De goede werking van de moderne ondernemingen van vandaag hangt af van een groot aantal werknemers. Maar dit houdt in dat gevoelige organisatie-informatie altijd toegankelijk is voor honderden of duizenden huidige of voormalige werknemers, verkopers, partners of aannemers. "Insider-dreiging" noemen cyberbeveiligingsprofessionals dit. Deze mensen zijn insiders omdat ze toegang hebben tot informatie, gegevens of bronnen die kunnen worden gedeeld of gebruikt om de organisatie schade toe te brengen. Het hele onderwerp van interne bedreigingen in cyberbeveiliging komt in dit essay aan bod, inclusief wat ze zijn, hoe ze te identificeren, waarom het gevaarlijke programma's zijn en hoe ze te voorkomen.
Wat zijn bedreigingen van binnenuit in cyberbeveiliging?
Een persoon die voor uw bedrijf werkt en de beschikbaarheid, vertrouwelijkheid of integriteit van kritieke informatie in gevaar brengt, wordt beschouwd als een bedreiging van binnenuit. Ze kunnen dit bereiken door onbedoeld privé-informatie vrij te geven, in bedrog te trappen, eigendommen te breken, bedrijfsapparatuur te verliezen of opzettelijk systemen te verstoren.
Een mogelijke bedreiging van binnenuit is iemand die toegang heeft tot gevoelige gegevens of bronnen. Hieronder vallen personeel, onderaannemers en partners. Als voormalige werknemers toegang blijven hebben tot vertrouwelijke informatie nadat ze het bedrijf hebben verlaten, kunnen ze een interne bedreiging vormen.
Soorten bedreigingen van binnenuit
Bedreigingen van binnenuit voor cyberbeveiliging kunnen worden geclassificeerd als kwaadwillende actoren of nalatig personeel. In dit deel bespreken we hoe ze van elkaar verschillen en waarom ze een bedreiging vormen.
#1. Kwaadwillende insiders
Een kwaadwillende insider is iemand die doelbewust vertrouwelijke informatie verkrijgt of een bedrijf ondermijnt. Ze doen dit vaak voor financieel gewin, ofwel door de gestolen gegevens te gebruiken om fraude te plegen of door deze te verkopen aan een derde partij, zoals een rivaliserend bedrijf of een hackerbende.
Vergelding is een andere drijvende kracht achter kwaadwillende insiders. Dit komt het vaakst voor bij recentelijk ontslagen personen die wrok koesteren jegens hun voormalige bedrijf. Het individu zal waarschijnlijk problemen veroorzaken als ze nog steeds toegang hebben tot belangrijke systemen, of het nu is omdat de sleutel van hun gebouw nog in hun bezit is of omdat hun inloggegevens op de werkplek nog steeds geldig zijn.
Wraak kan ook huidige werknemers inspireren. Dit gebeurt vaak wanneer ze zich ondergewaardeerd voelen of gepasseerd zijn voor een promotie. Ze kunnen operaties verstoren of vertrouwelijke gegevens stelen door gebruik te maken van hun toegang tot de systemen van het bedrijf.
#2. Nalatige insiders
Werknemersfouten, zoals het verliezen van een werkapparaat of vallen voor een phishing-zwendel, kunnen leiden tot nalatige insiderrisico's. Deze afleveringen kunnen worden onderverdeeld in twee subcategorieën. Ten eerste gebruiken sommige werknemers een gezond beoordelingsvermogen, maar overtreden ze de gegevensbeveiligingswetten vanwege verzachtende omstandigheden. Ze kunnen bijvoorbeeld een fout hebben gemaakt als gevolg van overwerkt of afgeleid zijn.
Integendeel, sommige nalatige insiders overtreden consequent de wet en tonen weinig interesse in bewustmakingsprogramma's voor het personeel. Ze gebruiken vaak het argument dat het beleid en de processen van de organisatie onnodig bureaucratisch zijn of te lastig om hun gedrag te verdedigen.
Ze kunnen zelfs de afwezigheid van een datalek aanhalen als ondersteuning voor hun beweringen. Als dat het geval is, zal er op een gegeven moment vrijwel zeker een datalek plaatsvinden, en is de kans groter dat je geluk hebt dan oordeelsvermogen.
