Home Security De vaak vergeten cyberdreiging vanuit de eigen organisatie

De vaak vergeten cyberdreiging vanuit de eigen organisatie

22

Cybercriminelen hebben veel manieren om organisaties van buitenaf aan te vallen, vaak met veel schade als gevolg. Er bestaat echter nog een andere, vaak vergeten dreiging die potentieel dezelfde of zelfs meer schade kan aanrichten. Deze dreiging komt van binnen de eigen organisatie en wordt ook wel ‘insider threats’ genoemd. Insider threats zijn aanvallen die – vaak onbedoeld – worden uitgevoerd door collega’s, zakelijke relaties, vrienden, familie etc., die worden vertrouwd met bedrijfsgeheimen en andere gevoelige gegevens.

Aangezien vrijwel iedereen – al dan niet opzettelijk – aan de basis kan staan van een insider threat, is het essentieel om dit soort aanvallen vroegtijdig te detecteren. Endpoints, gebruikers, data, resources, gedrag, processen, workflows en toegangsrechten moeten allemaal gemonitord worden om datalekken te voorkomen.

Er bestaan verschillende soorten insider threats:

  • Kwaadaardig/opzettelijk: dit is waarschijnlijk de meest voorkomende vorm. De daders weten vaak precies wat ze zoeken en waar ze dit kunnen vinden. Daarnaast hebben ze vaak een motief waarom ze de organisatie schade willen toebrengen. Denk bijvoorbeeld aan een ontevreden medewerker of iemand binnen de organisatie die samenwerkt met een concurrent om gevoelige informatie te verzamelen.
  • Onopzettelijk: de mensen die in deze categorie vallen hebben zelden een motief, ze weten vaak niet eens dat door hun handelingen gevoelige informatie is gelekt. Denk aan verliezen van een niet-versleutelde USB-stick met gevoelige data.
  • Derden: deze groep bestaat voornamelijk uit freelancers en andere externe gebruikers die niet officieel medewerker van de organisatie zijn, maar die taken uitvoeren waarvoor speciale rechten of toegang tot bepaalde bedrijfsinformatie nodig is. Bijvoorbeeld externe engineeringteams die ondersteuning bieden voor hard- en software.

Bekende indicatoren van insider threats

Net als bij vrijwel iedere cyberaanval, zijn er een aantal indicatoren voor insider threats die gebruikt kunnen worden om de dreiging te identificeren terwijl de aanval plaatsvindt. Met deze indicatoren kunnen ook telemetriedata worden verzameld die gebruikt kunnen worden om de securitymaatregelen aan te scherpen. Op die manier worden de dreigingen steeds beter gedetecteerd en worden de risico’s beperkt.

Hier zijn de drie belangrijkste indicatoren:

  • Gedragsindicatoren: hoewel je veranderingen in stemming, houding of manieren niet kan zien als een sterke aanwijzing voor insider threat – er bestaat immers een leven naast werk –, zou je er wel op moeten letten. Een oplettende medewerker kan een onverwachte gedragsverandering signaleren en misschien achterhalen wat daarvan de oorzaak is. Enkele voorbeelden waar aan valt te denken zijn: onverwachte financiële meevallers of tegenvallers, het niet eens zijn met het bedrijfsbeleid of ruzie met collega’s/managers.
  • Technische indicatoren: technische indicatoren kunnen niet door iedereen binnen de organisatie worden gesignaleerd, dit kunnen alleen beheerders zien. Zij kunnen de activiteiten van gebruikers nagaan, zoals toegang vragen tot een bepaald document, data kopiëren vanuit het bedrijfsnetwerk naar een USB-stick of het versturen van e-mails met gevoelige informatie bijgevoegd. Op zich zijn deze handelingen geen indicators van een insider threat, maar als ze in combinatie voorkomen, kan dit wel iets zijn om te checken.
  • Informatie indicatoren: de derde en makkelijkste methode om insider threats te detecteren, is helaas ook de methode die beheerders de minste mogelijkheden geeft om ze te voorkomen, namelijk het checken van de logbestanden. Logs worden gegenereerd nadat een actie of handeling heeft plaatsgevonden. Beheerders kunnen die logs bekijken en vervolgens bepalen wat er is gebeurd, wanneer, door wie en of het succesvol was. Met deze informatie kan bijvoorbeeld worden gecheckt of de endpoint security goed werkt en kunnen er zo nodig additionele securitymaatregelen worden genomen. Voorbeelden waarop gelet moet worden bij het bekijken van de logs zijn: wijzigingen in de gebruikersrechten, het herbenoemen van documenten of het gebruik van hardware dat niet afkomstig is van of beheerd wordt door de organisatie.

