Wat is een insiderbedreiging? Insider-bedreigingen zijn gebruikers met legitieme toegang tot bedrijfsmiddelen die deze toegang, al dan niet met kwade opzet, gebruiken om het bedrijf schade toe te brengen. Insider-bedreigingen zijn niet noodzakelijkerwijs huidige werknemers, het kunnen ook voormalige werknemers, aannemers of partners zijn die toegang hebben tot de systemen of gegevens van een organisatie.
Want insider-bedreigingen vormen de primaire vector voor 60 procent van de datalekken, moeten organisaties de bedreigingen die elke dag de deur binnenkomen net zo streng onderzoeken als ze dat doen bij het beveiligen van de perimeter tegen externe aanvallers.
Waarom zijn insiderbedreigingen zo gevaarlijk?
In een SANS-rapport van 2019 over geavanceerde bedreigingen constateren beveiligingsdeskundigen grote hiaten in de verdediging tegen insiderbedreigingen, die worden veroorzaakt door een gebrek aan inzicht in een basislijn van normaal gebruikersgedrag en het beheer van geprivilegieerde gebruikersaccounts, die een aantrekkelijker doelwit vormen voor gevallen van phishing of het compromitteren van credentials.
Het detecteren van insiderbedreigingen is geen gemakkelijke taak voor beveiligingsteams. De insider heeft al legitieme toegang tot de informatie en bedrijfsmiddelen van de organisatie en het is een uitdaging om onderscheid te maken tussen de normale activiteiten van een gebruiker en mogelijk kwaadaardige activiteiten. Insiders weten doorgaans waar de gevoelige gegevens zich binnen de organisatie bevinden en hebben vaak verhoogde toegangsniveaus.
Dientengevolge is een datalek veroorzaakt door een insider aanzienlijk duurder voor organisaties dan een datalek veroorzaakt door een externe aanvaller. In de studie 2018 Cost of Insider Threats van het Ponemon Institute stelden onderzoekers vast dat de gemiddelde jaarlijkse kosten van een insiderbedreiging 8,76 miljoen dollar bedroegen, terwijl de gemiddelde kosten van een datalek in dezelfde periode 3,86 miljoen dollar bedroegen.
Lees meer over het opsporen van insiderbedreigingen
4 soorten insiderbedreigingen
Hoewel de term insiderbedreiging enigszins is gecoöpteerd om strikt kwaadaardig gedrag te beschrijven, bestaat er een afgebakend spectrum van insiderbedreigingen. Niet alle insiders zijn gelijk en variëren sterk in motivatie, bewustzijn, toegangsniveau en intentie.
Bij elk type insider bedreiging zijn er verschillende technische en niet-technische maatregelen die organisaties kunnen nemen om detectie en preventie te versterken. Gartner deelt insider-bedreigingen in vier categorieën in: pion, goof, collaborator en lone wolf.
Paas
Pionnen zijn medewerkers die worden gemanipuleerd om kwaadaardige activiteiten uit te voeren, vaak onbedoeld, via spear phishing of social engineering. Of het nu gaat om een onwetende werknemer die malware downloadt op zijn werkstation of een gebruiker die gegevens verstrekt aan een derde partij die zich voordoet als helpdeskmedewerker, deze vector is een van de bredere doelwitten voor aanvallers die de organisatie schade willen berokkenen.
Een voorbeeld is Ubiquiti Networks, dat slachtoffer werd van een spear-phishingaanval waarbij e-mails van hogere leidinggevenden werknemers opdroegen om 40 miljoen dollar over te maken naar de bankrekening van een dochteronderneming. De medewerkers wisten op dat moment niet dat de e-mails vervalst waren en dat de bankrekening door fraudeurs werd beheerd.
Goof
Goofs handelen niet met kwade bedoelingen, maar ondernemen opzettelijk en potentieel schadelijke acties. Goofs zijn onwetende of arrogante gebruikers die denken dat ze zijn vrijgesteld van het beveiligingsbeleid, uit gemakzucht of onbekwaamheid. Vijfennegentig procent van de organisaties heeft werknemers die actief proberen beveiligingscontroles te omzeilen en bijna 90 procent van de incidenten met insiders wordt veroorzaakt door goofs. Een voorbeeld van een blunder is een gebruiker die onversleutelde persoonlijk identificeerbare informatie (PII) opslaat in een cloud-opslagaccount voor gemakkelijke toegang op zijn apparaten, hoewel hij weet dat dit tegen het beveiligingsbeleid is.
Collaborator
Collaborators zijn gebruikers die samenwerken met een derde partij, vaak concurrenten en natiestaten, om hun toegang te gebruiken op een manier die opzettelijk schade toebrengt aan de organisatie. Collaborators gebruiken hun toegang doorgaans om intellectueel eigendom en klantinformatie te stelen of om de normale bedrijfsactiviteiten te verstoren.
