Undichte Server in Neuseeland zeigen Notwendigkeit für Management und Schutz von Informationen

von Rob Sobers Wie ein Permissions Report das Loch der undichten neuseeländischen Server hätte stopfen können Anfang dieser Woche bloggte Keith Ng über massive Sicherheitslücken im Netzwerk des Ministeriums für Soziale Entwicklung...
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 17. August 2022

von Rob Sobers

Wie ein Permissions Report das Loch der undichten neuseeländischen Server hätte stopfen können

Anfang dieser Woche bloggte Keith Ng über massive Sicherheitslücken im Netzwerk des Ministeriums für Soziale Entwicklung in Neuseeland (MSD). Von einem öffentlichen Internet-Terminal der Abteilung Arbeit und Einkommen aus gelang es ihm, Zugriff auf Abertausende sensible Daten zu erhalten – ohne ein Passwort entschlüsseln oder einen Trojaner einschleusen zu müssen.

Welche Daten waren betroffen? Ng konnte u. a. die folgenden Informationen durchsuchen, lesen und verändern:

  • Rechnungen und andere Finanzdaten
  • Anrufprotokolle
  • Dateien, die Kinder und deren ärztliche Verschreibungen offenbarten
  • Kinder, die an sonderpädagogischen Förderprogrammen teilnehmen

Eine ziemlich erschreckende Bilanz also.

Wie konnte es soweit kommen?

Es gibt zwei mögliche Ursachen:

1. Der Internet-Terminal war mit einem Administratorkonto (z. B. Domain-Admin) mit uneingeschränktem Zugriff auf alle Daten im Netzwerk angemeldet.

2. Der Terminal war mit einem „normalen“ Konto angemeldet, aber die Berechtigungen für die Daten waren falsch zugewiesen und ermöglichten einen globalen Zugriff.

Ich halte es für ziemlich unwahrscheinlich, dass der Terminal als Administrator angemeldet war, aber ausgeschlossen werden kann dies nicht. Die zweite mögliche Ursache, d. h. fehlerhafte bzw. überschüssige Berechtigungen, ist dagegen ein sehr verbreitetes Problem, mit dem wir bei Varonis buchstäblich jede Woche zu kämpfen haben.

Womit hätte diese Situation verhindert werden können?

Den Internet-Terminal vom Netzwerk zu trennen, wäre nur der erste Schritt, denn der Terminal ist nicht das eigentliche Problem. Beim Management und Schutz von Informationen gibt es weit größere Probleme, die die eigentliche Ursache dieses Datenlecks darstellen.

Im Anschluss finden Sie einige Tipps, um die Hauptursache und nicht nur den Katalysator zu ermitteln:

1. Lokalisieren Sie ungeschützte, sensible Daten

  • Verwenden Sie ein Rahmenwerk zur Datenklassifizierung, um Ihre File-Server zu durchsuchen und zu bestimmen, wo sich Ihr sensibelster Inhalt befindet und wo dieser für zu viele Personen frei verfügbar ist.

Sobald Sie Ihre sensiblen Daten lokalisiert haben, sollten Sie dafür sorgen, dass nur die richtigen Personen darauf Zugriff haben. Im Anschluss daran sollten Sie die Aktivitäten dieser Daten überwachen und sicherstellen, dass berechtigte Benutzer ihre Zugriffsrechte nicht missbrauchen.

Wenn ich ein CSO wäre, möchte ich eine Lösung, die mir zu jeder Zeit genau sagen kann, wo sich meine sensiblen Daten befinden, wo diese nicht geschützt sind und wer darauf zugreifen kann. Wenn jemand eine Datei mit einer Sozialversicherungsnummer oder einer Patienten-ID anlegt und diese in einem öffentlichen Ordner ablegt, der von einem Internet-Terminal aus eingesehen werden kann, will ich, dass mein Team automatisch darüber alarmiert wird.

2. Globale Zugriffsgruppen identifizieren und von den ACL entfernen

  • Finden Sie heraus, wo „Jeder“ oder „Authentifizierte Benutzer“ in den ACL erscheinen und entfernen Sie diese.

Das kann schwierig sein, da es a) nicht gerade einfach ist, jede ACL auf jedem File-Server oder NAS-Device zu durchsuchen und nach „Jeder“ zu suchen und b) globaler Zugriff entzogen werden muss, ohne dabei die Nutzerberechtigungen der Personen zu beeinträchtigen, die die Daten wirklich benötigen.

