Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren

Undichte Server in Neuseeland zeigen Notwendigkeit für Management und Schutz von Informationen

von Rob Sobers Wie ein Permissions Report das Loch der undichten neuseeländischen Server hätte stopfen können Anfang dieser Woche bloggte Keith Ng über massive Sicherheitslücken im Netzwerk des Ministeriums für Soziale Entwicklung...
Michael Buckbee
3 minute gelesen
Veröffentlicht 12. November 2012
Letzte aktualisierung 17. August 2022

von Rob Sobers

Wie ein Permissions Report das Loch der undichten neuseeländischen Server hätte stopfen können

Anfang dieser Woche bloggte Keith Ng über massive Sicherheitslücken im Netzwerk des Ministeriums für Soziale Entwicklung in Neuseeland (MSD). Von einem öffentlichen Internet-Terminal der Abteilung Arbeit und Einkommen aus gelang es ihm, Zugriff auf Abertausende sensible Daten zu erhalten – ohne ein Passwort entschlüsseln oder einen Trojaner einschleusen zu müssen.

Welche Daten waren betroffen? Ng konnte u. a. die folgenden Informationen durchsuchen, lesen und verändern:

  • Rechnungen und andere Finanzdaten
  • Anrufprotokolle
  • Dateien, die Kinder und deren ärztliche Verschreibungen offenbarten
  • Kinder, die an sonderpädagogischen Förderprogrammen teilnehmen

Eine ziemlich erschreckende Bilanz also.

Wie konnte es soweit kommen?

Es gibt zwei mögliche Ursachen:

1. Der Internet-Terminal war mit einem Administratorkonto (z. B. Domain-Admin) mit uneingeschränktem Zugriff auf alle Daten im Netzwerk angemeldet.

2. Der Terminal war mit einem „normalen“ Konto angemeldet, aber die Berechtigungen für die Daten waren falsch zugewiesen und ermöglichten einen globalen Zugriff.

Ich halte es für ziemlich unwahrscheinlich, dass der Terminal als Administrator angemeldet war, aber ausgeschlossen werden kann dies nicht. Die zweite mögliche Ursache, d. h. fehlerhafte bzw. überschüssige Berechtigungen, ist dagegen ein sehr verbreitetes Problem, mit dem wir bei Varonis buchstäblich jede Woche zu kämpfen haben.

Womit hätte diese Situation verhindert werden können?

Den Internet-Terminal vom Netzwerk zu trennen, wäre nur der erste Schritt, denn der Terminal ist nicht das eigentliche Problem. Beim Management und Schutz von Informationen gibt es weit größere Probleme, die die eigentliche Ursache dieses Datenlecks darstellen.

Im Anschluss finden Sie einige Tipps, um die Hauptursache und nicht nur den Katalysator zu ermitteln:

1. Lokalisieren Sie ungeschützte, sensible Daten

  • Verwenden Sie ein Rahmenwerk zur Datenklassifizierung, um Ihre File-Server zu durchsuchen und zu bestimmen, wo sich Ihr sensibelster Inhalt befindet und wo dieser für zu viele Personen frei verfügbar ist.

Sobald Sie Ihre sensiblen Daten lokalisiert haben, sollten Sie dafür sorgen, dass nur die richtigen Personen darauf Zugriff haben. Im Anschluss daran sollten Sie die Aktivitäten dieser Daten überwachen und sicherstellen, dass berechtigte Benutzer ihre Zugriffsrechte nicht missbrauchen.

Wenn ich ein CSO wäre, möchte ich eine Lösung, die mir zu jeder Zeit genau sagen kann, wo sich meine sensiblen Daten befinden, wo diese nicht geschützt sind und wer darauf zugreifen kann. Wenn jemand eine Datei mit einer Sozialversicherungsnummer oder einer Patienten-ID anlegt und diese in einem öffentlichen Ordner ablegt, der von einem Internet-Terminal aus eingesehen werden kann, will ich, dass mein Team automatisch darüber alarmiert wird.

