Af Ivan Vinogradov, Solution Architect, LogPoint

Risikable insidere (også kendt som insidertrusler) er en af de største trusler mod organisationer i det aktuelle sikkerhedslandskab. Som Fortinet-rapporten fra 2019 om dette emne har vist, føler næsten 70 % af organisationerne sig moderat til ekstremt sårbare over for denne type trussel.

I denne blog vil vi behandle dette emne og foreslå nogle grundlæggende metoder til at opdage og modvirke denne type trussel.

Definition af en insidertrussel

En insidertrussel i forbindelse med en organisation er en trussel, der kommer fra en person, der tilhører eller er tæt forbundet med den pågældende organisation. Modsat den generelle overbevisning er denne trussel ikke nødvendigvis ondsindet eller ligefrem tilsigtet. Andre faktorer som f.eks. menneskelig uagtsomhed falder også ind under denne paraply. Det gælder heller ikke kun personer – f.eks. er entreprenører også omfattet af denne kategori.

Hvem er insidere i din virksomhed? Forskellige typer insidertrusler

Der er flere måder, hvorpå man kan klassificere insidertrusler. Eksempelvis – efter den type forhold, de har til den enhed, der er truet – fra tidligere medarbejdere til dele af forsyningskæden.

Konventionen foreskriver dog tre generelle typer af insidertrusler:

  1. Ondsindede insidere er nok den bedst kendte og mest offentliggjorte kategori af insidertrusler. Det er typisk personer, der udnytter deres privilegerede adgang til organisationens ressourcer til at påføre organisationen en eller anden form for skade.
  2. Uagtsomme insidere er personer, der ikke praktiserer sikkerhed, følger regulativer og standarder osv. Ofte er de uvidende – især hvis f.eks. virksomhedens sikkerhedspolitikker ikke er blevet formuleret.
  3. Infiltratorer er aktører, der i praksis er udefrakommende, der bevidst får intern adgang – ofte midlertidigt – for at nå deres mål.

Trusselsmodellen for disse varierer meget. Eksempelvis kan det ofte anvendte eksempel med en utilfreds medarbejder eller tidligere medarbejder faktisk vise sig at være en større trussel end en infiltrator på grund af deres erfaring og viden om miljøet. Tilsvarende kan uagtsomhed medføre betydelige kommercielle tab. Eksempelvis eksponerede databaser, der ofte har resulteret i enkle, men højt profilerede hackerangreb.

Hvordan opdager man en insidertrussel?

Det er notorisk vanskeligt at identificere en insidertrussel på forhånd. Og det er også ret svært at undersøge det. Der er mange forskellige former for adfærd, der kan forbindes med insidertrusler. Fordi deres adfærd er meget afhængig af ikke-tekniske faktorer.

Potentielle insidertrusler reduceres typisk i de tidlige faser af kontakten med dem. Eksempelvis gennemgang af en kandidat, auditering af compliance i forbindelse med leverandører, underskrivelse af kontrakter og lignende løsninger. Med hensyn til tekniske kontroller opnås forebyggelse gennem begrænsninger i brugen af personlige pc’er, DLP-løsninger, overvågning af forskellige mobile enheder osv.

Men hvis en organisation lod en potentiel trussel glide igennem sine indledende foranstaltninger, er der nogle ting, der kan gøres. En teknisk løsning er brugen af baselining af brugeradfærd. Dette gøres typisk gennem en omfattende integreret overvågningsløsning såsom en SIEM.

En adfærdsmæssig løsning – såsom UEBA – ville også hjælpe her. Disse løsninger har typisk standardmetoder til at identificere unormal adfærd og tildele risiko til enkeltpersoner. Et godt udgangspunkt, hvis man skal finde en potentiel insidertrussel. UEBA har også en tendens til at være ikke-indgribende og ikke-transparent, når det drejer sig om personoplysninger. Det er meget nyttigt, hvis beskyttelse af personoplysninger er et problem.

Insider threat response plan

Almindelige indikatorer for insidertrusler

Overordnet set er der rigtig mange potentielle indikatorer på en insidertrussel – hvilket gør det vanskeligt at opdage den.

