Waarom insider threats toenemen en hoe je ertegen kan beschermen

Het gevaar van cyberdreigingen die uit de organisatie zelf afkomstig zijn, neemt toe, zo blijkt uit verschillende studies. Tegelijk lijkt er nog een taboe rond interne dreigingen te bestaan, terwijl ze heel wat schade kunnen veroorzaken. Waar komt de evolutie vandaan en hoe kunnen bedrijven zich ertegen beschermen?

Eén op vijf cybersecurity-incidenten wordt veroorzaakt door mensen binnen het bedrijf, zo concludeerde Verizon in zijn Insider Threat Report, dat eerder dit jaar verscheen. Amper een maand later kwam securityleverancier Bitglass met een gelijkaardig rapport op de proppen, waarbij 60 procent van de respondenten in een survey aangaf dat hun organisatie in 2018 slachtoffer was gevallen van minstens één insideraanval. Drie op vier (73%) bevraagde professionals was bovendien van mening dat het aantal incidenten toeneemt.

De gezichten van insider threats

De reden voor die toename is niet zozeer dat er vandaag meer misnoegde of onloyale werknemers rondlopen, maar wel dat het aantal apparaten en cloudapplicaties waarop bedrijfsgegevens terechtkomen almaar stijgt. Data worden steeds meer gebruikt door allerlei apps, op meer apparaten, die makkelijker de bedrijfsomgeving verlaten.

Het Verizon-rapport onderscheidt vijf categorieën van insider threats, die zeker niet allemaal van kwaad opzet uitgaan:

  1. De onachtzame medewerker: Werknemers of partners die middelen verkeerd inzetten, gebruiksbeleid overtreden, gegevens verkeerd verwerken, ongeautoriseerde applicaties installeren en niet-toegestane oplossingen gebruiken.
  2. De interne agent: Insiders die door externe partijen zijn aangeworven, gevraagd of omgekocht om gegevens te stelen.
  3. De ontevreden werknemer: Werknemers die uit ongenoegen proberen hun organisatie schade toe te brengen, door vernietiging van gegevens of verstoring van bedrijfsactiviteiten.
  4. De kwaadwillende insider: Dit zijn werknemers of partners met toegang tot bedrijfsmiddelen, die bestaande rechten gebruiken om toegang te krijgen tot informatie voor persoonlijk gewin.
  5. De nalatige derde partij: Zakenpartners die de beveiliging in gevaar brengen door nalatigheid, misbruik of kwaadwillige toegang tot of gebruik van een asset.

Taboe

Deze bedreigingen van binnenin vormen een even groot, of zelfs groter, risico voor de beveiliging in vergelijking met externe aanvallen. Insider threats zijn doorgaans werknemers of partners die reeds op een legitieme manier toegang hebben tot je systemen, terwijl dat voor een externe aanvaller net de grootste uitdaging is. Het maakt dat een insideraanval in veel gevallen minder snel wordt opgemerkt – 54 procent van de respondenten in het Bitglass-survey zegt dat het moeilijker is om een interne aanval te ontdekken ten opzichte van een externe – wat betekent dat traditionele perimeterbescherming compleet nutteloos is om ertegen te beschermen.

 

“Vaak worden insider threats behandeld als een schande of een probleem voor de HR-afdeling.”

 

Ondanks het risico, hangt er vandaag nog een taboe rond insider threats. “Veel te lang werden datalekken en cybersecurity-incidenten veroorzaakt door insiders opzij geschoven en niet serieus genomen. Vaak worden ze behandeld als een schande of een probleem voor de HR-afdeling”, zegt Bryan Sartin, executive director voor Security Professional Services bij Verizon. “Dat moet veranderen. Cyberdreigingen zijn niet alleen afkomstig van externe bronnen en om cybercriminaliteit in zijn geheel te bestrijden, moeten we ons ook richten op bedreigingen die binnen de muren van een organisatie liggen.”

cloud byod
Een insider threat is niet altijd kwaadwillig. Door de opkomst van cloud en BYOD verlaten data steeds vaker de bedrijfsmuren, waardoor er meer risico is op incidenten.

Meerlagige verdediging

Door de opmars van BYOD en de (multi-)cloud is de traditionele securityperimeter nagenoeg in rook opgegaan. Het bedrijfsnetwerk heeft niet langer duidelijk afgelijnde grenzen en informatie begeeft zich steeds meer buiten de muren van de organisatie. Het typische karakter van insider threats vraagt om een verdediging die meerdere lagen dekt.

Access control en identity management

Wie heeft toegang tot welke data en is dat (nog) noodzakelijk? De sleutel voor goed identity management is dat het dynamisch gebeurt. Vandaag vormen gebruikers de perimeter van je netwerk en dus kan je toegang en identiteiten maar beter centraal beheren, om het overzicht en de controle te bewaren.

Een nieuw account is snel aangemaakt, maar moet ook aangepaste toegangsrechten en bescherming krijgen. Gebruikers hebben alleen toegang nodig tot de data en toepassingen die ze voor hun dagelijkse taken gebruiken, en dat kan doorheen de tijd veranderen. Voor accounts met hogere rechten kan bijvoorbeeld multi-factorauthenticatie worden opgelegd.

 

Wie heeft toegang tot welke data en is dat (nog) noodzakelijk?

 

Data loss prevention (DLP)

Data loss prevention helpt, zoals de naam al doet vermoeden, bij het voorkomen van dataverlies. DLP monitort endpoints, opslagsystemen, netwerk- en cloudverkeer om te detecteren wanneer (gevoelige) gegevens ongeautoriseerd worden opgeslagen of verspreid, zodat ze niet in verkeerde handen vallen.

DLP waarschuwt bij een inbreuk, en past encryptie en andere beschermende acties toe om te voorkomen dat een gebruiker per ongeluk of met opzet gegevens buiten de organisatie verspreid die het bedrijf schade kunnen berokkenen.

Automatisering

Nu steeds meer workloads in de cloud draaien, worden geautomatiseerde security-oplossingen almaar belangrijker. Een reactieve oplossing op basis van manuele analyse is niet snel genoeg meer. Geautomatiseerde oplossingen steunen op machine learning om verdachte activiteit in realtime vast te stellen, en kunnen een incident van detectie tot respons afhandelen.

Automatisering is vandaag het sleutelwoord voor het optimaliseren van verschillende processen binnen de organisatie en security hoort daar zeker bij. Als een gebruiker op je netwerk plots vanaf een ander land inlogt, een applicatie buiten de gebruikelijke kantooruren raadpleegt of grote hoeveelheden gegevens downloadt, kan het systeem daar onmiddellijk op reageren en de gebruiker bijvoorbeeld tijdelijk blokkeren.

Training

Tot nu toe hebben we het alleen over technologische oplossingen gehad, maar daarmee kijken we over één belangrijke factor heen: de mens. Door je personeel bewust te maken van de gevolgen van roekeloos gedrag en hen best practices inzake security bij te brengen, kom je ook al een heel eind.

Gerelateerd: Het risico van multi-cloud: verlies de controle over je data niet uit het oog