Als Menschen fühlen wir uns instinktiv stärker eigenverantwortlich und bevollmächtigt, wenn wir statt im Büro in unserer eigenen physischen Umgebung (d. h. zu Hause) arbeiten. Manchmal kann das zu etwas riskantem Verhalten führen – dem nicht unbedingt schlechte Absichten zugrunde liegen müssen. Beispielsweise kann ein Mitarbeiter auf die Idee kommen, es sei einfacher, einige Daten auf einen USB-Stick zu kopieren oder vertrauliche Dokumente zu drucken. Zu den möglichen Erkennungsfunktionen gehören hier Datenexfiltration nach der Bereitstellung von Daten, mehrfache, vom Benutzer verursachte, DLP-relevante Vorfälle und mehr. Im nächsten Abschnitt befassen wir uns eingehend damit, wie die DLP-Datenquelle (Data Loss Prevention) dazu verwendet werden kann, diese Art von Verhalten zu entdecken.
Betrachten wir dazu den Implementierungsansatz der wichtigsten Erkennungsmechanismen aus dem Blickwinkel eines der am häufigsten eingesetzten Sicherheitsframeworks, dem MITRE ATT&CK-Framework.
Eine der im Framework definierten Taktiken ist die Exfiltration (TA0010). Nach MITRE „besteht Exfiltration aus Techniken, die von Gegnern verwendet werden können, um Daten aus eurem Netzwerk zu stehlen“. Unter Exfiltration sind 10 Techniken definiert, die von der automatischen Exfiltration bis zur Übertragung von Daten auf ein Cloud-Konto reichen. Splunk Security Essentials bietet alle relevanten Sicherheitsinhalte und Leitfäden, um euch beim Einstieg zu unterstützen.
Durchsuchen wir zunächst die verfügbaren Sicherheitsinhalte, indem wir nach der Exfiltrationstaktik filtern:
Es werden 28 Erkennungsmechanismen zurückgegeben, aber konzentrieren wir uns für den Moment auf zwei davon:
Dies ist nützlich, um Cloud-Anbieter zu erkennen, die von den Benutzern zuvor noch nie verwendet wurden. Bitte beachtet, dass ihr aufgrund der Umstellung auf das Arbeiten von zu Hause ggf. die Schwellenwerte anpassen müsst.
Hier findet ihr weitere praktische Tipps zum Schutz eures Unternehmens im neuen WFH-Zeitalter.
Vielen Dank an alle Mitwirkenden an diesem Blogbeitrag, Bryan Sadowski, Lily Lee, Rene Aguero, James Brodsky, Chris Simmons.
*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier: Securing a New Way of Working: Who Let the Data Out?.
Die Splunk-Plattform beseitigt die Hürden zwischen Daten und Handlungen, damit Observability-, IT- und Security-Teams in ihren Unternehmen für Sicherheit, Resilienz und Innovation sorgen können.
Splunk wurde 2003 gegründet und ist ein globales Unternehmen – mit mehr als 7.500 Mitarbeitern, derzeit über 1.020 Patenten und einer Verfügbarkeit in 21 Regionen rund um den Globus. Mit seiner offenen, erweiterbaren Datenplattform, die die gemeinsame Nutzung von Daten in beliebigen Umgebungen unterstützt, bietet Splunk allen Teams im Unternehmen für jede Interaktion und jeden Geschäftsprozess End-to-End-Transparenz mit Kontext. Bauen auch Sie eine starke Datenbasis auf – mit Splunk.