brauchen ein ganzheitliches Verständnis und einen Ansatz für eine angemessene Bedrohungsabwehr. Nachrichtenberichte, zuverlässige Bedrohungsmeldungen und Blogposts sind immer noch der beste Weg, um über externe Bedrohungen informiert zu sein. Doch genauso wie unüberwachtes Lernen erforderlich ist, um Einzelheiten über das eigene Netzwerk zu erfahren, können diese Nachrichtenquellen nicht sagen, wie Einzelpersonen reagieren werden.

Die Befolgung grundlegender Schritte, wie sie von der CISA beschrieben werden, kann einen großen Beitrag zum Schutz von Unternehmen vor Cyberangriffen leisten. Wir dürfen jedoch nicht vergessen, dass nicht alle Bedrohungen von außen kommen und dass Bedrohungen, die von innerhalb der Umgebung ausgehen, immer noch sehr real sind. Es ist allzu leicht, sich in Zeiten wie diesen ausschließlich auf externe Bedrohungen zu konzentrieren und die großen DDoS-Kampagnen als etwas zu betrachten, das nur anderen Menschen passiert. Die Netzwerke, die es zu schützen gilt, können – gewollt oder ungewollt – zu Werkzeugen in einer solchen Kampagne werden. Eine zuverlässige Überwachung sicherzustellen, um die bestmögliche Abdeckung zu gewährleisten, ist von größter Bedeutung.