Es ist nur menschlich, sich auf externe Bedrohungen für das eigene Wohlbefinden zu konzentrieren. Dies gilt häufig auch für Unternehmen und ihre Sicherheitsansätze. Deshalb wird in der Regel so viel Energie in die Sicherheit der Außenbereiche gesteckt. Dieser Ansatz steht jedoch im Gegensatz zur Zero-Trust-Methode: Unternehmen müssen den Datenverkehr von innen nach außen und von innen nach außen genauso im Auge behalten wie den Datenverkehr, der nach innen gelangt.
Die Aufgabe des Sidekick MDR-Teams besteht darin, auf allen drei Ebenen nach Bedrohungen zu suchen. Die Auswirkungen auf den Ruf eines Unternehmens, das als Quelle bösartiger Aktivitäten ertappt wird, sind genauso schlimm wie die, das Ziel zu sein. Unternehmen können schnell auf schwarze Listen gesetzt werden, die die Kommunikation blockieren und damit die Geschäftsabwicklung behindern. Und wenn der Angriff erfolgreich ist, kann es sein, dass sie rechtlich haftbar gemacht werden oder technische Vergeltungsmaßnahmen ergreifen müssen. In solchen Situationen ist eine schnelle Reaktion erforderlich.
Wie externe Ereignisse zu Insider-Bedrohungen werden
Kürzlich entdeckte das Team von Vectra Sidekick MDR internen Datenverkehr, der zu einer solchen Feststellung führte. Ein Mitarbeiter eines Dienstleistungsunternehmens - nennen wir es Acme Inc. - hat es auf sich genommen, Acme in den Russland/Ukraine-Konflikt zu verwickeln. Der Mitarbeiter nutzte die Infrastruktur von Acme, um einen Denial-of-Service-Angriff (DoS) gegen weißrussische und russische Organisationen durchzuführen. Die Ziele des Angriffs waren ein Finanzdienstleistungsunternehmen und ein Versand- und Logistikunternehmen. Das Sidekick-Team entdeckte diese Aktivität und benachrichtigte Acme, das den ausgehenden Angriff umgehend beendete.
Viele weisen schnell darauf hin, dass das menschliche Element das schwächste Glied in der Sicherheitskette ist, aber sie versäumen es, die Dinge aus der Perspektive zu sehen, dass Menschen auch das stärkste Werkzeug sind, das ihnen (oder ihren Gegnern) zur Verfügung steht. In diesem Fall hätte ein einziger abtrünniger Benutzer einen sehr großen Einfluss haben können. Bei solchen Konflikten haben die Mitarbeiter wahrscheinlich sehr starke Emotionen. Und aufgrund dieser Emotionen können ihre Handlungen stärker sein als die Unternehmensrichtlinien oder bestehenden Sicherheitsmaßnahmen.
Schon vor dem jüngsten Konflikt stellte Sidekick MDR mehrere Fälle fest, in denen Benutzer (manchmal sogar Administratoren) Kryptomineralisierungsprogramme auf Unternehmensressourcen installierten. Dies ist typischerweise an Universitäten und in Laborumgebungen mit gemeinsam genutzten und offenen Rechnern zu beobachten. Finanzielle Motive und die Vorstellung, nur kostenlose Ressourcen nutzen zu können, veranlassten die Benutzer zum Missbrauch dieser Ressourcen. Was werden die Nutzer also tun, wenn sie sich tatsächlich moralisch verpflichtet fühlen und Zugang zu "freien Ressourcen" haben?
Informieren Sie sich über Ihr Netzwerk und beachten Sie die Grundregeln
Wir brauchen ein ganzheitliches Verständnis und einen Ansatz für eine angemessene Bedrohungsabwehr. Nachrichtenberichte, High-Fidelity-Bedrohungsfeeds und Blog-Posts sind immer noch der beste Weg, um sich über externe Bedrohungen zu informieren. Aber genau wie unüberwachtes Lernen erforderlich ist, um Einzelheiten über Ihr Netzwerk zu erfahren, können diese Nachrichtenquellen Ihnen nicht sagen, wie Einzelpersonen reagieren werden.
Die Befolgung grundlegender Schritte, wie sie vom CISA skizziert werden, kann einen großen Beitrag zum Schutz von Organisationen vor Cyberangriffen leisten. Wir dürfen jedoch nicht vergessen, dass nicht alle Bedrohungen von außen kommen und dass Bedrohungen, die von innerhalb Ihrer Umgebung ausgehen, immer noch sehr real sind. Es ist allzu leicht, sich in Zeiten wie diesen ausschließlich auf externe Bedrohungen zu konzentrieren und die großen DDoS-Kampagnen als etwas zu betrachten, das nur anderen Menschen passiert. Aber die Netzwerke, die wir schützen, können - gewollt oder ungewollt - zum Werkzeug einer solchen Kampagne werden. Die Sicherstellung einer zuverlässigen Überwachung, um die bestmögliche Abdeckung zu gewährleisten, ist von größter Bedeutung.