Risico's van bedreigingen met voorkennis en hoe ze te detecteren via werknemersmonitoring

In tegenstelling tot externe bedreigingen, zoals hackers die van buitenaf inbreken, worden interne bedreigingen veroorzaakt door personen binnen je organisatie. Dit kunnen je werknemers, managers, partners of aannemers zijn - iedereen die legitieme toegang heeft tot vertrouwelijke gegevens, systemen en gebouwen en deze toegang gebruikt op manieren die schadelijk zijn voor je bedrijf.

Bedreigingen van binnenuit komen in vele vormen voor, die elk net iets andere detectiemethoden vereisen. We kunnen ze grofweg indelen in kwaadwillende insiders, nalatige insiders en gecompromitteerde insiders.

Als we denken aan bedreigingen van binnenuit, komt dit type meestal als eerste in ons op. Kwaadwillende insiders richten opzettelijk schade aan uit wraak nadat ze gepasseerd zijn voor promotie of disciplinaire maatregelen, ideologische redenen of zelfs plezier. De absolute meerderheid van kwaadwillige insiderincidenten - 89% - wordt echter gedreven door persoonlijk financieel gewin. Insiders kunnen:

• Gevoelige klantgegevens, handelsgeheimen of financiële informatie stelen om te verkopen aan concurrenten of voor persoonlijk gewin.

• Het bedrijf saboteren door kritieke bestanden te verwijderen, systemen te verstoren of malware te installeren.

• Financiële gegevens manipuleren, frauduleuze rekeningen aanmaken of verduisteren voor persoonlijke verrijking.

• Eigen ontwerpen, formules of andere intellectuele eigendommen stelen om aan concurrenten te verkopen of een eigen bedrijf te beginnen.

Kwaadwillende insiders zijn geen undercover superagenten. Het kan een ontevreden systeembeheerder zijn die, omdat hij zich ondergewaardeerd voelt, kritieke klantendatabases verwijdert voordat hij het bedrijf verlaat. Of een verkoopmedewerker die systematisch gegevens exporteert om ze te verkopen aan concurrenten om de oplopende rekeningen te kunnen betalen. Kwaadwillende insiders zijn gewone werknemers die de organisatie opzettelijk schade berokkenen. Toch zijn zij verantwoordelijk voor 25% van de incidenten met insider threat.

Niet alle insiders worden gedreven door kwaadwillendheid. Nalatige werknemers willen de organisatie niet opzettelijk schade berokkenen, maar hun onopzettelijke fouten en onzorgvuldig gedrag kunnen evenveel schade aanrichten als kwaadwillige acties. Een verbazingwekkende 88% van alle datalekken wordt veroorzaakt of aanzienlijk verergerd door fouten van medewerkers. Nalatige insiders zijn zich vaak niet bewust van de dreiging, hebben geen training of zijn gewoon roekeloos. Hun volgende acties kunnen leiden tot ernstige inbreuken op de beveiliging:

• op links in phishingmails klikt en onbewust malware op bedrijfsapparaten downloadt;

• gemakkelijk te raden wachtwoorden te gebruiken of wachtwoorden te hergebruiken voor meerdere accounts;

• gevoelige gegevens opslaan op onbeveiligde locaties;

• vertrouwelijke informatie delen via onversleutelde kanalen;

• het omzeilen van vastgestelde beveiligingsprotocollen, het uitschakelen van beveiligingssoftware of het negeren van beveiligingsbeleid uit gemakzucht of onbegrip;

• gevoelige informatie per ongeluk naar de verkeerde ontvanger sturen;

• onbedoelde vrijgave of publicatie van persoonlijke informatie en andere menselijke fouten.

Een voorbeeld van een nalatige insider is een medewerker van de crediteurenadministratie die een ogenschijnlijk legitieme e-mail ontvangt. In de e-mail wordt gevraagd om bankgegevens voor een leverancier bij te werken. De werknemer controleert de e-mail van de afzender niet grondig, klikt op de link, voert de gegevens in op een valse inlogpagina en verleent hackers onbewust toegang tot het financiële systeem van het bedrijf.

Als gevolg van nalatigheid kan het account van een werknemer gecompromitteerd raken door externe actoren. De inloggegevens van een werknemer worden verkregen door phishing, malware of andere methoden. De aanvaller doet zich vervolgens voor als die werknemer en steelt vertrouwelijke gegevens of voert andere kwaadaardige activiteiten uit. Diefstal van inloggegevens is de reden voor 20% van de incidenten met bedreigingen van binnenuit.

Hoe kunnen we bedreigingen van binnenuit detecteren en voorkomen? Zoals eerder gezegd zijn traditionele beveiligingsmethoden efficiënt tegen aanvallen van buitenaf, maar vaak blind voor interne gevaren. Dat is waar het monitoren van werknemers om de hoek komt kijken.

Als het monitoren van werknemers strategisch en ethisch wordt geïmplementeerd, geeft het organisaties inzicht in de werkprocessen, het gedrag en de communicatie van het personeel. Op deze manier kunnen beveiligingsspecialisten afwijkend gedrag, beleidsovertredingen en tekenen van kwade opzet identificeren die anders misschien onopgemerkt blijven.

