Insider-Bedrohungen nutzen zunehmend Exploits zur Privilegieneskalation

A Bericht In einer Ende 2023 veröffentlichten Studie wurde beschrieben, wie Insider zunehmend Exploits zur Privilegieneskalation nutzten, um unbefugte Aktionen in den Netzwerken ihrer Organisationen durchzuführen.

Dem Bericht von Crowdstrike zufolge nutzten 55 % der identifizierten Insider-Bedrohungen Exploits zur Rechteausweitung oder versuchten dies. In Fällen, in denen der Insider böswillig vorging, wurde beobachtet, dass er seine erhöhten Privilegien nutzte, um zusätzliche Kits wie Metasploit, Cobalt Strike und andere Tools zur Ausnutzung von Systemen zu verwenden.

Es ist erwähnenswert, dass sich die Forschung auf lokale Systeme konzentrierte und wahrscheinlich keine Daten umfasste, die durch den Missbrauch von Cloud-Anwendungen gesammelt wurden.

Wenn man ihren Bericht durchliest, entfällt die überwiegende Mehrheit der Zugriffe auf Windows- und Linux-Systeme. Dennoch sind dies innerhalb der gegebenen Parameter immer noch einige ziemlich wichtige Erkenntnisse, die es für Sicherheitsteams im Jahr 2024 zu beachten gilt. Dies könnte darauf hindeuten, dass Insider-Bedrohungen neue innovative Wege finden, um Kernsysteme anzugreifen und gleichzeitig wichtige Kontrollen zu umgehen.

Warum ist die Eskalation von Privilegien wichtig?

Wenn wir unsere Arbeit richtig machen, führen wir Kontrollen ein, die definieren, was unsere Mitarbeiter tun können und auf welche Systeme oder Vermögenswerte sie zugreifen können. Wenn wir einen Schritt tiefer gehen, können wir nicht nur steuern, worauf zugegriffen werden kann, sondern auch, was jemand mit diesem Asset tun kann.

Können sie ein Asset lesen, schreiben, bearbeiten oder löschen? Können sie Privilegien für sich selbst oder andere ändern? Der Kaninchenbau an Privilegien kann sich ziemlich weit ausbreiten, aber er kann für Ihre Datensicherheit wirklich wichtig sein.

Im Idealfall verfügt jeder Benutzer über genau das Mindestmaß an Zugriffsrechten und Berechtigungen, das er für seine Arbeit benötigt. Dies ist als Prinzip der geringsten Privilegien bekannt. Es ist fast unmöglich, perfekt darin zu sein, dies genau richtig zu machen, aber es ist das Ziel, das man anstreben muss.

Schwierig wird es, wenn ein Benutzer Möglichkeiten findet, seine Berechtigungen gegenüber den ihm gewährten Berechtigungen zu erweitern.

Wenn sie erfolgreich sind, dann haben sie die definierten Grenzen dessen, was sie mit unseren Systemen tun können sollen, überschritten. Wir verlieren ein gewisses Maß an Kontrolle und im Fall des Insider-Bedrohungsakteurs stehen wir einem schwierigen Gegner gegenüber, der unsere Vermögenswerte genau kennt und weiß, wie man sie findet.

Herausforderungen durch Insider-Bedrohungen

Insider-Vorfälle haben in den letzten Jahren stetig zugenommen, und es wird nicht erwartet, dass sich dieser Trend im Jahr 2024 ändert. Dies ist äußerst besorgniserregend, da Insider-Bedrohungen in vielerlei Hinsicht weitaus größere Schwierigkeiten darstellen als externe Angreifer.

Abgesehen von ihren negativen Auswirkungen auf ein Unternehmen, die das Vertrauen von Kunden, Partnern und internen Stakeholdern untergraben, können sie ausgesprochen schwer zu erkennen sein.

Eine der Herausforderungen bei einer Insider-Bedrohung besteht darin, dass dieser Benutzer das Spiel mit einer Reihe von Privilegien beginnt, die ihm einen Halt innerhalb der Organisation ermöglichen. Auf den ersten Blick macht das Sinn. Wenn es sich bei der Person um einen Angestellten handelt, müssen Sie ihr die Möglichkeit geben, ihre Arbeit zu erledigen. Dies bedeutet, dass Sie auf die entsprechenden Systeme und Daten zugreifen müssen, um ein effektiver Mitarbeiter zu sein.