Men hvis vi ser på de etablerede best practices, falder indikatorerne ind under følgende kategorier:

  1. Præstation – såsom faldende eller dårlige præstationsvurderinger, HR-klager eller endda degradering
  2. Udenlandske forbindelser – aktiv deltagelse i udenrigspolitik, udenlandsk pas og hyppige rejser mv.
  3. Sikkerhed – hyppige eller usædvanlige sikkerhedshændelser, overtrædelser af love og regler osv.
  4. Kriminel adfærd – alt fra tidligere kriminel historik til aktuelle trusler eller kriminelle handlinger
  5. Økonomi – f.eks. kendte fordringer eller pludselig og uforklarlig formue
  6. Stofmisbrug – enhver vanedannende adfærd
  7. Personlighed – ekstremist-synspunkter, mentale lidelser, løgne over for arbejdsgiveren osv.
Insider threat indicators

Eksempler på insidertrusler

Et almindeligt og tilsyneladende enkelt eksempel på en insidertrussel er en medarbejder, der undviger sikkerhedsforanstaltninger såsom fornyelse af adgangskode, tilmelding til MDM-løsninger eller ganske enkelt ikke følger politikker.

Hvis man tænker på en virksomhed, der spænder over flere kontinenter, som pludselig skal implementere en databeskyttelsesløsning, gennemgå MDM eller en anden teknisk sikkerhedskontrol, men der er logistiske mangler, kan man ende med en række insidertrusler uden overhovedet at være klar over det. Dette understreger vigtigheden af grundlæggende sikkerhed som en måde at forhindre insidertrusler på.

Et andet eksempel – måske mere glamourøst – er tilstedeværelsen af spioner. Dette sker i dag langt sjældnere, da tekniske metoder er langt mere pålidelige. I mange tilfælde, hvor enkeltpersoner er involveret i spionage, er der tale om medarbejdere, der allerede havde planer om at forlade virksomheden. En sådan adfærd kan påvises, hvis man er villig til at implementere kontroller, der er meget invasive over for privatlivets fred. Eksempelvis stripping af HTTP’er for at undersøge, hvilke data brugeren overfører.

Sådan opdager og stopper du insidertrusler

Overordnet set er dybdegående forsvar som med alt andet en effektiv heuristik at starte med.

Trin 1: Undersøg grundigt

Se først på den pulje af personer, du rekrutterer fra eller på anden måde handler med. Overvej de tilknyttede risici, og udarbejd en passende trusselmodel. Brug derefter de tilgængelige kontrolmetoder til at opnå en risikoreduktion, som du mener er omkostningseffektiv på det pågældende tidspunkt. Intensiteten af dette kan variere – fra undersøgelser af sociale medier til kontakt med tidligere arbejdsgivere til mange ting, der bliver endnu mere intense på grund af sagens meget følsomme karakter.

Trin 2: Kend dine medarbejdere og dine aktiver

I dit miljø skal du have en forståelse for, hvem der har brug for at kende og bruge hvilke ressourcer og ellers begrænse deres adgang i videst muligt omfang. Udnyt hardware og software, der allerede er konfigureret eller bliver konfigureret automatisk. Stol ikke på, at brugerne selv når dertil.

Trin 3: Vær opmærksom på balancen mellem anvendelighed og sikkerhed.

Vær opmærksom på balancen mellem anvendelighed og sikkerhed, og overvej, hvilke brugere der vil lide under den forringede brugervenlighed forbundet med øget sikkerhed. Vær ekstra opmærksom på disse personer.

Trin 4: Brug detektion og overvågning på det sidste trin

Endelig skal du benytte detektion og overvågning i det omfang, det er tilladt i henhold til dit sikkerhedsprogram og de lovmæssige regler for sådanne aktiviteter i dit land. Der er typisk højrisikobrugere, som du kan udpege som mere tilbøjelige til at deltage i disse aktiviteter. Baseret på f.eks. tidligere manglende overholdelse af virksomhedens sikkerhedspolitikker. Gå på jagt efter trusler med jævne mellemrum, og anvend så vidt muligt værktøjer som UEBA til at automatisere detektion eller i det mindste som en hjælp.

Når det drejer sig om eksterne partnere, er compliance, kontrakter og kontroller dine vigtigste værktøjer. Selvom de undersøgelser, der følger med næsten alle kommercielle relationer, har en tendens til at dække sikkerhedsaspekter, skal du sørge for, at dine partnere ikke ved et uheld bliver en indgang til dit miljø på grund af deres uagtsomhed. Og hvis de gør, skal du sørge for, at din organisations ansvar for sådanne hændelser er begrænset.

Insider threat defense tips

Lær mere om Logpoint

Book en demo
Kundesager
Kunde anmeldelser