Laten we eens kijken naar de belangrijkste functies voor het monitoren van werknemers voor het detecteren van bedreigingen van binnenuit en hoe ze kwaadwillende actoren kunnen onthullen.

Data Loss Prevention (DLP) is een geavanceerde verzameling functies om gevoelige informatie te beschermen tegen ongeautoriseerde toegang of overdracht. Het detecteert en helpt bij het beheren van potentiële inbreuken op gegevens, exfiltratie, misbruik en onbedoelde blootstelling.

DLP-systemen identificeren gevoelige informatie binnen de organisatie en fungeren als een digitale schildwacht. Ze volgen de bewegingen van vertrouwelijke informatie en markeren ongeautoriseerde pogingen om deze informatie over te dragen, te kopiëren naar externe apparaten of cloud-opslag of af te drukken. DLP-systemen hebben ook waarschuwingsmechanismen om beveiligingsspecialisten en managers op de hoogte te stellen van het incident.

Door gevoelige gegevens nauwgezet bij te houden, kunnen DLP-oplossingen zowel kwaadwillende als nalatige bedreigingen van binnenuit detecteren.

Tools voor User and Entity Behaviour Analytics (UEBA) maken gebruik van geavanceerde analysetechnieken, waaronder AI en machine learning, om afwijkend gedrag en potentiële beveiligingsrisico's binnen het netwerk van een organisatie te detecteren. Eerst analyseert UEBA de activiteit van gebruikers (werknemers, klanten en aannemers) en entiteiten (applicaties, apparaten en servers) om basispatronen van normale activiteit vast te stellen. Daarna controleert het systeem continu het gedrag van gebruikers en entiteiten en vergelijkt dit met de vastgestelde basispatronen. Als het afwijkingen van de norm detecteert, markeert het deze als potentiële veiligheidsbedreigingen. Aan elke afwijking wordt een risicoscore toegekend, die toeneemt naarmate het gedrag verdachter wordt. Wanneer de risicoscores vooraf gedefinieerde drempels overschrijden, waarschuwt het systeem de beveiligingsspecialist of de manager voor onderzoek en mogelijke actie.

UEBA is zeer effectief tegen bedreigingen van binnenuit, gecompromitteerde accounts en andere aanvalsmethoden die traditionele beveiligingstools kunnen omzeilen. De effectiviteit ligt in het vermogen om bedreigingen te detecteren die niet overeenkomen met vooraf gedefinieerde aanvalspatronen. Tegelijkertijd laat UEBA een lager percentage valse positieven zien omdat het normale gedragspatronen begrijpt.

Door de activiteiten van werknemers tijdens de werkdag bij te houden, wordt duidelijk welke websites en applicaties ze gebruiken. Op deze manier kunnen organisaties toegang tot ongeautoriseerde of risicovolle websites of buitensporige tijd op niet-werkgerelateerde sites detecteren (wat in sommige gevallen een teken van ontgoocheling of kwaadwillige planning kan zijn). Het bijhouden van applicaties kan ook ongeautoriseerde software-installaties aan het licht brengen die beveiligingsrisico's met zich mee kunnen brengen.

In het geval van datalekken helpt activiteitenmonitoring bij het vinden van de verantwoordelijke voor het incident en het leveren van het benodigde bewijs. Een van onze klanten heeft onlangs zijn verhaal gedeeld over hoe CleverControl hen heeft geholpen bij het onthullen van een insider die zijn gegevens verkocht aan concurrenten. U kunt hierover lezen bedreiging van binnenuit lees meer in onze blog.

Communicatiemonitoring biedt inzicht in de inhoud en patronen van communicatie tussen werknemers. Het systeem controleert voortdurend verschillende communicatiekanalen, waaronder e-mail, videoconferenties, het delen van bestanden, samenwerkingstools en instant messaging-platforms. Geavanceerde algoritmen en AI analyseren communicatiepatronen en -inhoud en scannen de verzamelde gegevens op waarschuwingssignalen. Deze signalen kunnen bestaan uit verdacht taalgebruik of trefwoorden die verband houden met datalekken, sabotage of samenspanning. Wanneer het systeem verdachte activiteiten detecteert, activeert het een geautomatiseerde reactie of waarschuwt het de beveiligingsspecialist voor onmiddellijke actie.

Communicatiemonitoring vergroot het vermogen van het bedrijf om weerstand te bieden aan interne bedreigingen aanzienlijk, maar moet wel op verantwoorde wijze worden geïmplementeerd.

Bedreigingen van binnenuit blijven een belangrijk punt van zorg voor alle organisaties, ongeacht hun omvang. Ze kunnen verschillende vormen aannemen, van kwaad opzet tot eenvoudige nalatigheid en onachtzaamheid. Bedreigingen van binnenuit zijn zo gevaarlijk omdat ze worden gepleegd door vertrouwde medewerkers binnen de beveiligingsperimeter en daarom veel moeilijker te detecteren en te voorkomen zijn. Medewerkersmonitoring is een goede oplossing voor het detecteren en voorkomen van insiderrisico's. De DLP-, UEBA-, communicatie- en activiteitenmonitoringfunctionaliteit is de noodzakelijke toolkit voor elke organisatie die beveiligingslekken tijdig wil detecteren en voorkomen.