Hoe vaak komen bedreigingen van binnenuit voor?
Bedreigingen van binnenuit zijn een constante zorg voor cyberbeveiliging. In het Insider Threat Report 2021 van Cybersecurity Insiders gaven bijna alle bedrijven (98%) aan zich blootgesteld te voelen aan aanvallen van binnenuit.
Hoewel deze gebeurtenissen vaak voorkomen, is het een uitdaging om ze te interpreteren. In veel gevallen is de precieze bron van het datalek onbekend en is het lastig om de schade in te schatten. Volgens een studie van Cybersecurity Insiders kon slechts 51% van de bedrijven bedreigingen van binnenuit identificeren, of pas nadat de gegevens waren gecompromitteerd.
Ondertussen zei 89% van de respondenten dat ze niet dachten dat hun vermogen om bedreigingen van binnenuit te monitoren, te detecteren en erop te reageren, effectief was, en 82% zei dat het moeilijk was om de werkelijke kosten van een aanval in te schatten.
Hoe bedreigingen van binnenuit te detecteren
De beste manier om interne risico's te herkennen, of u nu op zoek bent naar kwaadwillig of nalatig gedrag, is door op te letten voor ongewoon gedrag van werknemers.
Een werknemer kan zich in persoon en schriftelijk minder professioneel gedragen als hij bijvoorbeeld ongelukkig lijkt te zijn op het werk. Ze kunnen ook minder goed werk leveren en andere daden van ongehoorzaamheid vertonen, zoals te laat komen of vroeg vertrekken op hun werk.
Werken op vreemde tijden kan soms een teken van achterdocht zijn. Een werknemer kan iets doen waarvan hij niet wil dat zijn bedrijf het weet als hij midden in de nacht inlogt op zijn systemen.
Vergelijkbaar met het laatste voorbeeld, als er veel verkeer is, kan dit betekenen dat een werknemer privégegevens naar een persoonlijke harde schijf kopieert, zodat ze deze op frauduleuze wijze kunnen gebruiken.
Het gebruik door de werknemer van middelen die hij normaal gesproken niet nodig heeft voor zijn werk, is echter het meest verhelderend. Dit impliceert dat zij de informatie gebruiken voor ongepaste doeleinden, zoals fraude, of delen met een derde partij.
Hoe bedreigingen van binnenuit te voorkomen
U kunt de digitale activa van uw bedrijf verdedigen tegen intern gevaar. Hoe? Lees verder.
#1. Bescherm belangrijke bezittingen
Bepaal de belangrijkste logische en fysieke activa voor uw bedrijf. Deze bestaan uit netwerken, systemen, privé-informatie (zoals klantgegevens, werknemersinformatie, schema's en ingewikkelde bedrijfsplannen), fysieke activa en personeel. Bepaal de huidige staat van de bescherming van elk activum, beoordeel de activa in volgorde van belangrijkheid en begrijp elk belangrijk activum. Uiteraard moet het maximale niveau van bescherming tegen bedreigingen van binnenuit worden geboden voor de activa met de hoogste prioriteit.
#2. Stel een gemiddelde vast van normale gebruikers- en apparaatactiviteit.
Software voor het volgen van interne bedreigingen is er in verschillende vormen. Deze systemen werken door in eerste instantie gegevens te verzamelen van toegang, authenticatie, accountwijzigingen, eindpunt en virtual private network (VPN)-records om informatie over gebruikersactiviteit te centraliseren. Gebruik deze informatie om gebruikersgedrag te modelleren dat verband houdt met bepaalde gebeurtenissen, zoals het downloaden van privé-informatie op draagbare media of de ongebruikelijke inloglocatie van een gebruiker, en geef risicoscores aan dat gedrag.
#3. Verhoogd bewustzijn
Meer dan een derde van de respondenten van een SANS-enquête uit 2019 over geavanceerde bedreigingen gaf toe geen inzicht te hebben in misbruik door insiders. Het inzetten van tools die het gedrag van gebruikers continu volgen en het verzamelen en correleren van activiteitsgegevens uit verschillende bronnen is cruciaal. U kunt bijvoorbeeld cybermisleidingstools gebruiken die valstrikken opzetten om snode insiders te lokken, hun gedrag te volgen en hun motivaties af te leiden. Om bestaande of toekomstige aanvallen te herkennen of te voorkomen, zouden deze gegevens vervolgens worden verstrekt aan andere zakelijke beveiligingsoplossingen.
