Hackers, malware-infecties, ransomware en andere bedreigingen van buitenaf halen keer op keer het nieuws. Daar is een reden voor. Het verlies van miljoenen gegevensbestanden als gevolg van beveiligingsincidenten lijkt schering en inslag. En nu de digitale economie met alle aspecten van ons dagelijks leven wordt geïntegreerd, kan een grootschalige cyberaanval verwoestende gevolgen hebben. Maar in de praktijk vindt de overgrote meerderheid van alle cyberaanvallen nog altijd onder de radar plaats: door insiders.
Hoewel gerichte aanvallen niet zichtbaar zijn voor ons en we er evenmin van horen, waren ze wel verantwoordelijk voor het leeuwendeel van de 600 miljard dollar aan schade die cyberaanvallen in 2018 wereldwijd veroorzaakten. Wat we ons nog minder realiseren, is dat bijna de helft van alle datalekken en hacks niet het werk is van personen buiten de organisatie, maar het gevolg van acties door insiders. In bijna de helft van alle gevallen is er sprake van kwaad opzet, de overige incidenten zijn het gevolg van onbedoeld schadelijke handelingen.
Bedreigingen van binnenuit signaleren
Bedrijven kunnen bedreigingen door insiders de baas blijven door niet alleen handelingen van gebruikers te spotten die wijzen op misbruik van bedrijfsbronnen, maar ook om medewerkers te identificeren die dit soort acties met de meeste waarschijnlijkheid zullen uitvoeren. Er zijn twee typen insiders die een gevaar voor uw organisatie vertegenwoordigen
- Type A – Gebruikers met kwade bedoelingen
Deze werknemers willen hun werkgever om diverse redenen benadelen. Het kan gaan om financieel gewin, bedrijfsspionage in opdracht van een concurrent of een buitenlandse mogendheid, of wraak voor iets wat ze als onrecht zien, zoals het uitblijven van een promotie of werken onder een slechte manager.
Aanvallen door insiders resulteren in diefstal van waardevolle data en intellectueel eigendom, het lekken van interne gegevens of potentieel beschamende informatie naar concurrenten of de buitenwereld en het kapen of saboteren van databases en servers. Klanten- en werknemersgegevens, zoals persoonlijk herleidbare informatie en zorggegevens hebben de hoogste handelswaarde op het dark web en zijn dan ook het meest gewilde doelwit. Intellectueel eigendom en creditcardgegevens komen op de tweede plaats.
In tegenstelling tot hackers van buitenaf, beschikken insiders over continue toegang tot het netwerk en geven ze blijk van vertrouwde patronen. Insiders kunnen hun aanvallen en pogingen tot gegevensdiefstal dan ook over een langere periode verspreiden. Dit biedt hen volop tijd om een aanvalsstrategie te plannen en uit te voeren, hun sporen uit te wissen en de overdracht van gegevens te verhullen voor beveiligingsoplossingen. Veel kwaadaardige insiders maken daarnaast misbruik van een inconsistent gebruik van beveiligingsregels binnen verschillende omgevingen om data te verplaatsen en detectie te omzeilen.
- Type B – Nalatige gebruikers
Het is niet ongebruikelijk dat organisaties bepaalde gebruikers meer toegangsrechten toekennen dan ze voor hun werk nodig hebben. Een manager die erop staat om speciale toegangsrechten tot een database te krijgen, kan met een simpele bewerking zoals het wijzigen van de veldlengte allerhande bedrijfskritische applicaties compleet in de war sturen. Of gebruikers zich nu onbewust zijn van de basisvoorzorgsmaatregelen voor de omgang met gevoelige applicaties en informatie, snel geneigd zijn om fouten te maken of simpelweg roekeloos te werk gaan, in de meeste gevallen hebben zij geen kwaad voor ogen.
Gegevensverlies en datalekken hoeven echter niet per se het gevolg te zijn van het op onjuiste wijze toekennen van toegangsrechten. Het verlies van mobiele apparaten, laptops en usb-sticks, het nalaten om data op harde schijven in afgedankte hardware te wissen zelfs het prijsgeven van zakelijke informatie tijdens chats op sociale netwerken zijn allemaal voorbeelden van acties die net zo kostbaar kunnen uitpakken als aanvallen van buiten.