Hoe kan je insider threats beter detecteren?

Om insider threats actief te detecteren en tegen te houden, is er meer nodig dan alleen het gedrag van gebruikers controleren. Hieronder volgt een aantal methodes die passen in een defense-in-depth strategie. Hierbij worden er meerdere securitymethodes op verschillende niveaus ingezet:

User Activity Monitoring

De eerste manier om insider threats te detecteren richt zich op het monitoren van mogelijk verdacht gedrag van gebruikers. Hier zijn twee verschillende manieren voor:

  • Endpoint monitoring: hierbij wordt er een ‘agent’ geïnstalleerd op het device van de medewerkers dat verschillende dingen in de gaten kan houden. Er wordt gekeken of er gevoelige informatie wordt opgevraagd, waarbij een gebruiker vervolgens daar alleen vooraf goedgekeurde handelingen mee mag uitvoeren. Vaak communiceert die agent via een cloud service met IT- en securitybeheerders, die er voor zorgen dat alle configuraties centraal worden uitgevoerd en dat de gevoelige data veilig blijft.
  • Network monitoring: network monitoring is in grote lijnen vergelijkbaar met endpoint monitoring, maar in plaats van een agent op het device, wordt nu het netwerk gemonitord. Vaak is deze vorm van monitoring verpakt in een netwerk appliance en is het zo verbonden met het netwerk. Vervolgens wordt elk toegangsverzoek en alle handelingen op beschermde middelen gecontroleerd. Net als bij endpoint monitoring worden mogelijk ongewenste handelingen met beschermde data gelogd en vaak afgewezen.

Detectie van afwijkend gedrag

Methoden die afwijkend gedrag herkennen, helpen organisaties niet alleen om insider threats te detecteren, maar ook bij het identificeren, opsporen en stoppen van andere cyberdreigingen. Normaal gesproken is dit onderdeel van endpoint- en network monitoring.

  • User Behavior Analytics (UBA): door endpoint security te verrijken met metadata, ontstaan er meer mogelijkheden. Met behavior analytics kunnen potentiële dreigingen worden vastgesteld door te kijken wat de intentie achter een gebruikershandeling is. Als iets verdacht is, kan er gekozen worden om de toegang tot een bestand te blokkeren of kan er een melding worden gestuurd aan een beheerder om de situatie nader te beoordelen.
  • Machine Learning: machine learning (ML) kan snel data over potentiële dreigingen verwerken. Daarnaast leert ML van alle incidenten, waardoor het zichzelf blijft verbeteren. Hierdoor zijn oplossing op basis van ML in staat om snel op dreigingen te reageren.

Data Loss Prevention

Data Loss Prevention (DLP) is ontwikkeld om te voorkomen dat gevoelige, kritieke of vertrouwelijke data worden weggesluisd. Er bestaat voor DLP zowel een component die op de gebruikersdevices geïnstalleerd kan worden als een component voor het netwerk. 

  • Content analyse: deze vorm van DLP analyseert de content van bijlagen in e-mails, bestanden die worden weggeschreven naar USB-sticks, etc. Er zijn verschillende methodes om content te analyseren. Er kan bijvoorbeeld gekeken worden of de content telefoonnummers of BSN’s bevat, of er kan worden gecheckt of documenten door de organisatie als ‘vertrouwelijk’ zijn geclassificeerd, zoals financiële informatie.
  • Netwerkanalyse: dit werkt op een vergelijkbare manier als content analyse, maar biedt extra beveiliging doordat dit is verwerkt in een appliance die zich bij de ‘uitgangen’ van het netwerk naar buiten bevinden. Zo wordt al het uitgaande verkeer geanalyseerd voordat deze informatie het bedrijfsnetwerk verlaat.

Conclusie

Insider threats zijn een reële dreiging waarvoor organisaties zich moeten en kunnen voorbereiden om het risico op diefstal van gevoelige gegevens of gerichte aanvallen te verkleinen. Het detecteren van belangrijke indicatoren is hierbij essentieel, dit is mogelijk met behulp van verschillende tools en methoden.

Arnold Bijlsma, Security Manager Jamf Benelux

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in