Eén van de grootste dreigingen voor cloudinfrastructuur is een insider threat. Naarmate meer bedrijven overstappen naar cloud- en hybride omgevingen, lopen medewerkers het risico dat ze hun organisatie blootstellen aan geavanceerde cyberdreigingen. Vanwege het belang van cloudinfrastructuur voor organisaties en de privileges die insiders vaak hebben, is het verminderen van risico’s van insider threats nu een prioriteit voor securityteams.
Of het nu uit nalatigheid is of met kwaadwillige bedoelingen: insider threats vormen een ernstig risico voor de cloudbeveiliging, omdat ze moeilijker te detecteren en te bestrijden zijn. Omdat ze al deel uitmaken van de organisatie, worden ze als ‘betrouwbaar’ beschouwd. In tegenstelling tot een externe indringer hoeven insiders geen externe beveiligingsmaatregelen te doorbreken om toegang te krijgen tot gevoelige middelen.
Interne risico’s kunnen voortkomen uit verschillende redenen. Kwaadwillige insiders kunnen bijvoorbeeld gemotiveerd zijn om schade aan te richten aan een systeem voor omkoping of uit wraak voor een vermeende belediging. Hun doelen lopen uiteen van opzettelijke datadiefstal, datavernietiging en spionage tot persoonlijk gewin. Kwaadwillige insiders kunnen het systeem bestuderen en een serieuze aanval uitvoeren op specifieke zwakke punten in de infrastructuur.
In Ponemon’s recente onderzoek naar insider threats blijkt dat zowel nalatige als kwaadwillige interne risico’s, evenals diefstal van inloggegevens, in de afgelopen twee jaar met 44 procent zijn gestegen. Incidenten met gecompromitteerde gebruikers kosten wereldwijd meer dan 15 miljoen dollar. Bij veel incidenten zijn cloudinfrastructuren het belangrijkste doelwit, waarbij het rapport van Ponemon aangeeft dat 52 procent van de bedrijven cloudbeveiliging als één van hun grootste risico’s noemt.
Best practices
De volgende best practices kunnen beveiligingsteams helpen deze risico’s te beperken:
- Implementeer het principle of least privilege (polp)
Eén van de belangrijkste manieren om gevoelige gegevens en systemen te beschermen, is door het aantal gebruikers met toegang tot deze gegevens te beperken en de machtigingen die ze hebben bij het uitoefenen van die toegang te begrenzen. Om risico’s te minimaliseren, kunnen bedrijven het principle of least privilege (polp) implementeren.
Polp is een beveiligingsconcept dat stelt dat elke gebruiker, elk programma of elk systeemcomponent alleen toegang moet hebben tot de bronnen die ze nodig hebben om hun functie uit te voeren. Dit werkt om de potentiële schade te minimaliseren die kan ontstaan als gevolg van een beveiligingsinbreuk of een verkeerde configuratie.
Het idee achter het polp is dat door de toegang tot bronnen te beperken, het aanvalsoppervlak wordt verkleind. Door de bronnen die een gebruiker of programma kan openen te beperken, wordt het moeilijker voor aanvallers om toegang te krijgen tot gevoelige informatie.
- Voer regelmatige een security awareness-training uit
Het rapport van Ponemon spreekt van nalatigheid in 56 procent van de incidenten, in vergelijking met 26 procent die in verband staat met criminele insiders. Dit maakt nalatigheid tot een hoofdoorzaak van de meeste cybersecurity-incidenten en kan variëren van onbeveiligde apparaten, onbeschermde wachtwoorden, het niet naleven van de beveiligingsbeleid van de organisatie of het vergeten om software te patchen of te upgraden.
Onbedoelde insider threats kunnen ontstaan door kleine acties, zoals klikken op kwaadaardige links of het delen van gevoelige informatie met ongeautoriseerde personen. Bedrijfsleiders kunnen dit type interne dreiging bestrijden door regelmatige en toegankelijke security awareness-training te implementeren en een goede cyberhygiëne te bevorderen. Medewerkers die getraind zijn in het herkennen van de tekenen en gevolgen van interne risico’s, kunnen helpen voorkomen dat ze überhaupt plaatsvinden.
- Gebruik gedragsanalyse
Gedragsanalyse kan een krachtig hulpmiddel zijn voor beveiligingsteams die interne risico’s in hun cloudomgevingen willen beperken. Door gedrag real-time te meten, kan analyse rode vlaggen tonen bij eventuele afwijkingen die wijzen op mogelijke kwaadaardige activiteit.
Zo kan gedragsanalyse bijvoorbeeld inlogtijden, locaties en toegangspatronen monitoren om verdachte veranderingen of afwijkingen van normaal gedrag te detecteren. Het kan ook pogingen detecteren om ongeautoriseerde bronnen te openen, ongeautoriseerde acties uit te voeren of gegevens te exfiltreren.
Gedragsanalyse is essentieel voor hoe beveiligingsteams hun zoektocht naar potentiële insider threats stroomlijnen. Hoe meer tijd er wordt bespaard tijdens die belangrijke zoekfase, des te effectiever kan de respons zijn om incidenten te stoppen voordat ze uitgroeien tot ernstige beveiligingscrises.
- Implementeer dspm (data security posture management)
Het plannen van de beveiliging van kritieke gegevens vereist een allesomvattende aanpak van gegevensbeveiliging en privacy. Door data security posture management (dspm) te implementeren, kunnen bedrijven hun toegang tot gegevens beheren en lekken voorkomen door beleid en controles in te stellen om gevoelige gegevens te beschermen tegen ongeautoriseerde toegang, delen en exfiltratie.
- Voer regelmatige audits uit
Regelmatige audits van uw cloudinfrastructuur zijn essentieel om zwakke punten of beveiligingslekken te identificeren en aan te pakken. Dit omvat het controleren van systeemconfiguraties, toegangsbeheerinstellingen, beveiligingsbeleid en -procedures, en het evalueren van naleving van best practices en regelgeving.
Het is belangrijk om ervoor te zorgen dat de audits onafhankelijk en grondig worden uitgevoerd, met de betrokkenheid van beveiligingsexperts en mogelijk externe consultants. Daarnaast moet u ervoor zorgen dat eventuele gevonden kwetsbaarheden tijdig worden verholpen en dat er een follow-upproces wordt geïmplementeerd.
Serieuze uitdaging
Insider threats vormen een serieuze uitdaging voor de beveiliging van cloudinfrastructuur. Door het implementeren van best practices zoals polp, security awareness-training, gedragsanalyse, dspm en regelmatige audits, kunnen organisaties het risico van insider threats verminderen en de beveiliging van hun cloudomgevingen versterken.