Home Security Hybride werken leidt tot verborgen insider threats?

Hybride werken leidt tot verborgen insider threats?

96

Insider threats zijn geen nieuw fenomeen. Helaas is het cybersecurity-landschap bezaaid met alarmerende verhalen van bedrijven die het slachtoffer zijn geworden van aanvallen van binnenuit. De afgelopen jaren is het aantal incidenten met insiders echter fors toegenomen, met een stijging van bijna 50% tussen 2018 en 2020. En de gevolgen kunnen ernstig zijn. Aanvallen door insiders kosten bedrijven naar schatting zo’n 11,45 miljoen dollar per jaar.
Hoewel veel organisaties zich inmiddels bewust zijn van de dreiging van insiders, maakt de moderne werkplek preventie steeds moeilijker. Aangezien velen van ons inmiddels gewend zijn aan werken op afstand en hybride werken, is het onwaarschijnlijk dat we ooit nog terugkeren naar de normen die gelden in een kantooromgeving.

De daaruit voortvloeiende afhankelijkheid van cloud-oplossingen, veranderde werktijden, veranderd gedrag, en een gebrek aan zichtbaarheid maken het veel moeilijker om je te verdedigen tegen insider threats, of ze nu kwaadwillend of nalatig zijn. Forrester schat zelfs dat dit jaar een derde van alle cyberaanvallen door insiders zal worden veroorzaakt. In 2020 lag dat percentage op 25%.
Met deze groeiende dreiging in het achterhoofd is het duidelijk dat er behoefte is aan een allesomvattende oplossing voor Insider Threat Management (ITM). Organisaties moeten nu meer dan ooit robuuste ITM-programma’s implementeren, met een combinatie van tools, technologie, processen en – misschien wel het belangrijkste – mensen.

Inzicht in insider threats

Traditionele cyberdefensies zijn opgebouwd uit perimeters, ontworpen om bescherming te bieden tegen aanvallen van buitenaf. Insider threats vragen echter om een verdediging waarmee je je gegevens, netwerken en systemen kunt beschermen in een omgeving zonder perimeter. Dit vereist een andere aanpak, met op maat gemaakte tools, strategieën en bewustwordingstrainingen. Helaas wordt dit door een zorgwekkend aantal organisaties nog steeds over het hoofd gezien.
Tot overmaat van ramp zijn insider threats er in vele vormen. Van mensen die je organisatie opzettelijk kwaad willen doen tot mensen die dat per ongeluk doen. En dan zijn er nog anderen die eigenlijk helemaal geen “insiders” zijn.

De meest voorkomende is de nalatige insider, goed voor bijna tweederde van alle incidenten. Ze doen zich voor wanneer een gebruiker een cybercrimineel onbedoeld toegang geeft tot je gegevens en systemen. Bijvoorbeeld door op een schadelijke link te klikken, hun wachtwoord verkeerd te gebruiken of per ongeluk gevoelige informatie te openbaren.
Hoewel kwaadwillende insiders minder vaak voorkomen, zorgen ze meestal wel voor meer schade. De kosten bedragen gemiddeld 755.760 dollar per incident, vergeleken met 307.111 dollar wanneer ze worden veroorzaakt door nalatigheid. Kwaadwillende insiders kunnen worden veroorzaakt door medewerkers die uit zijn op wraak of financieel gewin. Of door cybercriminelen die legitieme accounts hebben gecompromitteerd om binnen te dringen in uw netwerken.

Gehackte accounts

Het derde type insider threats treedt op wanneer accounts worden gehackt – wat gemiddeld 871.686 dollar per incident kost. Hierbij gaat het om een crimineel die de inloggegevens van gebruikers ontfutselt om ongeautoriseerde toegang te krijgen tot applicaties en systemen. Dit is de duurste soort insider threat.

Het is in ieder geval algemeen bekend dat het lastig is om insider threats op te sporen en te bestrijden. Nalatige insiders zonder motief laten vaak niet de alarmbellen afgaan. Kwaadwillende aanvallers doen daarentegen veel moeite om hun sporen uit te wissen en geen argwaan te wekken. Tel daarbij op een relatief nieuwe manier van werken, een verspreid personeelsbestand en een veel groter aanvalsoppervlak, en de uitdaging waar cybersecurity-teams voor staan wordt overduidelijk.