Die zweite Herausforderung besteht darin, dass die Bewegung des Mitarbeiters innerhalb der Unternehmenssysteme als normal angesehen wird und wahrscheinlich keine Alarmglocken schrillen lässt, es sei denn, er weicht zu weit von der Reservierung ab. In der Praxis ist die Wahrscheinlichkeit, dass der Insider einen Ihrer Honeypots berührt, ziemlich gering, da er bereits genau weiß, worauf er zugreifen möchte und wo sich dieser befindet.

Angesichts einiger dieser Herausforderungen haben wir im Folgenden einige Tipps zusammengestellt, wie Sie der Bedrohung durch die Privilegienausweitung durch Ihre Insider entgegenwirken können.

3 Strategien zur Reduzierung Ihres Risikos durch Insider-Bedrohungen und eskalierende Privilegien

1. Patchen, patchen, und stellen Sie sicher, dass Sie früh und oft patchen

Einer der am längsten gültigen Ratschläge zum Thema Cybersicherheit, auch schon vor der Implementierung der Multi-Faktor-Authentifizierung (MFA), ist die Wichtigkeit des Patchens Ihrer Softwaresysteme.

Während Zero-Day-Schwachstellen, wie sie zur Beschädigung iranischer Nuklearanlagen oder zum Hacken von iPhones genutzt werden, in der Presse auftauchen, nutzen die meisten Hacker bekannte Schwachstellen, die der Öffentlichkeit zugänglich gemacht werden, um ihre Angriffe erfolgreich durchzuführen.

Hacker stoßen in der Regel auf zwei Arten auf diese Schwachstellen. Erstens können sie sich die öffentlich verfügbaren Schwachstellen (CVEs) ansehen, die von der MITRE Corporation zum Nutzen der Öffentlichkeit veröffentlicht werden. Zweitens, was noch ärgerlicher ist, können sie sich Software-Updates ansehen und versuchen herauszufinden, was behoben wurde, und dann sehen, wie sie es ausnutzen können. Stellen Sie aus diesen und weiteren Gründen sicher, dass Sie die Patches bald nach der Verfügbarkeit der neuen Versionen durchführen.

Im Rahmen des Prozesses zur Meldung und Veröffentlichung von Schwachstellen erhalten Unternehmen, denen die Software gehört, bzw. im Fall von Open-Source-Software die Projektmanager, in der Regel eine Frist von 90 Tagen, um die Probleme in ihren Produkten zu beheben, bevor die Informationen veröffentlicht werden. Dies schafft einen Ausgleich zwischen der Notwendigkeit, diese Softwarebesitzer zum Handeln zu drängen, und dem Raum, den sie benötigen, um eine Fehlerbehebung für den Fehler zu entwickeln.

Ihre ganze harte Arbeit ist jedoch umsonst, wenn wir die von ihnen herausgegebenen Patches nicht nutzen. Das bedeutet, dass wir die Patches für CVEs implementieren, die Anforderungen des Patch Tuesday durchgehen und generell sicherstellen müssen, dass unsere Systeme auf dem neuesten Stand sind.

Das Patchen kann sehr mühsam sein, und keine Organisation ist wirklich dort, wo sie sein sollte. Immer ein paar Schritte zurück, in der Hoffnung, dass sie ihre kritischsten Systeme gepatcht haben.

Die Hoffnung besteht darin, dass durch die Umstellung auf die Cloud die Verantwortung für das Patchen von den Endbenutzern entfällt und ein größerer Teil davon auf die Anbieter der SaaS-Lösungen verlagert wird. Beachten Sie jedoch, dass dies bei Cloud-Infrastrukturen (IaaS) wie AWS, Azure und GCP nicht der Fall ist. Daher müssen Ihre IT- und Sicherheitsteams noch einige Zeit betriebsbereit sein, um mit diesen Systemen auf dem neuesten Stand zu bleiben .

2. Überwachen Sie auf ungewöhnliches Verhalten

Wenn es einem Insider oder jemandem, der sich als Insider ausgibt, gelingt, seine Zugriffsrechte auf andere Systeme zu erweitern, als er es normalerweise tun würde, sollte dies große Bedenken auslösen. Natürlich nur, wenn die Überwachung vorhanden ist, um es zu erkennen.

Um herauszufinden, wann verdächtiges Verhalten vorliegt, ist die Erfassung einer Grundlinie normaler Aktivitäten mit User Behavior Analytics-Tools ein Muss.

Der Vorteil hierbei ist, dass Ihre Verhaltensüberwachung im Hintergrund läuft und nicht durch unerlaubte Änderungen ihrer Berechtigungen beeinträchtigt wird. Die Systeme, die sie berühren, oder andere Aktionen, die sie ausführen, werden erfasst, protokolliert und benachrichtigt, wenn sie von den Grenzen dessen abweichen, was Sie für sie als normal definiert haben.

