Insider-Bedrohungen

MITRE baut Wissensdatenbank auf

Die größte IT-Sicherheitsbedrohung in Unternehmen geht von Insidern aus. Deshalb hat MITRE Engenuity nun eine Sammlung der Techniken und Taktiken von böswilligen Insidern veröffentlicht.
Von 
CSO | 21. März 2022 14:15 Uhr
MITRE hat eine Wissensdatenbank aufgebaut, die CISOs helfen soll, besser mit Insider-Bedrohungen umzugehen.
MITRE hat eine Wissensdatenbank aufgebaut, die CISOs helfen soll, besser mit Insider-Bedrohungen umzugehen.
Foto: Gorodenkoff - shutterstock.com

MITRE positioniert sich nun auch als Anlaufstelle für IT-Sicherheitsexperten, wenn es gilt, die Vorgehensweisen von Insidern zu durchschauen. Das MITRE Engenuity's Center for Threat Informed Defense hat dazu die "Design Principles and Methodology for the Insider Threat TTP Knowledge Base" veröffentlicht (TTP = Tactics, Techniques and Procedures). Ziel ist es, ein Art Lexikon bereitzustellen, das CISOs helfen soll, besser mit der Insider-Bedrohung umzugehen.

Wissensdatenbank unterstützt Security-Profis

Jon Baker, Leiter der Forschungs- und Entwicklungsabteilung des Center for Threat-Informed Defense bei MITRE Engenuity, schreibt in einem Blogbeitrag, dass bei dieser Initiative der Schwerpunkt auf solchen Cyber-Bedrohungen und Aktivitäten liege, die "über ein Security Operations Center (SOC) in einer IT-Umgebung entdeckt werden" könnten.

14 Techniken von böswilligen Insidern

Die Sammlung unterscheidet folgende 14 Bereiche, die wiederum 54 identifizierte Techniken böswilliger Insider umfassen:

  1. Reconnaissance (= verdecktes Sammeln von Informationen über ein System).

  2. Resource Development (= Beschaffen von Ressourcen, die für Angriffe verwendet werden können),

  3. Initial Access (= Techniken, die verschiedene Zugangsvektoren nutzen, um in einem Netz Fuß zu fassen),

  4. Execution (= Techniken, mit denen Angreifer eigene Kommandos oder eigenen Code in einer Zielumgebung ausführen können),

  5. Persistenz (= Zugriffstechniken, die trotz veränderter Zugangsdaten, Neustarts und andere unvorhergesehenen Ereignisse funktionieren) ,

  6. Privilegenerweiterung (= das illegale Sich-Verschaffen von erweiterten Zugriffsrechten auf Computer oder Netzwerke),

  7. Umgehung von Verteidigungsmaßnahmen (= Techniken, mit denen sich Angreifer vor Entdeckung schützen),

  8. Credential Access (= Stehlen von Zugangsdaten),

  9. Discovery (= Ausspionieren von Systemen und Netzwerken),

  10. Lateral movement (= in ein Netzwerk eindringen, um die Kontrolle über entfernte Systeme zu übernehmen),

  11. Collection (= unberechtigtes Sammeln von Daten als Vorstufe der Exfiltration),

  12. Command and control (getarnte Übernahme von Befehls- und Kontrollfunktionen in einem Netzwerk),

  13. Exfiltration (Stehlen von Daten in einem Netzwerk),

  14. Impact (Manipulieren, Unterbrechen oder Zerstören von Daten und Systemen).

Das MITRE-Projekt wird von verschiedenen Unternehmen unterstützt, darunter Citigroup Technology, Microsoft, Crowdstrike, Verizon und JP Morgan Chase. Zu den Entwurfsgrundsätzen gehörte eine Bewertung der für jede Angriffstechnik notwendigen Kenntnisse. Die Forscher unterscheiden zwischen Vorfällen, die tatsächlich passiert sind und für die es Falldaten gibt, und solchen, die geschehen könnten, die also hypothetisch sind. In den Ergebnissen wurden folgende Schlussfolgerungen gezogen:

  • Insider-Bedrohungen setzen in der Regel auf einfache TTPs, um auf Daten zuzugreifen und diese zu exfiltrieren.

  • Sie bedienen sich zudem schwerpunktmäßig privilegierter Zugänge, um Datendiebstahl oder andere böswillige Aktionen zu erleichtern.

  • Insider sammeln Daten, die sie zu stehlen beabsichtigen, bevor sie diese dann wirklich exfiltrieren.

  • Externe beziehungsweise entfernbare Medien sind immer noch ein gängiger Exfiltrationskanal.

  • Auch E-Mail bleibt ein gängiger Exfiltrationskanal.

  • Cloud-Speicher sind beides: ein Sammelziel für Insider und ein gängiger Exfiltrationskanal.

Konzentrieren Sie sich auf wahrscheinliche Insider-Bedrohungen

Die MITRE-Forscher haben jeder Bedrohung eine gewichtete "Anwendungshäufigkeit" zugewiesen. Die Kennzeichen "häufig", "gelegentlich" und "selten" sollen den Praktikern dabei helfen, die Insiderbedrohungen nach Wahrscheinlichkeit zu sortieren und sicherzustellen, dass die besonders häufigen Vorfälle im Blick behalten werden. Begleitende GitHub-Dokumente helfen den Teams bei der Kategorisierung ihrer Erfahrungen.

Wie der Leiter der Forschungs- und Entwicklungsabteilung des Center for Threat-Informed Defense bei MITRE Engenuity erklärt, sollten sich Unternehmen mit begrenzten Ressourcen auf das Wahrscheinliche konzentrieren und das Mögliche zurückstellen. Andernfalls wachse das Risiko, dass Insider-Bedrohungsprogramme und SOCs ihren Fokus verlieren könnten. CISOs sollten also die Maßnahmen ergreifen, die das beste Preis-Leistungs-Verhältnis bieten.

Natürlich besteht die Möglichkeit, dass Mitarbeiter Spionage im Auftrag eines anderen Staates betreiben, aber wahrscheinlicher ist es, dass sie ihre Karriere vorantreiben oder Geld verdienen wollen. So kommt es öfters vor, dass Insider-Täter ihr eigenes Unternehmen mithilfe fremden geistigen Eigentums gründen wollen oder beabsichtigen, sich einen Vorteil für ihren nächsten Job zu verschaffen. (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Christopher schreibt unter anderem für unsere US-Schwesterpublikation CSO Online. Er war für mehr als 30 Jahre Mitarbeiter der Central Intelligence Agency.