Insider-Bedrohung vs. Insider-Risiko - Was versuchen Sie zu lösen?

Worte sind wichtig - besonders in der Buzzword-Utopie des Informationssicherheitsmarketings. Fügen wir der immer länger werdenden Liste einen weiteren Begriff hinzu: Insiderrisiko. Obwohl Insider-Risiko und Insider-Bedrohung oft als Synonym betrachtet werden, gibt es in Wirklichkeit einen Unterschied. Und der Unterschied liegt genau in dem Problem, das Sie zu lösen versuchen. Hier ist meine Meinung dazu.

Insider-Bedrohung ist ein "Benutzerproblem"

Die wahrscheinlich am meisten beachtete Definition wurde vom CERT Insider Threat Center von Carnegie Mellon verfasst (und 2017 aktualisiert):

"Insider-Bedrohung - die Möglichkeit, dass eine Person, die autorisierten Zugang zu den Vermögenswerten einer Organisation hat oder hatte, ihren Zugang entweder böswillig oder unabsichtlich nutzt, um auf eine Weise zu handeln, die sich negativ auf die Organisation auswirken könnte."

Laut CERT dreht sich bei der Insider-Bedrohung alles um das Individuum, die Person, den Angestellten, den Benutzer. Jede mögliche Benutzeraktion, die einem Unternehmen Schaden zufügen könnte, ist abgedeckt. Dazu gehören Betrug, IP-Diebstahl, Sabotage, Spionage, Gewalt am Arbeitsplatz, Social Engineering, versehentliche Offenlegung und versehentlicher Verlust oder Entsorgung von Geräten oder Dokumenten. 

Angesichts dieser weithin akzeptierten nutzerzentrierten Definition greifen Sicherheitseinkäufer häufig auf nutzerzentrierte Tools zurück - wie User Behaviour Analytics (UBA), User and Entity Behaviour Analytics (UEBA) oder User Activity Monitoring (UAM). Tools wie diese sammeln und analysieren Berge von Metadaten zu Benutzeraktivitäten, die in ein SIEM gepumpt, mit anderen Daten korreliert und durch ein SOAR automatisiert werden. Voila - Ihr Problem der Insider-Bedrohung ist gelöst. 

Wenn es nur so einfach wäre. Die Wahrheit ist, dass Tools zur Überwachung des Benutzerverhaltens nur ein Teil des Puzzles sind. Wenn Sie sich ausschließlich auf UBA-, UEBA- oder UAM-Tools verlassen, können Sie nicht erkennen, wer eine echte Bedrohung darstellt. 

Insider-Risiko ist ein "Datenproblem"

Das Insiderrisiko ist ein anderes Spiel. Wenn es darum geht, Insider-Risiken zu managen oder abzuschwächen, verlagert sich der Schwerpunkt von der ausschließlichen Konzentration auf den Benutzer hin zu einem breiteren, ganzheitlichen Ansatz zum Verständnis von Datenrisiken. Meines Wissens hat kein Standardisierungsgremium (es sei denn, Sie halten Microsoft für ein "Standardisierungsgremium") das Insiderrisiko definiert. Also haben wir eine (kurze und knappe) Definition erstellt:

"Ein Insider-Risiko entsteht, wenn die Offenlegung von Daten das Wohl eines Unternehmens und seiner Mitarbeiter, Kunden oder Partner gefährdet."

Die Schlüsselwörter sind "Datenexposition". Insider-Bedrohungen sind ein Benutzerproblem. Das Insiderrisiko ist ein Datenproblem. Bei Code42 lösen wir beide Probleme, aber unser Ansatz konzentriert sich auf die Risiken der Datenexposition. Die Konsole unseres Produkts heißt "Risk Exposure Dashboard" und unser jährlicher Forschungsbericht trägt den Titel "Data Exposure Report". Der grundlegende Unterschied zwischen benutzerzentrierten Tools für Insider-Bedrohungen (UBA, UEBA, UAM) und einer Lösung für Insider-Risiken wie der unseren besteht darin, dass sie einen richtlinienbasierten Ansatz verfolgen, während wir einen rechenbasierten Ansatz verfolgen. Unser Ansatz berücksichtigt alle Seiten der Gleichung:

Datei + Vektor + Benutzer = Risiko

• Wir sehen uns alle Daten an (nicht nur klassifizierte Daten)
• Wir berücksichtigen die Details der Vektoren (Endpunkt, Cloud, E-Mail, vertrauenswürdige vs. nicht vertrauenswürdige Domänen, Unternehmen vs. Privatpersonen)
• Wir berücksichtigen jeden Benutzer (nicht nur Benutzer mit aktuellem oder früherem privilegiertem Zugriff)

Wenn alle drei Variablen der Gleichung berücksichtigt werden, erhalten Sie ein Insider-Risikosignal, das - ich wage es zu sagen - real ist. Hier ist ein Beispiel: 

Die Indikatoren für Insider-Risiken, die sich aus der Offenlegung von Daten ergeben, sind stärker, wenn man die Daten, den Vektor und die Benutzerdateiaktivitäten (Bedrohungskontext) berücksichtigt. Es gibt Dutzende von Anwendungsfällen für Insider-Risiken wie den obigen, die völlig unter dem Radar der meisten Sicherheitstools fliegen. Daher ist es wichtig, das Insider-Risiko ganzheitlich anzugehen:

• Das Tool überwacht in der Regel beschriftete oder getaggte Daten (z.B. DLP)
• Das Tool beobachtet in der Regel bestimmte Vektoren (z.B. CASB)
• Das Tool überwacht in der Regel die Nutzung von Mitarbeiteranwendungen im Netzwerk (z.B. UBA, UAM)

Nun könnten Sie Ihre DLP-Lösungen für Endgeräte und E-Mail, Ihre CASB, UBA für Benutzer, Netzwerkprotokolle, Identitäts- und Zugriffsmanagementprotokolle usw. in Ihr SIEM einbeziehen, alle Arten von richtlinienbasierten Korrelationen und Abfragen durchführen und sagen, dass Sie abgedeckt sind. Dieser regelbasierte Ansatz ist für große, hochentwickelte und ausgereifte Sicherheitsteams konzipiert - und selbst die hochentwickelten Sicherheitsteams haben wenig Zeit und sind frustriert von all dem Lärm und der Komplexität, die mit der Wartung solcher Systeme verbunden sind. Und wenn alles gesagt und getan ist, funktionieren die Systeme dann überhaupt? Es gibt zahllose Beispiele dafür, dass sie es nicht sind. 

Insider-Bedrohung oder Insider-Risiko? Es geht darum, sich für einen politischen Ansatz zu entscheiden, der auf menschlicher Voraussicht beruht, oder für einen mathematischen Ansatz, der auf Datenexposition basiert. Wenn es darum geht, das Insider-Risiko zu ermitteln, folgen Sie einer einfachen Formel und rechnen Sie nach. Denn am Ende des Tages gewinnt die Mathematik - im Gegensatz zum Raten - immer.