Stellen Sie sich vor, jede Person, die Ihr Haus betritt, hätte eine Kopie Ihres Hausschlüssels. Alle Ihre Familienmitglieder, Freunde, die Lieferanten Ihres Kühlschranks, der Klempner und so weiter und so fort. Wie wäre es, wenn sie alle eine Kopie Ihres Autoschlüssels, die Kombination Ihres Safes und das Passwort für Ihr E-Mail-Konto und Online-Banking hätten?
Hört sich nicht sehr gut an, oder? Nun, das ist in etwa das, was die Missachtung des Prinzips der geringsten Privilegien (PoLP) ist.
Das Prinzip der geringsten Privilegien ist eines der wichtigsten Konzepte der Cybersicherheit. Es ist auch besonders wichtig, um Ransomware-Angriffe zu verhindern. Was ist es also, wie funktioniert es, und wie können Sie davon profitieren?
Was ist das Least-Privilege-Prinzip (PoLP)?
Das Prinzip des geringsten Rechtsanspruchs besagt, dass kein Netzwerkbenutzer mehr Zugriffsrechte haben sollte, als er für seine Arbeit unbedingt benötigt. In den meisten Netzwerken werden verschiedene Aufgaben bearbeitet, für die unterschiedliche Benutzer unterschiedliche Zugriffsrechte benötigen.
Wenn es um Ihr Leben geht, geben Sie vielleicht Kopien Ihres Hausschlüssels an Ihre enge Familie weiter, aber wenn es um einen Klempner geht, lassen Sie ihn vielleicht rein, um die Arbeit zu erledigen, aber Sie würden ihm nicht den Schlüssel geben.
Das Gleiche gilt für die Netzsicherheit. Ein Cybersicherheitsadministrator muss z. B. in der Lage sein, Netzwerkeinstellungen zu ändern, aber jemand, der nur Dokumente im Netzwerk liest, braucht das nicht. Außerdem sind manche Daten sensibler als andere, und Sie möchten nicht, dass jeder im Netzwerk darauf zugreifen und sie kopieren kann.
Wenn das Prinzip der geringsten Rechte richtig angewandt wird, bedeutet dies, dass es für einen Angreifer, der in das Netzwerk eindringt, sehr viel schwieriger wird, sich im Netzwerk zu bewegen.
Warum ist das Least-Privilege-Prinzip für Ransomware wichtig?
Wenn eine Ransomware-Bande in ein Netzwerk eindringt, hängt der Schaden, den sie anrichten kann, davon ab, auf wie viele Teile des Netzwerks sie zugreifen kann. Die meisten Ransomware-Hacker legen ein Netzwerk zunächst durch Verschlüsselung lahm und verlangen dann ein Lösegeld für den Entschlüsselungsschlüssel.
Die Entscheidung eines Unternehmens, ein Lösegeld zu zahlen oder nicht, ist oft wirtschaftlich. Sie kalkulieren, wie viel sie die Ausfallzeit kosten würde, und wenn das Lösegeld viel billiger ist als das, zahlen sie.
Die Verschlüsselung eines Teils des Netzwerks kann ausreichen, um eine teilweise Abschaltung eines Unternehmens zu bewirken, aber es muss nicht unbedingt alles abgeschaltet werden. Wenn ein Netzwerk vollständig verschlüsselt ist, könnte dies ein viel größeres Problem darstellen.
Einige Datentypen sind auch weniger wertvoll als andere. Wenn nur ein Teil des Netzwerks verschlüsselt ist, kann es leichter sein, den Verlust einiger Daten zu akzeptieren. Wenn eine große Menge sensibler Daten gestohlen wird, haben die Hacker auch mehr Möglichkeiten, ihre Opfer zu erpressen.
Sowohl die Ausfallzeiten als auch die Höhe des Lösegelds hängen stark davon ab, wie weit sich Hacker in einem Netzwerk ausbreiten können, und wie weit sie sich ausbreiten können, hängt von den Zugriffsebenen ab, die sie haben. Hacker brechen oft in einzelne Konten ein und stehlen Anmeldedaten wie Benutzernamen und Kennwörter. Diese werden dann verwendet, um sich durch das Netzwerk zu bewegen, damit sie weitere Daten verschlüsseln und stehlen können.
