Interne Cyber-Bedrohungen - Schutz vor dem inneren Feind

Im Allgemeinen widmen Unternehmen den Großteil ihrer präventiv ausgerichteten E-Mail-Sicherheitskontrollen eingehenden Sicherheitsbedrohungen, im Gegensatz zu intern-zu-intern oder ausgehenden Bedrohungen. Sie konzentrieren sich in erster Linie auf Bedrohungen, die von externen Bedrohungsakteuren ausgehen, und nicht auf solche, die von Mitarbeitern ausgehen.

Verizon scheint in seinem 2018 Data Breach Investigation Report diese Investitionsstrategie zu unterstützen, indem es immer wieder berichtet, dass mehr als 60 % der Verstöße von externen Akteuren begangen werden, während interne Akteure "nur" die Ursache für etwa 30 % der Verstöße sind.

Ist es daher sinnvoll, sich in erster Linie auf die Verteidigung gegen den externen Bedrohungsakteur zu konzentrieren? Ja. Aber was ist, wenn diese externen Akteure eindringen oder sich bereits im Inneren befinden? Das heißt, die erste Präventionsschicht hat ihr Eindringen nicht verhindert?

In dem kürzlich veröffentlichten Bericht von Mimecast, The State of Email Security , wurde festgestellt, dass 61 % der Unternehmen von einem Angriff betroffen waren, bei dem bösartige Aktivitäten von einem infizierten Benutzer per E-Mail an andere Mitarbeiter verbreitet wurden.

Wie können die Berichte von Verizon und Mimecast beide wahr sein? Die Realität ist, dass aufgrund der Natur des Internets und der in der Cloud bereitgestellten Anwendungen die Begriffe "externe" und "interne" Nutzer als nahezu bedeutungslos angesehen werden sollten.

Die Wahrheit über Insider-Bedrohungen

In Wirklichkeit besteht eines der Hauptziele der meisten externen Angreifer darin, sich so schnell wie möglich von Außenseitern zu "Insidern" zu machen und sich intern zu verbreiten, bevor Sie merken, dass sie da sind. Dies geschieht in erster Linie durch Spear-Phishing und den Diebstahl der Anmeldedaten eines ahnungslosen Benutzers oder durch das Einschleusen von Remote Access Trojanern (RATs) , Keyloggern , oder ähnlicher Malware auf den Computer des Ziels. Sobald sie dies geschafft haben, ist ihr nächster Schritt meist die interne Verbreitung.

Sie tun dies, um ihrem eigentlichen Ziel, den Daten, dem Opfer oder dem System, näher zu kommen und sich viele unabhängige Zugänge zu Ihrem Unternehmen zu verschaffen. Auf diese Weise verfügen sie über Backups, falls einer der anderen Zugangspunkte schließlich gefunden und entfernt wird.

Der Mimecast-Bericht ergab außerdem, dass fast 50 % der Unternehmen die Erfahrung gemacht haben, dass sich bösartige Aktivitäten intern über infizierte E-Mail-Anhänge verbreitet haben, während mehr als ein Viertel der Befragten berichtete, dass die Verbreitung auf bösartige URLs zurückzuführen ist, die in interne E-Mails eingebettet waren.

Daher ist es zwar sinnvoll, den Schwerpunkt auf den Schutz vor eingehenden Angriffen von externen Akteuren zu legen, aber es ist auch wichtig zu erkennen, dass es von entscheidender Bedeutung ist, mehrere Verteidigungsebenen gegen diese Arten von gezielten Angriffen zu haben.

Ein wirksames Sicherheitsprogramm wird präventive und detektivische Sicherheitskontrollen sowohl an den Türen und Fenstern der Organisation als auch in den internen Räumen und Fluren durchführen. Gehen Sie nicht davon aus, dass jeder Benutzer, der sich innerhalb des Unternehmens aufhält, nicht böswillig ist. Unternehmen müssen sich darüber im Klaren sein, dass Bedrohungsakteure eindringen werden, und daher müssen sie mehrschichtige Sicherheitskontrollen einsetzen, wobei sie davon ausgehen, dass sie bereits durchbrochen wurden.

Um mehr darüber zu erfahren, wie man E-Mail-Bedrohungen wie diese und andere bekämpfen kann, treffen Sie uns nächste Woche auf der Black Hat USA 2018 in Las Vegas. So geht's.