Warum herkömmliche Bedrohungsprävention bei Insider-Bedrohungen nicht ausreicht – DATAVERSITY

Sicherheitsteams können sich so darauf konzentrieren, Cyberangriffe von externen Akteuren zu blockieren, dass sie die potenziellen Bedrohungen innerhalb ihrer Organisationen vergessen. Verizon Berichte dass Insider-Bedrohungen fast 20 % aller Verstöße verursachen. 

Insider-Bedrohungen lassen sich mit herkömmlichen Maßnahmen zur Bedrohungsprävention nur schwer abwehren, da Insider von Natur aus ein erhöhtes Vertrauen und Zugang benötigen, um ihre Arbeit erledigen zu können. Infolgedessen bleiben böswillige Insider-Angriffe bestehen bleiben im Jahr 216 durchschnittlich 2022 Tage unentdeckt, mit einer durchschnittlichen Eindämmungszeit von 68 Tagen, laut dem IBM Cost of Data Breach-Bericht. Insider-Bedrohungen sind jedoch nicht nur böswillig; Es kann sich auch um versehentliche menschliche Fehler handeln. Selbst in diesem Fall benötigen Unternehmen 189 Tage, um den Fehler zu erkennen.

Je länger der Vorfall – ob vorsätzlich oder fahrlässig – unentdeckt bleibt, desto höher sind die Kosten für das Unternehmen. Aus dem oben erwähnten IBM-Bericht geht hervor, dass die durchschnittlichen Kosten einer durch einen böswilligen Insider verursachten Datenschutzverletzung 4.18 Millionen US-Dollar betragen, während die entsprechenden Kosten für einen versehentlichen Datenverlust 3.94 Millionen US-Dollar betragen.

Organisationen jeder Art und Größe sind anfällig für Insider-Bedrohungen – von kleinen Familienunternehmen bis hin zu Fortune-100-Unternehmen, Kommunal- und Landesregierungen und öffentlicher Infrastruktur bis hin zu großen Bundesministerien und -behörden. Trotz der Herausforderungen können sich Unternehmen wirksam gegen Insider-Bedrohungen verteidigen, indem sie in die richtige Kombination aus Richtlinien, Schulungen, Systemen und Aufsicht investieren.

Definieren wir Insider-Bedrohungen

Insider-Bedrohungen bestehen, weil Organisationen Einzelpersonen Vertrauen und Zugang gewähren. Unternehmen verlassen sich bei der Ausführung jeder Geschäftsfunktion – von der grundlegendsten bis zur sensibelsten – auf Insider.

NIST definiert Eine Insider-Bedrohung ist die Möglichkeit für einen Insider, seinen autorisierten Zugriff oder sein Wissen über eine Organisation zu nutzen, um dieser Organisation Schaden zuzufügen. Dieser Schaden kann böswillige, fahrlässige oder versehentliche Handlungen umfassen, die sich auf die Vertraulichkeit, Integrität und Verfügbarkeit der Organisation, ihrer Daten, ihres Personals, ihrer Einrichtungen und Vermögenswerte auswirken.

Obwohl die grundsätzliche Disposition einer Insider-Bedrohung für viele Organisationen ähnlich sein mag, kann die Ausprägung der Gefahr sehr unterschiedlich sein, abhängig von der Art der Organisation, der Branche, den angebotenen Produkten und Dienstleistungen und den Vermögenswerten, die Organisationen schützen sollten vor Verlust, Beeinträchtigung, Beschädigung oder Diebstahl.

Im Großen und Ganzen entstehen Insider-Bedrohungen im Wesentlichen aus zwei Arten von Aktivitäten: unbeabsichtigt und absichtlich. Unbeabsichtigte Handlungen können weiter in fahrlässige und zufällige Handlungen unterteilt werden. Ein fahrlässiger Insider kann eine Organisation durch seine Nachlässigkeit einer Bedrohung aussetzen, während ein zufälliger Insider einen Fehler begeht, der ein unbeabsichtigtes Risiko für eine Organisation darstellt.

Andererseits können vorsätzliche oder böswillige Insider absichtlich Maßnahmen ergreifen, die einer Organisation schaden, zum persönlichen Vorteil oder um auf persönliche Beschwerden zu reagieren. Einige absichtliche Insider werden durch Unzufriedenheit motiviert, die mit Groll, Ehrgeiz oder finanziellem Druck zusammenhängt. Andere wünschen sich möglicherweise Anerkennung und erregen Aufmerksamkeit, indem sie Gefahren erzeugen oder vertrauliche Informationen preisgeben. Sie denken möglicherweise sogar, dass sie für das Gemeinwohl handeln.

Die möglichen Folgen eines Insidervorfalls sind unterschiedlich und können finanzielle Verluste, Verlust der Privatsphäre, unbefugte Offenlegung, Beschädigung und Unterbrechung der Dienste sowie Datendiebstahl. 

Verlassen Sie sich nicht auf traditionelle Bedrohungsprävention

Insider-Bedrohungen können schwieriger zu erkennen oder zu verhindern sein als Angriffe von außen. Sie sind für herkömmliche Bedrohungspräventionslösungen, die sich hauptsächlich auf externe Bedrohungen konzentrieren, unsichtbar. Wenn ein Insider eine autorisierte Anmeldung ausnutzt, können die Sicherheitsmechanismen das abnormale Verhalten möglicherweise nicht erkennen. Darüber hinaus können böswillige Insider unentdeckt bleiben, wenn sie über die Sicherheitsmaßnahmen einer Organisation Bescheid wissen.