2. Globale Zugriffsgruppen identifizieren und von den ACL entfernen

  • Finden Sie heraus, wo „Jeder“ oder „Authentifizierte Benutzer“ in den ACL erscheinen und entfernen Sie diese.

Das kann schwierig sein, da es a) nicht gerade einfach ist, jede ACL auf jedem File-Server oder NAS-Device zu durchsuchen und nach „Jeder“ zu suchen und b) globaler Zugriff entzogen werden muss, ohne dabei die Nutzerberechtigungen der Personen zu beeinträchtigen, die die Daten wirklich benötigen.

3. Beobachten Sie Ihre Super-User

  • Richten Sie eine Warnmeldung ein, die immer dann ausgegeben wird, wenn jemandem Super-User-/Administratorberechtigungen eingeräumt werden.
  • Überprüfen Sie regelmäßig die Liste der Personen mit privilegierten Berechtigungen.
  • Prüfen Sie Ihren Audit-Trail, um zu sehen, wofür Super-User ihre ausgeweiteten Berechtigungen nutzen.

Auch wenn der Terminal versehentlich mit einem Super-User-Konto eingerichtet wurde, hätte das MSD durch die Prüfung der Zugriffsaktivitäten den unverhältnismäßig hohen Anteil an Super-User-Aktivitäten von den IP-Adressen der öffentlichen Internet-Terminals aus feststellen sollen.

4. Data Owner zuweisen und einbinden

  • Der Zugriff auf Krankenakten von Kindern sollte nicht von der IT-Abteilung gewährt und geprüft werden, sondern von der für die Patientenverwaltung zuständigen Stelle (z. B. dem ärztlichen Leiter).

Durch die Übertragung dieser Verantwortung an die Person, die die besten Voraussetzungen mitbringt, Entscheidungen über Zugriffskontrollen zu treffen (d. h. Data Owner), erhalten Sie schlussendlich nicht nur bessere Entscheidungen, sondern können auch den Arbeitsaufwand der IT-Abteilung verringern.

Wie schwer kann das sein?

„Anfängerfehler“ oder „Sicherheits-ABC!“ lauteten viele der Kommentare zum Post von Ng. Das Management und der Schutz von Informationen ist aber deutlich schwerer, als angenommen wird; besonders in einem Zeitalter, in dem Daten einer Art ansteckenden Krankheit ähneln, die sich entwickelt und dann mit rasanter Geschwindigkeit ausbreitet.

Ich habe eine einfache Frage an alle diese Kommentatoren: Wie würde die IT-Abteilung des MSD ohne eine automatische Lösung wissen, welche Ordner fälschlicherweise für jedermann zugänglich waren?

In nur wenigen Sekunden kann die Option „Jeder“ versehentlich für eine ACL ausgewählt werden, aber es könnte Jahre dauern, um diesen Fehler in der Zugriffskontrolle zu finden und zu beheben. Schlimmer noch, wie würden Sie nach dem Auffinden wissen, ob diese ungeschützten Daten durch jemanden gestohlen wurden, der nicht so harmlos ist wie Keith Ng?

Das ist die Frage, die sich die Regierung Neuseelands im Moment stellen muss.


Wie sieht es mir Ihrem Datenschutz aus?

Wenn Sie eine kostenlose Auswertung Ihrer Datensicherheit von Varonis erhalten möchten, setzen Sie sich mit uns in Verbindung.

 

The post Undichte Server in Neuseeland zeigen Notwendigkeit für Management und Schutz von Informationen appeared first on Varonis Deutsch.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testen Sie Varonis gratis.
Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen
Keep reading
hinter-dem-varonis-rebranding
Hinter dem Varonis-Rebranding
Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
cybersecurity-trends-2024:-was-sie-wissen-müssen
Cybersecurity-Trends 2024: Was Sie wissen müssen
Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
das-war-2023 – so-wird-2024
Das war 2023 – so wird 2024
Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?