#4. Beleid afdwingen
Het beveiligingsbeleid van de organisatie moet worden gedefinieerd, gedocumenteerd en gedeeld. Het creëert ook het juiste kader voor handhaving, waardoor onzekerheid wordt voorkomen. Geen enkele werknemer, aannemer, verkoper of partner mag onzeker zijn over welk gedrag gepast is voor het beveiligingsbeleid van hun bedrijf. Ze moeten zich bewust zijn van hun verplichting om geen bevoorrechte informatie met onbevoegden te delen.
#5. Moedig culturele verschuivingen aan
Hoewel het identificeren van interne risico's van cruciaal belang is, is het verstandiger en goedkoper om gebruikers te ontmoedigen tot ongepast gedrag. Het doel hierbij is om een culturele verschuiving naar veiligheidsbewustzijn en digitale transformatie aan te moedigen. Het bijbrengen van de juiste waarden kan onzorgvuldigheid helpen voorkomen en de oorzaken van schadelijk gedrag aanpakken. De tevredenheid van medewerkers moet continu worden gemeten en verbeterd om vroegtijdige waarschuwingssignalen van ontevredenheid te detecteren. Werknemers en andere belanghebbenden moeten regelmatig deelnemen aan beveiligingstrainingen en bewustmakingsprogramma's die hen informeren over beveiligingsproblemen.
Programma voor insiderbedreigingen
Een beproefde methode om vroegtijdige waarschuwingssignalen voor bedreigingen van binnenuit te identificeren, bedreigingen van binnenuit te voorkomen of de effecten ervan te minimaliseren, is het ontwikkelen van een effectief en consistent programma voor bedreigingen van binnenuit. Volgens de speciale publicatie 800-53 van het National Institute of Standards and Technology (NIST) is een insider threat-programma "een gecoördineerde groep capaciteiten onder gecentraliseerd beheer die is georganiseerd om de ongeoorloofde openbaarmaking van gevoelige informatie te detecteren en te voorkomen." Het wordt vaak een 'programma voor het beheer van interne bedreigingen' of 'raamwerk' genoemd.
Een programma voor interne bedreigingen bestaat vaak uit stappen om interne risico's te identificeren, aan te pakken, de gevolgen ervan te beperken en het bewustzijn van interne bedreigingen binnen een organisatie te vergroten. Maar laten we eerst eens kijken waarom het de moeite waard is om uw tijd en geld in een dergelijk programma te investeren voordat we dieper ingaan op de componenten van een insider threat-programma en best practices voor het opzetten ervan.
Stappen om een efficiënt programma voor insiderbedreigingen op te zetten
We hebben deze checklist met 10 stappen ontwikkeld om u te helpen het maximale uit uw programma voor interne bedreigingen te halen. Hier zijn 10 methoden die u kunt gebruiken om uw bedrijf te beschermen tegen bedreigingen van binnenuit.
#1. Bereid je voor om een programma te maken om interne risico's te bestrijden.
Het succesvol bouwen van een programma voor interne bedreigingen vereist voorbereiding, wat u op de lange termijn ook veel tijd en werk zal besparen. Verzamel tijdens deze stap zoveel mogelijk gegevens over de huidige cyberbeveiligingsmaatregelen, nalevingsnormen en belanghebbenden en beslis welke resultaten u met het programma wilt bereiken.
#2. Maak een risicoanalyse.
De basis van een insider threat-programma is bepalen welke bedrijfsmiddelen u als gevoelig beschouwt. Deze activa, zoals klant- en werknemersinformatie, technologische handelsgeheimen, intellectueel eigendom, prototypes, enz., kunnen zowel tastbaar als immaterieel zijn. De beste manier om dergelijke activa en potentiële gevaren voor hen te vinden, is door een risicobeoordeling van externe of interne bedreigingen uit te voeren.