Interne risico’s aanpakken
Om interne risico’s in te perken, moeten organisaties beschikken over een integraal overzicht van hun datastromen. Daarbij is het belangrijk om te weten wie wanneer welke data opvraagt en waar, zoals in het core-netwerk, multi-cloudomgevingen of het software-defined wide area network (sd-wan). Breng daarnaast risicovolle gebruikers in kaart zoals managers, beheerders en supergebruikers met toegang tot gevoelige informatie en houd een lijst bij van iedereen die toegang heeft tot bedrijfskritische data, systemen en applicaties.
Door mechanismen in te richten die uw beveiligingsteam helpen om aanvallen in een vroeger stadium te signaleren, is een effectief programma te ontwikkelen om uw organisatie te beschermen tegen bedreigingen door insiders. Zo zou u beducht moeten zijn op zaken zoals het toekennen van extra rechten en ongebruikelijke patronen van applicaties, dataverkeer en workflows, en al helemaal als er sprake is van verkeer tussen verschillende netwerkdomeinen.
Verder hebben organisaties oplossingen voor gedragsanalyse nodig die het complete netwerk scannen op abnormale gebeurtenissen en die direct rapporteren aan het beveiligingsteam. Overstappen op een ‘zero trust’-model en het toepassen van gedetailleerde interne netwerksegmentatie kan ervoor zorgen dat aanvallers geen kans krijgen zich een weg door het netwerk te banen. Het is ook belangrijk om procedures in te stellen die ervoor zorgen dat belangrijke meldingen direct door het beveiligingsteam worden gezien. Daarmee voorkomt u dat het wordt bedolven onder een stroom van informatie die van weinig of geen nut is.
Opletten
Andere zaken om op te letten zijn:
Onbevoegd gebruik van systemen en applicaties
- Werknemers die bedrijfsgegevens uploaden naar hun eigen cloud-omgevingen;
- Schaduw-it;
- Het opvragen, delen of uitwisselen van persoonlijk herleidbare informatie;
- De installatie van niet-goedgekeurde software en software zonder licentie;
- Het gebruik van verboden applicaties, zoals tools voor network sniffing en software voor het op afstand overnemen van de controle over andere computers.
Onbevoegde gegevensoverdracht
- Het gebruik van verwijderbare media voor de opslag of verplaatsing van data;
- Onbevoegd kopiëren van bedrijfskritische data naar een cloud- of internetdienst;
- Bestandsoverdracht van en naar ongebruikelijke locaties;
- Het verplaatsen van bestanden via social media of instant messaging-toepassingen.
Misbruik en kwaadaardig gedrag
- Misbruik van beheerdersrechten voor bestandssystemen;
- Het deactiveren of omzeilen van oplossingen voor endpoint-beveiliging;
- Het gebruik van tools voor wachtwoorddiefstal;
- Pogingen om toegang te zoeken tot het dark web.
Voorkomen is beter dan genezen
Het is mogelijk nog een stap verder te gaan met het voorkomen van problemen, en wel door een werkomgeving te creëren die goed gedrag van werknemers bevordert.
De kans bestaat dat werknemers op het idee komen om vertrouwelijke informatie met zich mee te nemen als ze de organisatie uit onvrede verlaten. Dat is bijvoorbeeld mogelijk als hun salarisniveau, loopbaanvooruitzichten of andere aspecten van hun werk onder meetbare tevredenheidsniveaus vallen. Het meten van de werknemerstevredenheid en het treffen van passende maatregelen kan daarom een belangrijke bijdrage leveren aan de preventie van aanvallen door insiders. Verder kan regelmatige security awareness-training zorgen voor een reductie van roekeloos gedrag onder werknemers.
Goede nieuws
De kans op aanvallen door insiders is groter dan we denken, zeker nu de omvang en complexiteit netwerken groeit. Roekeloosheid en kwaad opzet zijn twee belangrijke oorzaken. Het goede nieuws is dat aan beiden iets is te doen. Met voorlichting en training vergroot u de bewustwording van het personeel. U kunt een verantwoorde omgang met vertrouwelijke informatie bevorderen met bewaking van gebruikers met speciale rechten binnen het gedistribueerde netwerk, van de core tot de cloud. Dit zou u moeten combineren met dynamische netwerksegmentatie en de integratie van beveiligingstools tot één security fabric. Verder mogen geavanceerde mogelijkheden voor gedragsanalyse niet ontbreken.
Auteur Filip Savat is country manager bij Belux Fortinet.
