Insideraanvallen en insiderbedreigingen in cybersecurity toegelicht

Organisaties richten zich meestal op cyberbedreigingen die extern van oorsprong zijn. Denk hierbij aan anti-malware, externe firewalls, DDoS-aanvalsbeperking, preventie van extern gegevensverlies en ga zo maar door. Dat is mooi, externe cyberaanvallen komen vaak voor en het is dus van vitaal belang om uw netwerken te beschermen tegen ongeoorloofde toegang en kwaadaardige penetratie. Het internet en ongeoorloofde fysieke toegang tot uw faciliteiten zullen altijd risico’s blijven en die moeten worden bewaakt en beheerd. Maar het is gemakkelijk om een vaak over het hoofd gezien cyberaanvaloppervlak uit het oog te verliezen, en dat is dat aan de binnenkant. Interne cyberaanvallen komen vaker voor dan veel mensen denken, en als u die realiteit negeert, brengt u dat in gevaar. Hier leest u waarom u voorbereid moet zijn op interne cyberbedreigingen, en wat u eraan kunt doen.

De impact en het belang van insideraanvallen

Insiderbedreigingen voor uw netwerk hebben meestal betrekking op mensen die als werknemers of contractanten van uw bedrijf werken. Zij horen thuis in uw faciliteiten en hebben vaak gebruikersaccounts in uw netwerken. Zij weten dingen over uw organisatie die buitenstaanders meestal niet weten – de naam van uw netwerkbeheerder, welke specifieke toepassingen u gebruikt, wat voor soort netwerkconfiguratie u hebt, met welke leveranciers u samenwerkt. Externe cyberaanvallers moeten meestal vingerafdrukken nemen van uw netwerk, informatie over uw organisatie onderzoeken, gevoelige gegevens van uw werknemers social engineeren, kwaadwillige toegang verkrijgen tot elke gebruikersaccount, zelfs die met de minste privileges. Interne aanvallers hebben dus al voordelen die externe aanvallers ontberen.

Ook zijn sommige insider-bedreigingen niet afkomstig van kwaadwillende actoren. Sommige bedreigingen van binnenuit zijn puur toeval. Misschien laat een medewerker per ongeluk een USB-stick met gevoelige documenten achter in de wasruimte van een restaurant, of klikt hij op een schadelijke hyperlink die webmalware op uw netwerk introduceert. Volgens de studie Cost of Insider Threats van april 2018 van het Ponemon Institute kosten incidenten met insiderbedreigingen de 159 organisaties die zij onderzochten gemiddeld 8,76 miljoen dollar in een jaar. Kwaadaardige insiderbedreigingen zijn duurder dan toevallige insiderbedreigingen. Incidenten veroorzaakt door nalatige werknemers of contractanten kosten gemiddeld 283.281 dollar per stuk, terwijl diefstal van vertrouwelijke gegevens door kwaadwillende insiders gemiddeld 648.845 dollar per incident kost. Maar het komt erop neer dat al deze incidenten erg duur zijn en dat ze moeten worden voorkomen.

Comparing insider vs. outsider cybersecurity threats and attacks

Dreigingen van insiders kunnen dus een stuk gevaarlijker zijn dan dreigingen van outsiders. Voor zover het kwaadwillende aanvallers betreft, hebben insiders al geautoriseerde toegang tot uw gebouwen en gebruikersaccounts. Een aanvaller van buitenaf moet moeite doen om een externe aanvalsvector te vinden die uw netwerken en fysieke faciliteiten binnendringt. Dat zijn stappen die binnenaanvallers meestal kunnen overslaan. Het is veel gemakkelijker om privileges te laten escaleren vanuit een gebruikersaccount dat je al hebt, dan om in te breken in een gebruikersaccount. Een beveiliger zal een onbekende nauwkeurig onderzoeken, terwijl hij een bekende medewerker gedag zal zwaaien.

Hetzelfde geldt voor toevallige incidenten. Ik weet geen gevoelige informatie over bedrijven waar ik nooit voor heb gewerkt. Een huidige of voormalige werknemer vaak wel, en het kan sociaal gemanipuleerd zijn uit hen.

Omdat insiders al geprivilegieerde toegang hebben, kunnen ze een stuk moeilijker te detecteren en te stoppen zijn dan bedreigingen van buitenaf. Wanneer een werknemer met gevoelige gegevens werkt, is het heel moeilijk om te weten of hij iets kwaadaardigs doet of niet. Als een insider zich kwaadaardig gedraagt binnen uw netwerk, kunnen ze beweren dat het een eerlijke fout was en daarom kan het moeilijk zijn om schuld te bewijzen. Insiderbedreigingen kunnen veel moeilijker in te dammen zijn dan bedreigingen van buitenaf. Volgens de 2018 Cost of Insider Threats-studie van het Ponemon Institute duurde het gemiddeld 73 dagen om insider-incidenten in te dammen. Slechts 16% van de insiderincidenten werd in minder dan 30 dagen bedwongen. Zelfs als een bedreiging van uw netwerk 20 dagen zou duren, stelt u zich dan eens voor hoeveel schade er in die tijd kan worden aangericht.

Lockheed Martin ontwikkelde het Cyber Kill Chain-framework als model voor het identificeren en voorkomen van cyberintrusie. Het is een uitstekend systeem, maar het is vooral gericht op het vaststellen van bedreigingen van buitenaf. Gelukkig hebben wij een manier gevonden om de Cyber Kill Chain te implementeren vanuit het perspectief van insider bedreigingen.

