Best Practices für den Datenschutz

Der Diebstahl von Unternehmensdaten nimmt zu, da Angreifer versuchen, den Zugriff durch Erpressung und andere Mittel zu monetarisieren. Im Jahr 2022 führten 40 % der von Mandiant-Experten bearbeiteten Einbrüche zu Datenverlusten, ein Anstieg von 11 % im Vergleich zum Vorjahr. Erst in diesem Jahr hat eine große Sicherheitslücke in einer Dateiübertragungssoftware zu einem großen Datenverlust für Unternehmen auf der ganzen Welt geführt (lesen Sie unsere Studie zur MOVEit-Zero-Day-Sicherheitslücke).

Um sensible Unternehmensdaten wirksam zu schützen, sollten Unternehmen Datenschutzprogramme einrichten, die aus gezielter Finanzierung, Sicherheitstools und definierten Teams bestehen. Ein umfassendes Datenschutzprogramm kann die Auswirkungen eines Angriffs begrenzen und die Wahrscheinlichkeit einer Datenexfiltration im Falle eines erfolgreichen Hacks verringern.

Tabelle 1 zeigt Beispiele für häufige Arten von Datenverlustereignissen, mit denen Unternehmen konfrontiert sind, sowie potenzielle Abwehrmaßnahmen, die zum Schutz implementiert werden können.

Arten von Datenverlust

Defensive Kontrollen

Öffentlich zugänglicher Cloud-Speicher-Bucket

Datenexfiltration aus dem Unternehmensnetzwerk

Angreiferzugriff auf eine Cloud-basierte Postfach-/Posteingangssynchronisierung

Verlust oder Diebstahl eines Unternehmensgeräts

Datendiebstahl von vertrauenswürdigen Insidern

Tabelle 2 enthält eine nicht erschöpfende, allgemeine Liste beispielhafter Datenschutzwarnungen und entsprechender Erkennungsanwendungsfälle, die Unternehmen häufig einsetzen, um anomale Datendiebstahlaktivitäten auf verschiedenen Plattformen zu identifizieren.

Aktivität

Beispielhafte Anwendungsfälle für die Erkennung

Massendownloads in Azure

Großer ausgehender Verkehr

GitHub-Uploads

Identifizierung von Dateiübertragungsdienstprogrammen

Verdächtige Datenbankabfragen

Unbefugter AWS-Datenzugriff

Offenlegung von Google Workspace-Daten

Datenverlust bei der Google Cloud Platform

M365-Datendiebstahl

In diesem Blogbeitrag werden gängige Strategien beschrieben, die Unternehmen ergreifen können, um sich vor Diebstahl oder Verlust sensibler interner Daten zu schützen. Insgesamt kann ein wirksames Datenschutzprogramm in den folgenden Phasen erreicht werden:

Ein Datenklassifizierungs- und -schutzprogramm trägt dazu bei, dass geeignete Schutzmaßnahmen auf Systeme und Anwendungen angewendet werden, die wichtige Daten verarbeiten. Dadurch können Unternehmen auch besser einschätzen, welche Systeme für einen Angreifer am interessantesten wären. Es sollten wichtige Richtlinien und Verfahren entwickelt werden, um den Datenschutz im gesamten Unternehmen zu regeln. Diese sollten Folgendes umfassen:

Für die Entwicklung des Programms kann es erforderlich sein, dass eine Organisation:

Organisationen sollten ihr Datenschutzprogramm mit einem risikobasierten Ansatz entwerfen und Risikobewertungen durchführen, um Bedrohungen für Daten, potenzielle Schwachstellen, Risikotoleranzen und die Wahrscheinlichkeit organisationsspezifischer Angriffe zu ermitteln.

