21. Juli 2016 Rudolf Felser/pi

Benutzerbasierte Überwachung im Netzwerk emfohlen

Die lückenlose Identifizierung der Nutzer und Geräte gilt unter Sicherheitsexperten als entscheidende Komponente einer Präventionsstrategie für die Netzwerksicherheit – wie zwei aktuelle Beispiele untermauern. [...]

Mitarbeiter, Kunden und Partner verbinden sich zu unterschiedlichen Aufbewahrungsorten von Daten innerhalb des Netzwerks sowie zum Internet, um ihre Arbeit zu verrichten zu können. Diese gesamte Gruppe einschließlich ihrer vielen Geräte stellen die Nutzer des Netzwerks dar. Sicherheitsexperten von Palo Alto Networks raten hierbei zu einer lückenlosen Kontrolle, welche Personen und Geräte auf das Netzwerk zugreifen.

„Für das Risikomanagement eines Unternehmens ist es entscheidend, identifizieren zu können, welche Nutzer im Netzwerk aktiv sind – über die IP-Adresse hinaus. Zudem gilt es die Risiken zu kennen, die vom jeweils verwendeten Gerät ausgehen“, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. „Dies gilt vor allem, wenn Sicherheitsrichtlinien umgangen wurden oder neue Bedrohungen bereits den Weg ins Netzwerk gefunden haben.“

In den USA kam es unlängst zu schweren Sicherheitsvorfällen, von denen auch Unternehmen hierzulande lernen können, um sich besser zu schützen. Eine Next-Generation-Firewall bietet zwar bereits ein hohes Sicherheitsniveau, doch wer von dieser Investition vollends profitieren will, muss laut Palo Alto Networks auch eine benutzerbasierte Überwachung implementieren.

BEISPIEL 1: DATENPANNE BEI EINZELHÄNDLER

Die Datenschutzverletzung begann damit, dass Angreifer die Login-Daten eines Drittanbieter-Herstellers stahlen. Dies ermöglichte ihnen, sich Zugang zur Drittanbieter-Umgebung zu verschaffen und eine Windows-Schwachstelle auszunutzen. Da der Hersteller die erforderlichen Privilegien hatte, um auf das Firmennetzwerk zugreifen zu können, erhielten die Angreifer ebenfalls darauf Zugriff. Die Angreifer waren somit in der Lage, Memory-Scraping-Malware auf mehr als 7.500 Kassenterminals zu installieren. Mit dieser Malware gelang es, in großem Stil 56 Millionen Kreditkartennummern abzugreifen sowie 53 Millionen E-Mail-Adressen zu erfassen.

Im SANS Institute Reading Room für InfoSec ist ein Bericht über diesen Vorfall veröffentlicht. Darin werden mehrere Möglichkeiten erwähnt, wie diese Sicherheitsverletzung hätte verhindert werden können. Eine der wichtigsten ist, die richtigen Zugriffskontrollen im Einsatz zu haben.

So heißt es in dem Bericht:

  • Eine Identity- und Access-Management-Lösung sollte die Identität und den Zugang aller internen und externen Mitarbeiter (Drittanbieter) verwalten.
  • Jeder externe Mitarbeiter sollte seinen eigenen Account haben, so dass die Verantwortlichkeit zurückverfolgt werden kann.
  • Verfahren zur Benutzerkontoüberprüfung sollten auch für Drittanbieter-Konten vorhanden sein. Die Überprüfung dieser Drittanbieter ist von entscheidender Bedeutung. Dadurch wird die Erkennung von ungewöhnlichem Verhalten ermöglicht.
  • Durch die Verwaltung und Überwachung der Drittanbieter-Konten kann ein Missbrauch von Drittanbieter-Anmeldeinformationen erkannt werden.

BEISPIEL 2: DATENPANNE BEI BANK- UND FINANZDIENSTLEISTER

Diese Datenschutzverletzung nahm ihren Anfang, indem die Angreifer den PC eines Mitarbeiters infizierten. Die Malware stahl die Anmeldedaten des Mitarbeiters. Immer wenn der Mitarbeiter VPN verwendete, um sich mit dem Firmennetzwerk zu verbinden, konnten die Angreifer auf mehr als 90 Unternehmensserver zugreifen. Die Angreifer stahlen vertrauliche Informationen von 76 Millionen Haushalten und sieben Millionen kleinen Unternehmen.

Im Bericht zu diesem Vorfall im SANS Institute Reading Room wird die Notwendigkeit erwähnt, Benutzerrechte zu verwalten. Diese sei eine der wichtigsten Möglichkeiten, um sich das Risiko einer Sicherheitsverletzung oder Schäden bei einem Vorfall zu minimieren.

So heißt es darin:

  • „Least Privilege“ bedeutet, jemand die geringste Menge an Zugriffsrechten zu geben, damit er seine Arbeit ausführen kann. Wäre dieses Prinzip angewandt worden, wäre in diesem Fall die Menge der gestohlenen Daten um 86 Prozent niedriger gewesen.
  • Der anonyme Zugriff muss deaktiviert werden, da viele Windows-Schwachstellen von „Null-User-Sessions“ verursacht werden. Eine Null-User-Session ist im Wesentlichen eine Server Message Block (SMB)-Session mit leerem Benutzernamen und Passwort.

Wie lässt sich also sicherstellen, dass ein Unternehmen nicht wegen einer massiven Datenpanne in die Schlagzeilen gerät? Palo Alto Networks empfiehlt auf jeden Fall benutzerbasierte Kontrollen und die Beschränkung des Benutzerzugriffs nach dem Least-Privilege-Prinzip einzuführen, wie auch in den Berichten des SANS Institute aufgeführt. Mechanismen für die Überwachung des Benutzerzugriffs sollten nicht nur an den Endpunkten und auf den Anwendungen eingesetzt werden, sondern auch auf der Next-Generation-Firewall, so das Unternehmen abschließend. (pi/rnf)


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

22. November 2024

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

21. November 2024 pi/kdl

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*