Insider bedreigingsindicatoren om op te letten

Omdat insider bedreigingen zo veel moeilijker op te sporen en in te dammen zijn, is het cruciaal om te weten op welke indicatoren u moet letten.

Ontevreden werknemers worden soms kwaadwillende insiders.

Het gevaarlijkst zijn degenen die een ontslagvergoeding hebben ontvangen. Zij kunnen besluiten dat ze niets te verliezen hebben omdat ze zich geen zorgen meer maken over hun ontslag. Afhankelijk van de aard van uw organisatie en het werk dat u doet, kan het een goed idee voor hen zijn om te stoppen met werken voor uw bedrijf op het moment dat ze weten dat ze zijn ontslagen. Laat ze alle fysieke sleutels die ze hebben aan u overhandigen en zet hun gebruikersaccounts meteen uit. Het kan uw organisatie uiteindelijk minder geld kosten om uw ontslagen werknemer gewoon zijn ontslagvergoeding te geven dan om hem te betalen om een paar weken langer te werken. Maar als ze na hun ontslag nog een tijdje moeten doorwerken, moet u ze extra goed in de gaten houden.

Ontevreden werknemers die niet op het punt staan om te worden ontslagen, kunnen ook een bedreiging vormen. Tekenen van ontevreden werknemers die kwaadwillende insiders kunnen worden, zijn onder meer degenen die vaak conflicten hebben met leidinggevenden en collega’s, en degenen die minder goed presteren en in het algemeen te laat zijn. Bezoeken aan websites met vacatures zijn een andere duidelijke indicatie van een ontevreden werknemer.

Interessant genoeg is een ander type indicatie van een werknemer of een contractant die een kwaadwillende insider zou kunnen zijn, wanneer ze ongewoon enthousiast lijken over hun werk. Ze bieden zich misschien aan voor meer werk of extra taken, niet omdat ze opslag willen, maar omdat ze hun toegang tot gevoelige gegevens willen uitbreiden. Ja, ik werk op de helpdesk, maar ik heb veel ervaring met het beheren van netwerken! Ik kan de netwerkbeheerder vervangen als zij vrij nemen!

Vaak naar andere steden of landen reizen kan een teken van bedrijfsspionage zijn. Ze kunnen gevoelige en bedrijfseigen informatie delen met een ander bedrijf.

Een andere belangrijke indicator van actoren met insiderbedreigingen zijn werknemers of medewerkers die aanzienlijke onverklaarbare veranderingen in hun financiële omstandigheden hebben doorgemaakt. Waarom rijdt die werknemer die 40.000 dollar per jaar verdient opeens in een Bentley? Of de indicatoren kunnen veel subtieler zijn dan dat. Hoe dan ook, het extra geld kan afkomstig zijn van bedrijfsspionage, cryptomining malware, of het stelen van geld van bedrijfsrekeningen.

Insider attacks in the cloud

Meer en meer organisaties hebben cloudnetwerken geïmplementeerd. Ze zijn goedkoper in het gebruik en maken uitbreiding van het netwerk mogelijk zonder dat er een groter pand hoeft te worden gekocht. Maar cloudnetwerken vormen een unieke uitdaging voor insiderbedreigingen.

Volgens de voorjaarsuitgave Threatbusters: Bitglass’ 2019 Insider Threat Report, zegt 41% van de respondenten dat naar de cloud gemigreerde bedrijfsmiddelen niet worden gemonitord op afwijkende activiteiten. Hierdoor zijn insideraanvallen in de cloud moeilijker op te sporen. Uw organisatie heeft meestal geen fysieke toegang tot uw cloudnetwerken en het kan enige tijd duren voordat u meer vertrouwd bent met de implementatie van de beveiligingscontroles van uw cloudprovider. Het is dus gemakkelijk te begrijpen waarom.

Uw cloudomgeving heeft raakvlakken met al uw infrastructuurstacks en toepassingen, dus het is heel belangrijk om te letten op eventuele insiderbedreigingen die daar kunnen bestaan.

Om insiderbedreigingen voor uw cloud te helpen voorkomen, moet u ervoor zorgen dat deze goed is geconfigureerd voor optimale beveiliging. Secure-by-default landingszones kunnen voorkomen dat er nieuwe aanvalsgebieden ontstaan in ontwikkel-, staging- en productieomgevingen. U moet ook toegangsbeheer voor identiteiten implementeren dat goed is afgestemd op de cloud. Het principe van de minste privileges kan net zo nuttig zijn voor het beschermen van cloudnetwerken als voor on-premise netwerken. Geen enkele gebruiker zou meer privileges moeten hebben dan hij absoluut nodig heeft om zijn werk te doen.

Conclusie: Onderschat het belang van insiderbedreigingen niet

Het is duidelijk dat insiderbedreigingen en aanvallen een aanzienlijk probleem vormen voor de netwerken van uw organisatie, ongeacht uw branche of netwerkconfiguraties. Juiste en frequente training is de sleutel tot het beperken van insider bedreigingen. De mensen in uw bedrijf moeten op de hoogte zijn van indicaties van insider bedreigingen en er op letten. Om toevallige bedreigingen te helpen voorkomen, moeten gebruikers worden opgeleid om gehard te zijn tegen social engineering, en om extra voorzichtig te zijn met hoe ze omgaan met gevoelige gegevens. Mensen leren het best als de training frequent en consistent is. Trainingssessies moeten daarom ten minste twee of drie keer per jaar plaatsvinden, in plaats van slechts één keer.

Bewustzijn en waakzaamheid zijn van het grootste belang. Organisaties onderschatten vaak het risico van insider bedreigingen. Kennis is macht!