De hybride factor

Hybride omgevingen verhogen niet alleen het risico op insider threats, maar zonder een uitgebreid ITM-programma zijn ze ook veel moeilijker te detecteren.
Hoewel veel organisaties inmiddels gewend zijn aan hybride werken, is het nog steeds een relatief recente ontwikkeling. Cybersecurity-teams leren steeds meer over wat hun logbestanden hen vertellen. Gebruikers hebben toegang tot netwerken vanaf verschillende locaties en apparaten, en op tijdstippen die vroeger misschien als ongebruikelijk werden beschouwd.

Nu flexibele werkpatronen gemeengoed zijn geworden, zijn trends veel moeilijker te herkennen. Gedrag dat van oudsher als verdacht werd beschouwd, hoeft niet langer te leiden tot ongerustheid. De meeste organisaties hebben nu ook veel meer toegangspunten, waardoor het potentiële aanvalsoppervlak enorm is toegenomen.
Dan is er nog de sociale en psychologische impact van flexibele en hybride omgevingen. Buiten de kantooromgeving zijn gebruikers wellicht eerder geneigd om af te wijken van best practices. Denk hierbij aan privécomputers die voor werk worden gebruikt of bedrijfsapparaten voor persoonlijke zaken. Maar ook het opschrijven van wachtwoorden of gebruikers die op onjuiste wijze toegang proberen te krijgen tot systemen en gegevens.

Het meest verontrustende is dat veel gebruikers niet eens weten wat de best practices zijn bij het thuiswerken. Eind 2020 had slechts 36% van de bedrijven hun gebruikers getraind in manieren om veilig op afstand te werken, ondanks het feit dat 92% van hen was overgestapt op werken op afstand.
Thuiswerken brengt ook de nodige afleiding met zich mee, van huishoudelijke klusjes tot het comfort van de thuisomgeving. Dit alles kan gebruikers vatbaarder maken voor eenvoudige maar kostbare fouten. Daarnaast kunnen mensen met kwade bedoelingen het gevoel hebben dat ze vrijer kunnen opereren buiten de bedrijfssfeer.

Een Insider Threat Management-programma opzetten

Het effectief opsporen en afschrikken van insider threats op de moderne werkplek mag dan moeilijk zijn, maar het is zeker niet onmogelijk. De oplossing is een allesomvattend ITM-programma, dat controles, processen en mensen combineert. Dit begint met het opzetten van een speciaal team dat insider threats monitort en verdachte activiteiten onderzoekt.

Voor een mensgericht ITM-programma zijn specifieke middelen nodig. Bijvoorbeeld monitoring-tools waarmee het stelen van data, misbruik van privileges, onjuist gebruik van applicaties, ongeautoriseerde toegang en riskant en afwijkend gedrag kan worden opgespoord.
Laat dit ITM-team duidelijke best practices opstellen en implementeren voor hybride werken. Hierbij moet de aandacht uitgaan naar systeem- en netwerktoegang, gebruikersprivileges, wachtwoordhygiëne, ongeautoriseerde applicaties, BYOD, gegevensbescherming en meer.

Tot slot is kennis de hoeksteen van elk robuust ITM-programma. Jouw ITM-team moet goed weten wat er met de data binnen jouw bedrijf gebeurt. Met andere woorden: wie heeft toegang tot welke data, wanneer, waarom en via welk platform? Deze informatie kan helpen om motieven en opzet te achterhalen, wat essentieel is om vroegtijdige waarschuwingssignalen van insider threats te herkennen.
Gebruikers moeten ook worden voorzien van de kennis waarmee zij zichzelf en je organisatie kunnen beschermen. Dit is alleen mogelijk door voortdurende en adaptieve training in beveiligingsbewustzijn. Training moet verder gaan dan multiple-choice toetsen en basale veiligheidsmaatregelen, en zich richten op het gedrag van gebruikers.
Of ze nu thuis zijn, op kantoor of daartussenin, werknemers moeten weten welk gedrag van hen wordt verwacht en welke rol ze spelen om jouw bedrijf veilig te houden.

Jim Cox, Area Vice President Benelux bij Proofpoint

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in