Sicherheitspraxis: Benutzerbasierte Überwachung im Netzwerk

Lückenlose Identifizierung der Nutzer und Geräte gilt unter Sicherheitsexperten als entscheidende Komponente einer Präventionsstrategie für die Netzwerksicherheit.

foto cc0 pixabay geralt global digital

foto cc0

Mitarbeiter, Kunden und Partner verbinden sich zu unterschiedlichen Aufbewahrungsorten von Daten innerhalb des Netzwerks sowie zum Internet, um ihre Arbeit zu verrichten zu können. Diese gesamte Gruppe einschließlich ihrer vielen Geräte stellen die Nutzer des Netzwerks dar. Sicherheitsexperten von Palo Alto Networks raten hierbei zu einer lückenlosen Kontrolle, welche Personen und Geräte auf das Netzwerk zugreifen.

»Für das Risikomanagement eines Unternehmens ist es entscheidend, identifizieren zu können, welche Nutzer im Netzwerk aktiv sind – über die IP-Adresse hinaus. Zudem gilt es die Risiken zu kennen, die vom jeweils verwendeten Gerät ausgehen«, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. »Dies gilt vor allem, wenn Sicherheitsrichtlinien umgangen wurden oder neue Bedrohungen bereits den Weg ins Netzwerk gefunden haben.«

In den USA kam es unlängst zu schweren Sicherheitsvorfällen, von denen auch Unternehmen in Deutschland lernen können, um sich besser zu schützen. Eine Next-Generation-Firewall bietet zwar bereits ein hohes Sicherheitsniveau, doch wer von dieser Investition vollends profitieren will, muss auch eine benutzerbasierte Überwachung implementieren.

Beispiel 1: Datenpanne bei einem großen Einzelhändler

Die Datenschutzverletzung begann damit, dass Angreifer die Login-Daten eines Drittanbieter-Herstellers stahlen. Dies ermöglichte ihnen, sich Zugang zur Drittanbieter-Umgebung zu verschaffen und eine Windows-Schwachstelle auszunutzen. Da der Hersteller die erforderlichen Privilegien hatte, um auf das Firmennetzwerk zugreifen zu können, erhielten die Angreifer ebenfalls darauf Zugriff. Die Angreifer waren somit in der Lage, Memory-Scraping-Malware auf mehr als 7.500 Kassenterminals zu installieren. Mit dieser Malware gelang es, in großem Stil 56 Millionen Kreditkartennummern abzugreifen sowie 53 Millionen E-Mail-Adressen zu erfassen.

Im SANS Institute Reading Room für InfoSec ist ein Bericht über diesen Vorfall veröffentlicht. Darin werden mehrere Möglichkeiten erwähnt, wie diese Sicherheitsverletzung hätte verhindert werden können. Eine der wichtigsten ist, die richtigen Zugriffskontrollen im Einsatz zu haben.

So heißt es in dem Bericht:

  • Eine Identity- und Access-Management-Lösung sollte die Identität und den Zugang aller internen und externen Mitarbeiter (Drittanbieter) verwalten.
  • Jeder externe Mitarbeiter sollte seinen eigenen Account haben, so dass die Verantwortlichkeit zurückverfolgt werden kann.
  • Verfahren zur Benutzerkontoüberprüfung sollten auch für Drittanbieter-Konten vorhanden sein. Die Überprüfung dieser Drittanbieter ist von entscheidender Bedeutung. Dadurch wird die Erkennung von ungewöhnlichem Verhalten ermöglicht.
  • Durch die Verwaltung und Überwachung der Drittanbieter-Konten kann ein Missbrauch von Drittanbieter-Anmeldeinformationen erkannt werden.

Beispiel 2: Datenpanne bei einem großen Bank- und Finanzdienstleister

Diese Datenschutzverletzung nahm ihren Anfang, indem die Angreifer den PC eines Mitarbeiters infizierten. Die Malware stahl die Anmeldedaten des Mitarbeiters. Immer wenn der Mitarbeiter VPN verwendete, um sich mit dem Firmennetzwerk zu verbinden, konnten die Angreifer auf mehr als 90 Unternehmensserver zugreifen. Die Angreifer stahlen vertrauliche Informationen von 76 Millionen Haushalten und sieben Millionen kleinen Unternehmen.

Im Bericht zu diesem Vorfall im SANS Institute Reading Room wird die Notwendigkeit erwähnt, Benutzerrechte zu verwalten. Diese sei eine der wichtigsten Möglichkeiten, um sich das Risiko einer Sicherheitsverletzung oder Schäden bei einem Vorfall zu minimieren.

So heißt es darin:

  • »Least Privilege« bedeutet, jemand die geringste Menge an Zugriffsrechten zu geben, damit er seine Arbeit ausführen kann. Wäre dieses Prinzip angewandt worden, wäre in diesem Fall die Menge der gestohlenen Daten um 86 Prozent niedriger gewesen.
  • Der anonyme Zugriff muss deaktiviert werden, da viele Windows-Schwachstellen von »Null-User-Sessions« verursacht werden. Eine Null-User-Session ist im Wesentlichen eine Server Message Block (SMB)-Session mit leerem Benutzernamen und Passwort.

Was dies für die Sicherheitspraxis bedeutet

Wie lässt sich also sicherstellen, dass ein Unternehmen nicht wegen einer massiven Datenpanne in die Schlagzeilen gerät? Wie beschrieben, empfehlen sich auf jeden Fall benutzerbasierte Kontrollen und die Beschränkung des Benutzerzugriffs nach dem Least-Privilege-Prinzip, wie auch in den Berichten des SANS Institute aufgeführt. Mechanismen für die Überwachung des Benutzerzugriffs sollten nicht nur an den Endpunkten und auf den Anwendungen eingesetzt werden, sondern auch auf der Next-Generation-Firewall.


Umfrage bestätigt: Aufklärungsarbeit für mehr Cybersicherheit zeigt Wirkung

Angriffsmuster zielgerichteter Attacken analysieren und abwehren

Cybersicherheit und Geschäftserfolg in Einklang bringen

Penetrationstests decken IT-Sicherheitslücken rechtzeitig auf

Zwei-Faktor-Authentifizierung bei SaaS-Lösungen – Security first

Cyberkriminalität effektiver bekämpfen

IAM als Schlüssel für die digitale Transformation

Sicherheitsaudit: Identity und Access Management (IAM) im Selbsttest

Wie man sicherstellt, dass ein IAM-Projekt erfolgreich ist

Das Internet der Dinge und IAM

Schreiben Sie einen Kommentar