Neben der Warnfunktion besteht ein weiterer Vorteil der Überwachung Ihrer Umgebungen in der Verwendung bei Untersuchungen nach einem Vorfall. Eine der größten Herausforderungen bei der Reaktion auf Vorfälle besteht darin, zu verstehen, welche Systeme betroffen waren und möglicherweise behoben werden müssen. Durch die Sitzungsaufzeichnung von Aktivitäten in sensiblen Systemen, die an einen bestimmten Benutzer gebunden sind, kann der Zeitaufwand für Untersuchungen erheblich verkürzt werden.

3. Informieren Sie Ihre Mitarbeiter über die Einhaltung der Regeln

Mark Zuckerberg von Facebook machte die Idee „Beweg dich schnell und zerbrich Dinge“ als Teil des Startup-Ethos populär, das Unternehmen zum Erfolg führte. Auch wenn es im Hinblick auf Innovationen viel Gutes bewirken kann, aus einer schwerfälligen Unternehmensmentalität auszubrechen, bietet es doch einige Vorteile, wenn man sich zumindest an einige der Richtlinien hält.

Unternehmensrichtlinien darüber, welche Arten von Software auf die Computer des Unternehmens heruntergeladen werden können und welche Genehmigungsprozesse gelten, gibt es aus einem bestimmten Grund. Sogar eine bestimmte Richtlinie scheint eher ein Hindernis als etwas zu sein, das durchaus Sinn ergibt.

Der beste Weg, Ihre Leute dazu zu bringen, Ihre Regeln zu befolgen, besteht weniger darin, Stöcke zu schlagen, als vielmehr darin, sie an Bord zu holen, indem Sie ihnen erklären, welche möglichen Auswirkungen ein Verstoß gegen die Regeln haben kann.

Vermeiden Sie im Idealfall den Tod durch Powerpoint und gestalten Sie die Sitzungen etwas interaktiver. Eine Methode, die sich als effektiver erwiesen hat, besteht darin, verschiedene Fälle von Richtlinienverstößen zuzuordnen und ihrer Gruppe zu präsentieren, wie sich dies ausgewirkt hat.

Dies ist die gleiche Methodik, die auch beim Militär zum Unterrichten von Material zum Schutz vor Leben und Tod verwendet wird, und sie bleibt Ihnen wirklich im Gedächtnis haften.

Unbeabsichtigt rücksichtslos, aber nicht böswillig

Wenn man den Bericht durchliest, sind die Nachrichten hier nicht so schlecht, wie es scheint.

Die Autoren stellen fest, dass 45 % der Vorfälle offenbar nicht von böswilligen Insidern verursacht wurden, die eine Bedrohung darstellen wollten. Bei einigen Vorfällen verstoßen Insider gegen die Regeln, sodass sie Software auf die Computer der Organisation herunterladen können, wozu sie nicht berechtigt sind, aber aus anderen Gründen als der Schädigung ihres Arbeitgebers.

Denken Sie an Mitarbeiter, die Kontrollen umgehen, um Torrents oder andere illegale Software auf ihre Arbeitsmaschinen herunterzuladen.

Eine der großartigsten Geschichten wie diese ist vielleicht der Oldie und Always Goodie über die Arbeiter bei a Ukrainisches Atomkraftwerk die ihre absichtlich Offline-Systeme mit dem Internet verbunden haben, um Kryptowährungen zu schürfen. Dies geschah vor Kriegsausbruch, aber mitten in der Kampagne russischer Hacker, die auf kritische Infrastrukturen der Ukraine abzielte, war es also immer noch eine äußerst schlechte Idee.

Andererseits bedeutet die bloße Tatsache, dass jemand keinen Schaden anrichten will, nicht, dass kein Foul vorliegt. Entsprechend der Verizon Data Breach Investigations Report für 2023 Verschiedene Fehler machen weiterhin einen erheblichen Teil der jährlichen Statistiken zu Datenschutzverletzungen aus. Und wenn es darum geht, dass Aufsichtsbehörden gegen Unternehmen ermitteln, weil sie kontrollierte Daten wie personenbezogene Daten von Kunden offengelegt haben, ist es ihnen egal, ob die Aktion böswillig war oder nicht. Nur dass es passiert ist.

Wenn Sie Best Practices befolgen und Ihr Team schulen, können Sie hoffentlich vermeiden, dass Sie einen schlimmen Vorfall als einen Moment schlechten Urteilsvermögens und nicht als einen Akt der bösen Absicht erklären müssen.