Een voorbeeld van een collaborator is Greg Chung, een Chinees staatsburger en voormalig werknemer van Boeing, die documenten met betrekking tot het space shuttle-programma heeft opgepot om ze terug te sturen naar China. Bedrijfsspionage komt ook veel voor bij collaborateurs zoals in het geval van Uber en Waymo. Uber huurde een Waymo-ingenieur in die in het bezit was van vertrouwelijke en bedrijfseigen technologie voor zelfrijdende auto’s en zou deze hebben gebruikt voor hun project voor zelfrijdende auto’s.
Lone Wolf
Lone wolves zijn volledig onafhankelijk en handelen kwaadwillig zonder invloed of manipulatie van buitenaf. Eenzame wolven zijn vooral gevaarlijk als ze hoge privileges hebben, zoals systeembeheerders of DB-admins. Een klassiek voorbeeld van een eenzame wolf is Edward Snowden, die zijn toegang tot geheime systemen gebruikte om informatie te lekken over cyberspionage bij de NSA.
Hoe insider bedreigingen te bestrijden: Een detectieplan
Om insider bedreigingen effectief te detecteren, moeten organisaties eerst gaten in de zichtbaarheid dichten door beveiligingsgegevens te aggregeren in een gecentraliseerde monitoringoplossing, of dat nu een SIEM-platform (Security Information and Event Management) of een standalone UEBA-oplossing (User and Entity Behaviour Analytics) is. Veel teams beginnen met logboeken voor toegang, verificatie en accountwijzigingen en breiden de reikwijdte vervolgens uit naar aanvullende gegevensbronnen zoals logboeken voor het virtuele privénetwerk (VPN) en endpoints naarmate het gebruik van insider threat toeneemt.
Als de informatie eenmaal is gecentraliseerd, kan het gebruikersgedrag worden gemodelleerd en kunnen risicoscores worden toegekend aan specifieke riskante gebeurtenissen, zoals wijzigingen in de gebruikersgeografie of het downloaden naar verwisselbare media. Met voldoende historische gegevens kan een basislijn van normaal gedrag worden gemaakt voor elke individuele gebruiker. Deze basislijn geeft de normale werkingstoestand van een gebruiker of machine aan, zodat afwijkingen in deze activiteit als abnormaal kunnen worden gemarkeerd. Afwijkingen moeten niet alleen voor een specifieke gebruiker worden bijgehouden, maar ook worden vergeleken met andere gebruikers op dezelfde locatie, met dezelfde functietitel of functie.
Gedragsanomalieën helpen beveiligingsteams te identificeren wanneer een gebruiker een kwaadwillende insider is geworden of wanneer zijn credentials zijn gecompromitteerd door een externe aanvaller. Het toekennen van risicoscores geeft security operations center (SOC)-teams ook de mogelijkheid om risico’s in de hele onderneming te monitoren, of het nu gaat om het maken van ‘watch lists’ of het markeren van de meest risicovolle gebruikers in hun organisatie. Door een gebruikersgerichte visie te hanteren, kunnen beveiligingsteams snel activiteiten met betrekking tot bedreigingen van binnenuit detecteren en het risico van gebruikers vanuit een centrale locatie beheren in plaats van het handmatig bijeenrapen van verschillende gegevenspunten die afzonderlijk misschien niet het volledige beeld laten zien.
De cirkel sluiten met herstel
Zoals gezegd, zijn geprivilegieerde accounts waardevolle doelwitten voor insiders. Het is belangrijk dat organisaties een privileged access management (PAM)-oplossing invoeren en gegevens over toegang tot privileged accounts uit die oplossing in hun SIEM inbrengen. Gedragsanalyses van gebruikers kunnen zaken als abnormale aanmeldingspogingen of meerdere mislukte wachtwoordpogingen detecteren en waar nodig een waarschuwing genereren die de analist kan valideren.
Als het eenmaal is gevalideerd, kan een incident met insiderbedreigingen worden aangemaakt in een geïntegreerd SOAR-systeem (Security Orchestration, Automation and Response), waarbij in het afspeelboek kan worden aangegeven welke herstelmaatregelen nodig zijn. Mogelijke remedies zijn het uitdagen van de insider met MFA, of het intrekken van toegang, wat beide automatisch kunnen worden gedaan in de IAM-oplossing.
Er zijn verschillende soorten insider bedreigingen waar organisaties zich bewust van moeten zijn en elk presenteert verschillende symptomen voor beveiligingsteams om te diagnosticeren. Door de beweegredenen van aanvallers te begrijpen, kunnen beveiligingsteams proactiever te werk gaan bij de verdediging tegen bedreigingen van binnenuit.
Lees meer over het beschermen van uw organisatie met privileged access management (PAM)
Deze blog is onlangs bijgewerkt als reactie op de “gecoördineerde social engineering-aanval” van juli 2020 tegen Twitter en bevat nu ook informatie over preventie en herstel in de nasleep van bedreigingen van binnenuit.