Angriffe auf Identitäten – Attacks on identities

Identität und Daten prägen Unternehmen, sind aber gefährdet. In den vergangenen Jahren sind immer mehr Unternehmen zu hybriden und dezentralen Arbeitsumgebungen übergegangen. Mit diesem Wandel haben die IT-Teams gelernt, dass sie dem Netzwerk nicht mehr wie früher vertrauen können. Über das Internet haben die Mitarbeiter nun direkten Zugriff auf die Ressourcen ihres Unternehmens und umgehen dabei herkömmliche Sicherheitstools wie virtuelle private Netzwerke (VPNs) und Firewalls. Der Wandel beschränkt sich nicht nur auf das Netzwerk – die Fernarbeit hat bewiesen, dass jeder von überall aus und mit jedem Gerät arbeiten kann.

Angesichts der zahllosen neuen Faktoren, die es im Auge zu behalten gilt, stellt sich die Frage: Wie gelingt es, Unternehmen effizient produktiv und sicher zu halten? Die kurze Antwort lautet, dass sich Unternehmen auf zwei Bereiche konzentrieren sollten – Identität und Daten. Jeder Mitarbeiter, Kunde und Auftragnehmer hat eine digitale Identität, und alle diese Entitäten verbrauchen, produzieren, übertragen und transportieren Daten. Zukünftig sollten sich Unternehmen auf Identität und Daten konzentrieren, und die Technologien, die diese Elemente schützen, müssen sich weiterentwickeln.

Angriffe werden immer individueller – Verschmelzung von Arbeit und Leben

Apropos Identität: Gezielte Angriffe werden immer individueller. Es ist bereits zu beobachten, dass Angreifer nicht mehr auf offizielle Arbeits-E-Mails abzielen. Stattdessen haben sie mehr Erfolg mit Social-Engineering-Kampagnen, die sie über SMS-Nachrichten und Drittanbieter-Apps wie WhatsApp an die persönlichen Konten von Mitarbeitern schicken.

„Diese Veränderung ist auf einen größeren Trend zurückzuführen, nämlich darauf, dass unser Privatleben und Arbeitsleben mit dem technologischen Fortschritt immer mehr miteinander verschmelzen. Schon vor der Pandemie waren 80 Prozent der von Oxford Economics befragten IT- und Unternehmensleiter der Meinung, dass ihre Mitarbeiter ihre Arbeit ohne Smartphone nicht effektiv erledigen können“, erklärt Sascha Spangenberg, Global MSSP Solutions Architect beim IT-Sicherheitsanbieter Lookout.

Die jüngste Sicherheitslücke bei Uber zeigt, dass es kaum eine Kontrolle darüber gibt, was mit den Unternehmensdaten auf den privaten Geräten der Mitarbeiter geschieht, die leicht ausgenutzt werden können. Infolgedessen könnten Benutzerfehler und die Kompromittierung von Konten im kommenden Jahr immer häufiger vorkommen.

Kontextbezogene DLP ist entscheidend für die Verhinderung von Datenverletzungen

Die Kehrseite der Identität sind die sensiblen Daten, auf die Benutzer Zugriff haben müssen. Hier kommt eine viel intelligentere Data Loss Prevention (DLP) ins Spiel. Es gibt einige Möglichkeiten, wie sich DLP weiterentwickeln könnte. Ein Bereich ist die Art und Weise, wie die Technologie den Dateninhalt versteht. Die Identifizierung sensibler Daten und personenbezogener Informationen ist eine völlig andere Aufgabe als die Feststellung, ob ein Dokument, eine Datei oder ein Objekt sensible Informationen enthält. Moderne DLP-Lösungen geben Unternehmen die Werkzeuge an die Hand, um den Inhalt einer Datei zu verstehen, ohne ein 100-Megabyte-Dokument von Hand lesen zu müssen. Innerhalb weniger Augenblicke kann eine DLP-Lösung sagen, ob ein Dokument für HIPAA oder PCI klassifiziert werden sollte.

Sobald Unternehmen ihre Daten verstehen, können sie damit beginnen, Kontrollen zum Schutz dieser Daten einzurichten. DLP bietet einen einheitlichen Ansatz für die Abdeckung aller Daten, einschließlich E-Mail-, Internet- und Freigabe-Traffic. In Verbindung mit der Analyse des Benutzer- und Entitätsverhaltens (User and Entity Behaviour Analytics, UEBA) kann DLP einen Kontext liefern, der es ermöglicht, das Eindringen von Daten und deren Exfiltration vorherzusagen und zu erkennen.

Im Falle eines Ransomware-Angriffs können Angreifer beispielsweise monatelang unentdeckt im Netzwerk sein, bevor sie beginnen, Daten an einen anderen Standort zu verschieben. DLP untersucht diesen Datenverkehr, sobald er beginnt, an einen anderen Standort oder Server zu fließen. Auf die gleiche Weise kann DLP erkennen, wenn wichtige Dateien in einem Amazon S3-Bucket oder Google Drive offengelegt werden.