3. Beobachten Sie Ihre Super-User

  • Richten Sie eine Warnmeldung ein, die immer dann ausgegeben wird, wenn jemandem Super-User-/Administratorberechtigungen eingeräumt werden.
  • Überprüfen Sie regelmäßig die Liste der Personen mit privilegierten Berechtigungen.
  • Prüfen Sie Ihren Audit-Trail, um zu sehen, wofür Super-User ihre ausgeweiteten Berechtigungen nutzen.

Auch wenn der Terminal versehentlich mit einem Super-User-Konto eingerichtet wurde, hätte das MSD durch die Prüfung der Zugriffsaktivitäten den unverhältnismäßig hohen Anteil an Super-User-Aktivitäten von den IP-Adressen der öffentlichen Internet-Terminals aus feststellen sollen.

4. Data Owner zuweisen und einbinden

  • Der Zugriff auf Krankenakten von Kindern sollte nicht von der IT-Abteilung gewährt und geprüft werden, sondern von der für die Patientenverwaltung zuständigen Stelle (z. B. dem ärztlichen Leiter).

Durch die Übertragung dieser Verantwortung an die Person, die die besten Voraussetzungen mitbringt, Entscheidungen über Zugriffskontrollen zu treffen (d. h. Data Owner), erhalten Sie schlussendlich nicht nur bessere Entscheidungen, sondern können auch den Arbeitsaufwand der IT-Abteilung verringern.

Wie schwer kann das sein?

„Anfängerfehler“ oder „Sicherheits-ABC!“ lauteten viele der Kommentare zum Post von Ng. Das Management und der Schutz von Informationen ist aber deutlich schwerer, als angenommen wird; besonders in einem Zeitalter, in dem Daten einer Art ansteckenden Krankheit ähneln, die sich entwickelt und dann mit rasanter Geschwindigkeit ausbreitet.

Ich habe eine einfache Frage an alle diese Kommentatoren: Wie würde die IT-Abteilung des MSD ohne eine automatische Lösung wissen, welche Ordner fälschlicherweise für jedermann zugänglich waren?

In nur wenigen Sekunden kann die Option „Jeder“ versehentlich für eine ACL ausgewählt werden, aber es könnte Jahre dauern, um diesen Fehler in der Zugriffskontrolle zu finden und zu beheben. Schlimmer noch, wie würden Sie nach dem Auffinden wissen, ob diese ungeschützten Daten durch jemanden gestohlen wurden, der nicht so harmlos ist wie Keith Ng?

Das ist die Frage, die sich die Regierung Neuseelands im Moment stellen muss.


Wie sieht es mir Ihrem Datenschutz aus?

Wenn Sie eine kostenlose Auswertung Ihrer Datensicherheit von Varonis erhalten möchten, setzen Sie sich mit uns in Verbindung.

 

The post Undichte Server in Neuseeland zeigen Notwendigkeit für Management und Schutz von Informationen appeared first on Varonis Deutsch.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

was-ist-ein-smb-port-und-erklärung-der-ports-445-und-139
Was ist ein SMB-Port und Erklärung der Ports 445 und 139
Mithilfe des SMB-Protokolls, das der „Prozesskommunikation“ dient, können Anwendungen und Dienste auf über ein Netzwerk verbundenen Computern untereinander kommunizieren – man könnte also auch sagen, dass SMB eine der Sprachen...
was-ist-ein-domänen-controller,-wann-wird-er-gebraucht-und-eingerichtet?
Was ist ein Domänen-Controller, wann wird er gebraucht und eingerichtet?
Ein Domänen-Controller ist ein Server, der Authentifizierungsanfragen beantwortet und Benutzer in Computer-Netzwerken verifiziert. Domänen sind Mittel für die hierarchische Organisation von Benutzern und Computern, die in einem Netzwerk zusammenarbeiten. Der...
was-ist-saml-und-wie-funktioniert-sie?
Was ist SAML und wie funktioniert sie?
Security Assertion Markup Language (SAML) ist ein offener Standard, mit dem Identitätsprovider (IdP) Autorisierungsdaten an Dienstanbieter (SP) übergeben können. Dieser Fachbegriff bedeutet, dass Sie einen Satz von Anmeldeinformationen verwenden können,...
netzwerkdatenflussüberwachung-erklärt:-netflow,-sflow-und-ipfix-im-vergleich
Netzwerkdatenflussüberwachung erklärt: NetFlow, sFlow und IPFIX im Vergleich
Die Netzwerkdatenflussüberwachung ist eine Lösung, mit deren Hilfe die Netzwerkdatenverkehrsflüsse analysiert werden können, um einen reibungslosen und sicheren Betrieb des Unternehmensnetzwerks zu gewährleisten.