#3. Bepaal hoeveel geld er nodig is om het programma te ontwikkelen.
Het kost tijd en moeite om een succesvol programma voor interne bedreigingen op te zetten. Voordat u begint, is het cruciaal om te beseffen dat het implementeren van dit soort programma's meer vereist dan alleen een cyberbeveiligingsafdeling.
#4. Zorg voor de steun van het hogere management.
In dit stadium kunt u de gegevens die in de eerdere stappen zijn verkregen, gebruiken om de steun van de belangrijkste belanghebbenden te winnen voor het uitvoeren van het programma. De CEO, CFO, CISO en CHRO staan vaak op de lijst van belangrijke stakeholders.
#5. Stel een team samen om te reageren op bedreigingen van binnenuit
Een team van werknemers dat verantwoordelijk is voor alle fasen van dreigingsbeheer, van detectie tot herstel, staat bekend als een "insider threat response team". In tegenstelling tot wat vaak wordt gedacht, zou dit team niet alleen uit IT-professionals moeten bestaan.
#6. Bepaal de beste manieren om bedreigingen van binnenuit te detecteren.
Het meest cruciale aspect van uw verdediging tegen bedreigingen van binnenuit is vroege identificatie, omdat dit snelle actie mogelijk maakt en de reparatiekosten verlaagt. Daarom bevat software voor PCI DSS-, HIPAA- en NIST 800-171-compliance vaak een component voor het detecteren van bedreigingen.
#7. Maak reactieplannen voor incidenten.
Uw responsteam moet typische insider-aanvalscenario's oefenen om snel te kunnen reageren op een herkend gevaar. Het meest cruciale aspect van een reactiestrategie voor interne bedreigingen is dat deze praktisch en eenvoudig uit te voeren moet zijn.
#8. Plan het onderzoek en herstel van incidenten.
Plan uw proces voor het onderzoeken van cyberbeveiligingsproblemen en mogelijke corrigerende maatregelen om interne risico's te beperken.
#9. Informeer uw personeel.
De onderwerpen van een training variëren afhankelijk van de beveiligingsbedreigingen, middelen en methoden die door een bepaald bedrijf worden gebruikt. De evaluatie van het succes van de interne dreigingsbewustzijnstraining is de laatste stap. U kunt dit doen door interviews met werknemers af te nemen, tests te maken of een aanval van binnenuit te simuleren om te observeren hoe uw medewerkers reageren.
#10. Controleer uw programma regelmatig.
Het maken van een insider threat-programma is een continu proces. Om uw programma effectief te laten zijn, moeten bedreigingen van binnenuit veranderen en geavanceerder en gevaarlijker worden.
Waarom zijn bedreigingen van binnenuit zo gevaarlijk
Volgens een SANS-rapport over geavanceerde bedreigingen zijn er grote hiaten gevonden in de verdediging tegen bedreigingen van binnenuit. Deze lacunes worden veroorzaakt door een gebrek aan basisgegevens over normaal gebruikersgedrag en door slecht beheer van de toegangscontrole van geprivilegieerde gebruikersaccounts, die het belangrijkste doelwit zijn van brute kracht en social engineering-aanvallen zoals phishing.
De beste beveiligingsteams hebben nog steeds moeite met het identificeren van bedreigingen van binnenuit. Insiders hebben per definitie legale toegang tot de activa en informatie van het bedrijf. Het is moeilijk om het verschil te zien tussen legitieme activiteiten en schadelijk gedrag.
Op rollen gebaseerd toegangsbeheer is een ontoereikende controle, aangezien insiders vaak weten waar gevoelige gegevens worden bewaard en legitieme toegangseisen kunnen hebben, wat het probleem verergert.
Daarom is een door een insider veroorzaakt datalek aanzienlijk duurder dan een datalek dat wordt veroorzaakt door externe bedreigingsactoren. Onderzoekers ontdekten dat de gemiddelde kosten per record voor een kwaadaardige of criminele aanval $ 166 waren, vergeleken met $ 132 voor systeembugs en $ 133 voor menselijke fouten, in het Ponemon Institute's 2019 Cost of a Data Breach Report.