Um kritische Daten richtig zu identifizieren, sollte ein formelles Datenermittlungsprojekt durchgeführt werden:

Eine Crown Jewels-Bewertung kann Unternehmen dabei helfen, besser zu priorisieren, welche Daten die meiste Aufmerksamkeit und Sicherheit erfordern. Als Best Practice sollte ein Prozess vorhanden sein, um für jeden neuen Datensatz, der in die Umgebung gelangt, eine Kronjuwelenbewertung durchzuführen.

Der Schwerpunkt sollte auf der Analyse von Datenflüssen und der Art und Weise liegen, wie sich verschiedene Arten von Daten innerhalb der Organisation bewegen, mit dem Ziel zu verstehen, wie Daten erfasst, verarbeitet, verwendet, übertragen, geteilt und gespeichert werden. Nachdem dies abgeschlossen ist, kann eine Bestimmung der Kritikalität der Daten vorgenommen werden.

Data Loss Prevention (DLP)-Lösungen sollten an Gateways und Endpunkten integriert werden, damit Sicherheitsteams die Bewegung kritischer oder sensibler Informationen sowohl intern als auch extern effizient überwachen können.

Es sollten Tools und Funktionen eingesetzt werden, um potenzielle Datenverlustereignisse zu erkennen. Zu den technischen Abwehrmechanismen, die den Datenschutz unterstützen können, gehören:

Für ein Unternehmen, das hauptsächlich das Microsoft-Ökosystem nutzt, kann Microsoft Purview als DLP-Lösung bereitgestellt werden, die Daten-Governance-, Risiko- und Compliance-Lösungstools in einer einzigen einheitlichen Lösung vereint. Speziell für den Schutz der Daten einer Organisation kann Purview zur Automatisierung der Datenermittlung, Datenkatalogisierung, Datenklassifizierung und Datenverwaltung verwendet werden. Speziell zur Verhinderung von Datenverlust bietet Purview „Adaptive Protection“, das maschinelles Lernen nutzt, um eine kontextbezogene Erkennung und automatische Abschwächung von DLP-Ereignissen zu ermöglichen.

Für ein Unternehmen, das in erster Linie das Amazon AWS-Ökosystem nutzt, kann Amazon Macie genutzt werden, um die Erkennung sensibler Daten, die Zugriffsbereitstellung, die Erkennung von Sicherheitsrisiken und die Bereitstellung von Schutzmechanismen gegen diese Risiken in der AWS-Umgebung zu automatisieren.

Organisationen, die GCP nutzen, können Cloud DLP nutzen, das Unternehmen bei der Prüfung, Klassifizierung und Deidentifizierung sensibler Daten unterstützt. Cloud DLP erstellt außerdem automatisch Profile für BigQuery-Tabellen und -Spalten im gesamten Unternehmen, um vertrauliche Daten zu ermitteln. Zu den Hauptmerkmalen gehören:

DLP-Regeln können erstellt werden, um die Inhalte zu steuern, die das Netzwerk einer Organisation verlassen dürfen. Diese Regeln können eingerichtet werden, um die Nutzung vertraulicher Inhalte zu überwachen, Benutzer zu warnen, die Informationen außerhalb der Organisation weitergeben möchten, die Weitergabe vertraulicher Daten zu verhindern (z. B. enthält personenbezogene Daten, als vertraulich gekennzeichnete Daten usw.) und Administratoren darüber zu warnen mögliche Verstöße gegen die Richtlinien.

Kontrollen zur Erkennung von Datenverlust dienen dazu, Unternehmen potenzielle Vorfälle oder Situationen zu identifizieren und zu warnen, in denen das Risiko eines Verlusts oder unbefugten Zugriffs auf sensible Daten besteht. Erkennungskontrollen sollten im gesamten Netzwerk, Endpunkt, in der Cloud und in den Anwendungsressourcen der Organisation bereitgestellt werden. Die Benutzeraktivität sollte auf verdächtiges oder anormales Verhalten überwacht werden, beispielsweise auf den Zugriff auf vertrauliche Dateien, auf die der Benutzer normalerweise nicht zugreift. Protokolle und Warnungen aus mehreren Quellen sollten an ein zentrales Repository (z. B. SIEM) weitergeleitet werden, um rechtzeitig Warnungen vor potenziellen Bedrohungen bereitzustellen.