Silo-Technik ist die Schwachstelle – es kommt auf die richtigen Tools an

Unternehmen müssen sicher sein, dass ihre Sicherheitstools in der Lage sind, Zero-Trust-Prinzipien auf Identität und Daten anzuwenden. Die isolierten Sicherheitsprodukte, die in der Vergangenheit üblich waren, werden schnell zur Achillesferse der Unternehmenssicherheit. Die Warnzeichen sind allgegenwärtig: Best Practices für die Datensicherheit fallen manchmal durch die Maschen, und Sicherheitsverletzungen werden immer komplexer. Da Daten, Geräte und Benutzer immer stärker miteinander vernetzt sind, müssen IT- und Sicherheitsteams ihre Sicherheitslösungen konsolidieren, um die Komplexität zu vermeiden, die sich aus dem Versuch ergibt, Daten mit mehreren Tools zu schützen.

Ein Plattformansatz kann dazu beitragen, dass alle Daten – unabhängig davon, ob sie in der Cloud, vor Ort (On-Premises) oder in einer privaten App gespeichert sind – unter einheitlichen Datensicherheitsrichtlinien geschützt werden. Das Secure Services Edge (SSE)-Framework beweist, dass eine Kombination aus Cloud Access Security Broker (CASB), Zero-Trust Network Access (ZTNA) und Secure Web Gateway (SWG) in einer einzigen Plattform ein zukunftsweisender Ansatz zur Absicherung von Fernarbeitern und zum Schutz von Daten in der modernen Unternehmensinfrastruktur ist.

„Am besten aber geht man noch einen Schritt weiter, indem man die Sicherheit mobiler Endgeräte integriert und Lösungen wie DLP, UEBA und Enterprise Digital Rights Management (EDRM) einheitlich im gesamten Unternehmen einsetzt“, rät Sascha Spangenberg von Lookout abschließend.

With the myriad of new factors to keep track of, the question becomes: how do companies efficiently stay productive and secure? The short answer is that businesses should focus on two areas – identity and data. Every employee, customer and contractor has a digital identity, and all of these entities consume, produce, transmit and transport data. Going forward, enterprises should focus on identity and data, and the technologies that protect these elements must evolve.

Attacks are becoming more personalized – merging work and life

Speaking of identity, targeted attacks are becoming more individualized. We are already seeing that attackers are no longer targeting official work emails. Instead, they’re having more success with social engineering campaigns sent to employees‘ personal accounts via text messages and third-party apps like WhatsApp.

„This change is due to a larger trend, which is that our personal lives and work lives are becoming more and more merged as technology advances. Even before the pandemic, 80 percent of IT and business leaders surveyed by Oxford Economics felt that their employees could not do their jobs effectively without a smartphone,“ said Sascha Spangenberg, global MSSP solutions architect at IT security vendor Lookout.

The recent Uber security breach shows that there is little control over what happens to corporate data on employees‘ personal devices, which can be easily exploited. As a result, user errors and account compromise could become more common in the coming year.

Contextual DLP is critical to preventing data breaches

The flip side of identity is the sensitive data users need access to. This is where much smarter data loss prevention (DLP) comes into play. There are a few ways DLP could evolve. One area is how the technology understands data content. Identifying sensitive data and personally identifiable information is a completely different task than determining whether a document, file or object contains sensitive information. Modern DLP solutions give organizations the tools to understand the contents of a file without having to read a 100-megabyte document by hand. Within moments, a DLP solution can tell whether a document should be classified for HIPAA or PCI.

Once organizations understand their data, they can begin to put controls in place to protect it. DLP provides a unified approach to covering all data, including email, web and share traffic. Combined with user and entity behavior analytics (UEBA), DLP can provide context to predict and detect data intrusion and exfiltration.

In the case of a ransomware attack, for example, attackers may be on the network undetected for months before they begin moving data to another location. DLP examines this traffic as it begins to flow to another site or server. In the same way, DLP can detect when important files are exposed in an Amazon S3 bucket or Google Drive.

Silo technology is the weak link – it’s all about the right tools

Enterprises need to be sure their security tools are capable of applying zero-trust principles to identity and data. The siloed security products that were common in the past are quickly becoming the Achilles heel of enterprise security. The warning signs are pervasive: data security best practices sometimes fall through the cracks, and security breaches are becoming more complex. As data, devices and users become more interconnected, IT and security teams need to consolidate their security solutions to avoid the complexity of trying to protect data with multiple tools.

A platform approach can help ensure that all data – whether stored in the cloud, on-premises, or in a private app – is protected under unified data security policies. The Secure Services Edge (SSE) framework proves that a combination of Cloud Access Security Broker (CASB), Zero-Trust Network Access (ZTNA) and Secure Web Gateway (SWG) in a single platform is a forward-thinking approach to securing remote workers and protecting data in the modern enterprise infrastructure.

„However, the best way to go one step further is to integrate mobile device security and deploy solutions such as DLP, UEBA and Enterprise Digital Rights Management (EDRM) consistently across the enterprise,“ concludes Lookout’s Sascha Spangenberg.