Weltweit gehen immer mehr Unternehmen dazu über, Mitarbeiter vom Home Office aus und remote arbeiten zu lassen. Letzteres gilt auch für die Zusammenarbeit mit Partnern und Drittanbietern.
Eine Remote-Anbindung für Mitarbeiter und Auftragnehmer aus allen Abteilungen zu öffnen ist aber längst nicht für alle Firmen üblich. Was vielleicht für Mitarbeiter im IT-Support gängige Praxis ist, stellt Unternehmen vor neue Herausforderungen, wenn zentrale Abteilungen betroffen sind.
Hier finden Sie 10 Punkte, die Sie beachten sollten:
1. Protokollieren Sie alle Remote-Aktivitäten – Ordnen Sie die Ereignisse dem betreffenden Benutzer zu und überwachen Sie Anomalien mithilfe von Sicherheitstools (SIEM/UEBA).
2. Überwachen Sie sämtliche Orte, von denen aus Daten abgezogen werden können – Einige Benutzer werden Daten auf ihre Rechner/Laufwerke herunterladen wollen oder müssen, um vom Home Office aus arbeitsfähig zu sein. Es ist wichtig, die Protokolle von wichtigen Exfiltrationspunkten wie VPN, DLP, O365, Box zu überwachen, korrekt zuzuweisen und zu analysieren, um mögliche Datenschutzverletzungen zu erkennen.
3. Protokollieren und überwachen Sie Zugriffe und Transaktionen auf kritischen Anwendungen – Immer häufiger greifen Benutzer auf geschäftliche Anwendungen von unterwegs aus zu. Umso wichtiger ist es, kritische Anwendungen auf potenzielle Anomalien hin zu überprüfen.
4. Überwachen Sie die sämtliche Zugriffsberechtigungen für Active Directory und kritische Anwendungen – potenzielle Anomalien sind beispielsweise:
- die Verwendung abgelaufener Benutzerkonten, die aber noch aktiv sind
- eine plötzliche Ausweitung von Berechtigungen
- die Verwendung ruhender Konten
5. Überwachen Sie die Weitergabe von Zugriffsberechtigungen – Wer relativ plötzlich vom Home Office aus arbeiten will oder muss, der wird wahrscheinlich Mitarbeiter ermutigen, Zugriffsberechtigungen weiterzugeben, um langwierige Freigabeprozesse zu umgehen. Überwachen Sie speziell Land-Speed-Anomalien wie
- Benutzer, die sich gleichzeitig von mehreren Standorten aus anmelden
- Benutzer, die angemeldet sind und sich remote einloggen
6. Überwachen Sie Geräte für den Remote-Zugriff – Bedrohungsakteure sind geübt darin, genau diese Geräte anzugreifen. Dazu werden Anmeldeinformationen in “RDP-Shops” im Dark Web gekauft, die sich besonders für solche Angriffe eignen. Zusätzlich zur proaktiven Überwachung der mit dem Internet verbundenen RDP/VPN-Infrastruktur empfiehlt es sich, die entsprechenden NIST-Richtlinien umzusetzen. Sie helfen zusätzliche Kontrollen einzuziehen und so die Risiken zu verringern, die mit gestohlenen Zugriffsberechtigungen einhergehen.
7. Stellen Sie sicher, dass die mit dem Internet verbundenen VPN/RDP-Server auf dem neuesten Stand sind und angesichts der aktuellen Situation für Spitzenauslastungen bei RAS-/WFH-Aktivitäten ausgelegt sind.
8. Achten Sie vor allem auf Phishing-Kampagnen und gefälschte Warnungen/Gesundheitsratschläge angesichts des aktuellen Corona-Geschehens. Einige Phishing-Versuche entziehen sich dem Sandboxing. Wir empfehlen einen gründlicheren „Assume Breach“-Ansatz in der betreffenden Umgebung. Gehen Sie davon aus, dass IOC- und Sandbox-basierte Prüfungen fehlschlagen, implementieren Sie deshalb zusätzliche Prüfungen und Kontrollen im Zusammenhang mit der Staging-/Post-Exploitation-Erkennung.
9. Setzen Sie, wo immer es möglich ist, eine Multi-Faktor-Authentifizierung durch – Wörterbuch-Angriffe sind die häufigste Methode, um Anmeldeinformationen zu kompromittieren. Angesichts dessen, dass der Remote-Zugriff für Mitarbeiter, Auftragnehmer und Geschäftspartner immer üblicher wird, sollten Sie starke Authentifizierungs- und Autorisierungskontrollen in Betracht ziehen, um das Risiko zu minimieren.
10. Setzen Sie Peer-basierte und SOD-Prüfungen durch – Bei der großen Anzahl von Mitarbeitern, die einen Remote-Zugriff beantragen, wird das Unternehmen wahrscheinlich darauf drängen, die Zugriffsberechtigungen relativ weit zu fassen, um Geschäftsunterbrechungen zu vermeiden. Für Sicherheits- und IT-Teams gewährleisten SOD- und Peer-basierte Prüfungen, dass die vergebenen Zugriffsberechtigungen auf das Tätigkeitsfeld des jeweiligen Mitarbeiters abgestimmt sind.
www.securonix.com