Siehe Anhang Afür eine beispielhafte Zuordnung von Sicherheitstools zu Datenschutzprogrammelementen.

Mandiant nutzte die Erfahrungen aus Ermittlungen im Zusammenhang mit Datendiebstahl und erstellte eine nicht erschöpfende Übersicht über Datenschutztechnologien und Komponenten eines Informationssicherheitsprogramms. Die Tabelle sollte verwendet werden, um potenzielle Lücken oder Überschneidungen in der Technologieabdeckung zu identifizieren, und auf der Grundlage der spezifischen Umgebung und Risiken einer Organisation angepasst werden.

Technologietyp

Technologieschicht

Zugriffsverwaltung

Backups

Einstufung

Datenermittlung

Verhinderung von Datenverlust

E-Mail-Sicherheit

Verschlüsselung

Endpunkt/MDM

Netzwerksicherheit

Überwachung des Sicherheitsprotokolls

Tool zur Warnung vor Datenvertraulichkeit

Daten

✓

✓

✓

Mobile Geräteverwaltung

Endpunkt

✓

✓

✓

Angriffsflächenmanagement

Netzwerk

✓

DNS

Netzwerk

✓

EDR für Endpunkte

Endpunkt

✓

✓

Passwort-Tresor

Daten

✓

Tool zur Klassifizierung und zum Schutz von Cloud-Daten

Wolke

✓

✓

ACL-basierte Firewalls

Netzwerk

✓

E-Mail-Sicherheitslösung

Email

✓

Web-Proxy

Netzwerk

✓

Lieferantenverwaltungstool

Netzwerk

✓

Backups

Daten

✓

✓

SIEM

Daten

✓

UEBA

Endpunkt

✓

Überwachung der Dateiintegrität

Daten

✓

✓

Google Cloud Dataplex ist ein vollständig verwalteter Data Lake-Dienst, der für die Organisation, Vorbereitung und Analyse von Daten in der GCP-Umgebung genutzt werden kann. Dataplex bietet ein zentrales Repository für Daten, das Tools zum Bereinigen, Transformieren und Integrieren von Daten für die Analyse bereitstellt. Dataplex ist wichtig für den Datenschutz und verfügt über Tools zur Automatisierung der Datenerkennung und zur Verwaltung des Zugriffs, zur Nachverfolgung der Nutzung und zur Durchsetzung von Richtlinien. Dataplex kann genutzt werden, um die folgenden Funktionen zu erhalten:

Die Google Cloud Data Catalog API kann als Datenerkennungs- und Katalogisierungsdienst genutzt werden. Mit diesem Tool können Entwickler Metadaten zu Datenbeständen verwalten und ermitteln. Es bietet programmgesteuerten Zugriff zum Erstellen, Aktualisieren und Löschen von Einträgen im Datenkatalog. Mit der API können Benutzer nach Metadateninformationen wie Tabellen, Ansichten und Spalten aus verschiedenen Datenquellen suchen und diese abrufen. Es unterstützt auch die Integration mit anderen Google Cloud-Diensten und ermöglicht so nahtlose Datenerkennungs- und Governance-Workflows.

Mandiant kann die folgenden unabhängigen Sicherheitsbewertungen durchführen, um den Reifegrad der Cybersicherheit von Unternehmen zu beurteilen.

Darüber hinaus kann Mandiant schnelle Sicherheitsüberprüfungen der drei wichtigsten Cloud-Umgebungen durchführen, um Datensicherheitspraktiken zu bewerten.

Link zum RSS-Feed

Bestimmen Sie die Wirksamkeit Ihrer Cyber-Abwehr

Von ESG validiert

Nehmen Sie an der Bewertung teil

Mandiant-Experten beantworten gerne Ihre Fragen.