Laut einer Umfrage von Forrester Research im Jahr 2019 gaben 52 % der Entscheidungsträger für Netzwerksicherheit in Unternehmen an, dass in ihren Unternehmen in den letzten 12 Monaten mindestens eine Verletzung sensibler Daten stattgefunden hat. Und fast die Hälfte der Verletzungen sensibler Daten ging auf das Konto interner Akteure, entweder durch schlechte Entscheidungen oder böswillige Absicht. Sicherheitsteams bereiten sich in der Regel auf Insider-Bedrohungen vor, indem sie den Zugriff überwachen und prüfen, in der Hoffnung, dass sie, wenn die proaktive Erkennung fehlschlägt, zumindest in der Lage sind, eine forensische Analyse durchzuführen, wenn ein Vorfall eintritt.
Offensichtlich verschafft dieser Ansatz den Sicherheitsteams selten die nötige Vorlaufzeit, um den Schaden abzuwenden, bevor er entsteht. Der heilige Gral der Resilienz gegen Insider-Bedrohungen besteht in der Fähigkeit, eine Bedrohung zu erkennen, noch bevor sie auftritt, was sowohl durch private Investitionen als auch durch die Forschung der US-Regierung belegt wird. Aber die Pathologie eines böswilligen Insiders ist sehr komplex. Ein Insider trifft in der Regel Vorkehrungen, um sich der Entdeckung zu entziehen. Wie also könnte eine Softwarelösung zuverlässig erkennen, was eine Bedrohung darstellt und was nicht?
Jüngste technologische Fortschritte haben erhebliche Fortschritte bei der Vorhersage oder Antizipation dessen gezeigt, was bisher als unlösbar galt - menschliche Vorlieben, Neigungen und vielleicht sogar Verhalten. Systeme wie Alexa, Siri und Cortana scheinen sogar regelmäßig die Bedürfnisse des Nutzers zu antizipieren, bevor dieser sie überhaupt geäußert hat.
Viele, viele Daten
Hinter den scheinbaren Verhaltensvorhersagen verbergen sich riesige Datenmengen und die kritische Masse an Rechenressourcen, die für die Verarbeitung dieser Daten erforderlich sind. Andere ähnliche Beispiele sind Spracherkennung und Bildanalyse. Im Kern handelt es sich dabei um Anwendungen aus dem Bereich der Datenwissenschaft. Es zeigt sich, dass die Datenwissenschaft auf mindestens drei der folgenden Arten auf Insider-Bedrohungen angewendet werden kann:
Der erste Ansatz besteht darin, die bekannten Verhaltensweisen zu lernen, die auf eine Insider-Bedrohung hinweisen. Dazu gehören beispielsweise das Hochladen von Daten auf ein Dropbox-Konto, die intensive Nutzung von USB-Sticks oder die Übertragung von Daten von sensiblen Standorten oder in großen Mengen. Diese Indikatoren sind spezifisch genug, um einen laufenden Angriff zu erkennen, beschränken sich aber auf diejenigen, die im Voraus bekannt sind.
Ein zweiter Ansatz konzentriert sich auf Anomalien im beobachteten Verhalten, d. h. auf Fälle, in denen eine merkliche Abweichung vom Standard, vom Normalen oder vom Erwarteten vorliegt. Da Insider-Bedrohungen mit Verhaltensänderungen bei einer Person einhergehen, kann dieser Ansatz sogar frühe Stadien einer Bedrohung aufdecken. Leider ist die Zahl der Fehlalarme bei diesem Ansatz enorm hoch. Unbedenkliche Verhaltensänderungen - wie z. B. ein Wechsel der Funktion oder des Teams, die Rückkehr an den Arbeitsplatz nach einem Urlaub oder einfach ein freier Tag - können eine große Anzahl von Anomalien auslösen. Daher sind Anomalien selbst in mäßig komplexen Umgebungen oft eher als Spätindikatoren zur Unterstützung einer Untersuchung nützlich und nicht als Frühindikatoren zur Vorhersage von Verhalten.
Der dritte und fortschrittlichere Ansatz generiert aus den Ergebnissen des ersten und zweiten Ansatzes Erzählungen: Die Kombination bekannter Indikatoren als starkes Signal mit angemessen gewichteten Inputs aus dem schwächeren, geräuschintensiveren anomaliebasierten Ansatz. Dieser Ansatz bietet Stabilität durch die bekannten Indikatoren, die durch das Fachwissen des Bereichs zur Verfügung stehen, und nutzt gleichzeitig die volle Leistung der massiven Datensätze, die die anomaliebasierten Ansätze antreiben. In der Praxis ist dies zwar eine Herausforderung, und der spezifische Mechanismus zum Ausgleich dieser beiden Ansätze wird sich im Laufe der Zeit weiterentwickeln, doch Tatsache ist, dass dieser Ansatz weiterhin vielversprechend ist und Fortschritte in Richtung wirklich intelligenter Maschinen macht. Die Zukunft ist rosig, es sei denn, Sie sind eine Insider-Bedrohung!
Es ist der Monat der Sensibilisierung für Insider-Bedrohungen. Wenn Sie erfahren möchten, wie Vectra helfen kann, können Sie eine Demo vereinbaren.