Neben der Komplexität der Identifizierung einer Insider-Bedrohung innerhalb des Unternehmens erschweren neue Technologien und Arbeitstrends die Erkennung und Verhinderung von Insider-Angriffen. Die Verbreitung von BYOD, die Verbreitung von SaaS-Tools und -Anwendungen sowie die Datenmigration in die Cloud haben den Unternehmensradius verschleiert. Die Vielfalt, Breite und Streuung der Zugangspunkte erschweren es Unternehmen, die Sicherheitsumgebung zu kontrollieren, und bieten böswilligen Insidern den Vorteil, ihre Spuren zu verbergen.

Investieren Sie in ein Programm zur Eindämmung von Insider-Bedrohungen

Trotz der erheblichen Kosten, die mit einem Insider-Vorfall einhergehen, und eines starken Wertversprechens für die Bewältigung dieser Bedrohung verfügen viele Unternehmen über kein formelles Insider-Bedrohungsprogramm. Über die finanziellen Auswirkungen eines Insidervorfalls hinaus muss sich jede Organisation um ihre Mitglieder kümmern. Organisationen sind dafür verantwortlich, dass ihre Mitarbeiter und Partner sicher sind.

Die Kosten für die Verwaltung und Wiederherstellung nach einem Insider-Vorfall sind deutlich höher als für die Einrichtung und Aufrechterhaltung eines Insider-Bedrohungsprogramms. Organisationen, die ein Programm zur Abwehr von Insider-Bedrohungen erstellen oder verbessern, werden einen Return on Investment (ROI) erzielen, sowohl immateriell als auch materiell, einschließlich:

• Positive Sicherheitskultur
• Gesteigerte Kultur der gemeinsamen Verantwortung
• Frühzeitige Erkennung von Bedrohungen
• Reduzierte Zeit zum Erkennen von Bedrohungen
• Schutz der Unternehmensmarke und des Rufs

Effektive Programme zur Eindämmung von Insider-Bedrohungen nutzen Tools „die Unternehmen bei der Erkennung helfen, untersuchen und reagieren auf Insider-Bedrohungen ihrer Daten. Diese Praktiken und Methoden begrenzen die Auswirkungen des Schadens, den ein Insider anrichten kann, unabhängig davon, ob die Handlung böswillig oder unbeabsichtigt ist.

CISA hat eine veröffentlicht Guide um Unternehmen beim Aufbau eines Programms zur Eindämmung von Insider-Bedrohungen zu unterstützen. Nach Angaben der Agentur sollte ein wirksames Programm in der Lage sein, ungewöhnliche Handlungen zu erkennen und zu identifizieren, Bedrohungen zur Bestimmung des Geschäftsrisikos zu bewerten und Lösungen zur Bewältigung und Abschwächung der potenziellen Auswirkungen eines Insider-Vorfalls zu implementieren.

Ein ganzheitliches Programm zur Eindämmung von Insider-Bedrohungen kombiniert physische Sicherheit, Personalsicherheit und informationszentrierte Prinzipien. Seine Ziele bestehen darin, die Insider-Interaktion innerhalb einer Organisation zu verstehen, sie angemessen zu überwachen und einzugreifen, um sie zu bewältigen, wenn sie eine Bedrohung für die Organisation darstellt.

Erfolgreiche Programme zur Abwehr von Insider-Bedrohungen basieren auf drei Grundprinzipien, die für Unternehmen aller Größen und Reifegrade gelten:

1. Fördern Sie eine schützende und unterstützende Kultur.
2. Schützen Sie organisatorische Wertgegenstände und schützen Sie gleichzeitig Privatsphäre, Menschenrechte und Freiheiten.
3. Bleiben Sie anpassungsfähig, wenn sich die Organisation weiterentwickelt und sich die Risikoumgebung ändert.

Auf der Technologie-Stack-Ebene gibt es viele Tools, die Unternehmen nutzen können, darunter Data Loss Prevention (DLP), User Behavior Analytics (UBA), Privileged Access Management (PAM), Zugriffskontrollsysteme, SIEM und andere. Ein formelles Schulungs- und Sensibilisierungsprogramm muss all dies ergänzen. Das Schulungsprogramm muss alle Mitarbeiter einbeziehen, da hochsensibles und ausreichend geschultes Personal für die Früherkennung und Prävention einer Insider-Bedrohung von entscheidender Bedeutung ist, da es als Sensoren fungieren kann, die anomale oder unbefugte Aktivitäten oder bedenkliches Verhalten melden können.

Die Folgen eines Insider-Vorfalls können sich auf eine Organisation und Gemeinschaft auswirken und verheerende Folgen sowie langfristige negative Auswirkungen haben. Bereitschaft ist eine gemeinsame, unternehmensweite Verpflichtung. Als Einzelpersonen kommt uns allen die Aufgabe zu, Insider-Bedrohungen zu erkennen und entsprechende Verhaltensweisen zu melden.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoAiStream. Web3-Datenintelligenz. Wissen verstärkt. Hier zugreifen.
• Die Zukunft prägen mit Adryenn Ashley. Hier zugreifen.
• Kaufen und verkaufen Sie Anteile an PRE-IPO-Unternehmen mit PREIPO®. Hier zugreifen.
• Quelle: https://www.dataversity.net/why-traditional-threat-prevention-is-insufficient-for-insider-threats/