U kunt begrijpen waarom het opzetten van een programma voor interne bedreigingen een verstandige investering is als u bedenkt dat bedreigingen van binnenuit verantwoordelijk zijn voor ongeveer een derde van de datalekken (Verizon) en 60 procent van de cyberaanvallen (IBM).
Oplossingen voor detectie van insiderbedreigingen
Omdat ze verborgen zijn voor typische beveiligingsoplossingen zoals firewalls en inbraakdetectiesystemen, die zich richten op externe bedreigingen, zijn bedreigingen van binnenuit moeilijker te detecteren of te voorkomen dan aanvallen van buitenaf. De getroffen beveiligingsmaatregelen konden het ongebruikelijke gedrag niet opmerken als een aanvaller misbruik maakte van een geautoriseerde login. Bovendien, als kwaadwillende insiders bekend zijn met de beveiligingsprotocollen van een organisatie, kunnen ze detectie gemakkelijker omzeilen.
In plaats van te vertrouwen op één enkele oplossing, moet u uw strategie voor het detecteren van interne bedreigingen diversifiëren om al uw bedrijfsmiddelen te beschermen. Een efficiënt detectiesysteem voor bedreigingen van binnenuit integreert verschillende methoden om niet alleen activiteiten van binnenuit te bewaken, maar ook om valse positieven uit een groot aantal waarschuwingen te verwijderen.
Toepassingen voor machine learning (ML) kunnen worden gebruikt om de datastroom te beoordelen en de belangrijkste alerts te rangschikken. Om te helpen bij het identificeren, analyseren en informeren van het beveiligingsteam over eventuele interne risico's, kunt u gebruik maken van digitale forensische en analysetechnologieën zoals User and Event Behavior Analytics (UEBA).
Terwijl monitoring van database-activiteit kan helpen bij het opsporen van beleidsovertredingen, kan analyse van gebruikersgedrag een basislijn creëren voor typische gegevenstoegangsactiviteiten.
Wat is de meest voorkomende bedreiging van binnenuit?
De meest typische bedreigingen van binnenuit
- Overmatige geprivilegieerde toegang
- Misbruik van privileges
- SQL Injection
- Zwakke audittrail
- Database-inconsistenties
- Phishingaanvallen
Wat zijn de 3 belangrijkste motivaties voor bedreigingen van binnenuit?
- Kwaadaardig: het nastreven van financieel gewin of het zoeken naar vergelding voor een misdrijf
- Nalatig: onzorgvuldig of onwetend
- Compromis: zich niet bewust van het gevaar dat ze vertegenwoordigen
Wat zijn de 3 fasen van een bedreiging van binnenuit?
De belangrijkste stappen om bedreigingen van binnenuit te verminderen, zijn het definiëren, detecteren, identificeren, beoordelen en beheren.
Wat zijn de top 5 indicatoren van een insider threat actor?
- Soorten bedreigingen van binnenuit
- Onvoldoende opleiding
- Ineffectieve processen.
- Ontevredenheid op het werk.
- Financiële moeilijkheden.
Wat zijn de drie belangrijkste soorten bedreigingen?
Natuurlijke bedreigingen (zoals aardbevingen), fysieke beveiligingsbedreigingen (zoals stroomuitval die apparatuur vernielt) en menselijke bedreigingen (zoals blackhat-aanvallers die intern of extern kunnen zijn) zijn de drie meest brede categorieën.
Wat wordt niet beschouwd als een bedreiging van binnenuit?
Een aanval wordt niet beschouwd als een bedreiging van binnenuit als deze afkomstig is van een onbetrouwbare, niet-geïdentificeerde, externe bron. Om abnormale verkeersgewoonten te identificeren, zijn geavanceerde bewakings- en logboeksystemen nodig om te beschermen tegen aanvallen van binnenuit.
Gerelateerde artikelen
- INTELLIGENTIE CYBERBEDREIGING: betekenis, tools, analist en salaris
- HANDEL MET VOORKENNIS: Betekenis, voorbeelden en aandelen
- Klantloyaliteitsprogramma's en -ideeën (+ Hoogst gewaardeerde programma's in 2023)
- Wat is forensische boekhouding: overzicht en hoe het werkt?
Referenties