Wenn Netzwerkbenutzer Zugang zu Teilen des Netzwerks haben, die sie nicht benötigen, erhöht sich die Wahrscheinlichkeit, dass Hacker gestohlene Anmeldeinformationen verwenden können, um mehr Macht über das Netzwerk zu erlangen, erheblich. Im Bereich der Cybersicherheit nennt man dies eine vergrößerte Angriffsfläche. Das bedeutet, dass die Hacker mehr potenzielle Ransomware-Angriffsvektoren haben, um in ein Netzwerk einzudringen und sich dort zu verbreiten.
Wie man das Least-Privilege-Prinzip umsetzt
Die Umsetzung des Prinzips der geringsten Rechte ist einfach, erfordert aber sowohl eine Neukonfiguration der Software als auch eine Schulung der Mitarbeiter. Der erste Schritt ist die Durchführung eines PoLP-Audits.
Durchführen eines PoLP-Audits
Kurz gesagt, bedeutet ein PoLP-Audit, dass Sie Ihr gesamtes Netzwerk durchgehen und herausfinden, wer was tun muss. Dazu müssen Sie die Passwörter, SSH-Schlüssel, Zugriffsschlüssel und Passwort-Hashes aller verschiedenen Konten von Mitarbeitern und Drittanbietern, sowohl vor Ort als auch virtuell, auflisten.
Setzen Sie die Standardwerte auf ein Minimum
Ein Problem, das vielen Ransomware-Angriffen zugrunde liegt, sind zu hoch eingestellte Standardberechtigungen. Konten haben Privilegien, die sie nicht benötigen, was Hackern Tür und Tor öffnet. Alle Systeme sollten so konfiguriert werden, dass neue Konten mit einem absoluten Minimum an Berechtigungen erstellt werden. Bei Bedarf können Ausnahmen hinzugefügt werden.
Getrennte Privilegien
Achten Sie darauf, Administratorkonten von normalen Konten zu trennen. Für Ausnahmesituationen, in denen normale Benutzer zusätzliche Privilegien benötigen, sollten zeitlich begrenzte Privilegien eingerichtet werden. Lese-, Schreib- und Ausführungsberechtigungen sollten ebenfalls getrennt werden.
Überwachung des privilegierten Zugriffs einrichten
Sobald die Privilegien getrennt sind, können Sie eine Überwachung der privilegierten Konten einrichten. Es kann eine gute Idee sein, Cybersecurity-Automatisierung einzusetzen, um ungewöhnliches Verhalten zu erkennen.
Wechseln Sie die Administrator-Passwörter
Die Verwendung eines anderen Passworts für jede administrative Anmeldung kann dazu beitragen, das Risiko zu verringern, dass Hacker Anmeldedaten verwenden, die von Keyloggern erfasst wurden.
Führen Sie regelmäßige Audits durch
Organisationen sind dynamisch. Rollen und Verantwortlichkeiten ändern sich ständig. Es ist wichtig, von Zeit zu Zeit zu überprüfen, ob nicht Konten mit nicht mehr benötigten Berechtigungen im Umlauf sind.
Es ist auch wichtig zu beachten, dass alle Entitäten, sowohl Menschen als auch Anwendungen, in ein PoLP-Audit einbezogen werden müssen. Die Prüfung sollte sowohl interne Server als auch Cloud-Dienste einschließen.
Vor allem in Anbetracht der doppelten Erpressungsangriffe kann es auch eine gute Idee sein, die Daten in verschiedene Typen aufzuteilen und den Zugriff darauf durch Verschlüsselung zu beschränken.
Abwägen zwischen Sicherheit und Bequemlichkeit
Eine der größten Herausforderungen bei der Umsetzung des Prinzips der geringsten Privilegien besteht darin, die Arbeit benutzerfreundlich zu gestalten. Zu viele Einschränkungen können bei den Benutzern zu Frustration führen. Gleichzeitig kann eine Einschränkung der administrativen Rechte die Produktivität erhöhen, da die Benutzer seltener Probleme verursachen, indem sie Konfigurationen selbst ändern.
Auch wenn es gewöhnungsbedürftig ist, ist das Prinzip der geringsten Rechte ein wesentlicher Bestandteil jeder Cybersicherheitsstrategie, insbesondere in Zeiten wachsender Ransomware-Bedrohungen.