Av Ivan Vinogradov, løsningsarkitekt i LogPoint

Risikable innsidere (også kalt interne trusler) er en av de viktigste truslene for organisasjoner i dagens sikkerhetslandskap. Som Fortinet-rapporten fra 2019 om dette emnet har vist: Nesten 70 % av organisasjonene føler seg moderat til svært sårbare for denne typen trusler.

I denne bloggen ønsker vi å ta opp dette temaet og foreslå noen grunnleggende måter å oppdage og forsvare seg mot denne typen trusler på.

Definisjon av intern trussel

En insider threat eller innsidetrussel for en organisasjon er en trussel som kommer fra en person som tilhører eller er nært knyttet til organisasjonen. I motsetning til hva mange tror, er ikke denne trusselen nødvendigvis en ondsinnet eller en bevisst handling. Andre faktorer, som uforsiktighet og uaktsomhet, faller også inn under denne kategorien. Den er heller ikke eksklusiv for enkeltpersoner – entreprenører er for eksempel også inkludert i denne kategorien.

Hvem er «innsidere» i deres bedrift? Ulike typer interne trusler

Det er flere måter man kan klassifisere interne trusler på. For eksempel etter en type relasjon de har med enheten som er utsatt for den aktuelle trusselen, eller en rolle tidligere ansatte har hatt i deler av forsyningskjeden.

Men generelt deler man det inn i tre vanlige typer interne trusler:

  1. Ondsinnede interne aktører: sannsynligvis den mest kjente og omtalte kategorien av interne trusler. Dette er gjerne enkeltpersoner som utnytter sin privilegerte tilgang til organisasjonens ressurser for å påføre organisasjonen en eller annen form for skade.
  2. Uaktsomme interne aktører: enkeltpersoner som ikke klarer å gjøre ting på en sikker måte, følge regler og standarder osv. Disse er ofte uvitende – særlig hvis man for eksempel ikke har informert dem om selskapets retningslinjer for sikkerhet.
  3. Inntrengere: aktører som i praksis er utenforstående, men som bevisst skaffer seg tilgang – ofte midlertidig – for å nå målene sine.

Trusselmodellen for disse varierer mye. En misfornøyd medarbeider eller en tidligere ansatt kan faktisk ofte vise seg å være en større trussel enn en inntrenger på grunn av den erfaringen og kunnskapen de har om miljøet. På samme måte kan uaktsomhet føre til betydelige kommersielle tap. Eksponerte databaser har for eksempel ofte resultert i enkle, men høyprofilerte hackinger.

Hvordan oppdager man en intern trussel?

Det er alltid vanskelig å identifisere en intern trussel på forhånd. Og det er også ganske vanskelig å undersøke den. Det finnes mange typer atferd som kan assosieres med interne trusler. Fordi atferden deres er svært avhengig av ikke-tekniske faktorer.

Potensielle interne trusler blir gjerne avverget i de tidlige stadiene. For eksempel ved å undersøke en kandidat, kontrollere compliance i forhold til leverandører, signere kontrakter og lignende løsninger. Når det gjelder tekniske kontroller, er den beste måten å forebygge på gjennom restriksjoner på bruk av personlige PC-er, DLP-løsninger, ulike registreringer for overvåking av mobile enheter osv.

Men hvis en potensiell trussel skulle klare å ta seg forbi organisasjonens første forsvarstiltak, er det likevel noen ting man kan gjøre. En teknisk løsning er å bruke en grunnlinje for brukeratferd. Dette gjøres vanligvis gjennom en omfattende integrert overvåkingsløsning, for eksempel en SIEM.

Det vil også være nyttig å ha på plass en atferdsløsning som UEBA. Slike løsninger har vanligvis standardmetoder for å identifisere unormal atferd og angi risiko for enkeltpersoner. Det er et godt utgangspunkt hvis man skal finne en potensiell intern trussel. Det har også vist seg at UEBA verken er inngripende og eller transparent i forhold til personopplysninger. Det er svært nyttig hvis man er bekymret for personvernet.

Insider threat response plan

Vanlige indikatorer for interne trusler

Alt i alt finnes det svært mange potensielle indikatorer på interne trusler – noe som gjør det vanskelig å oppdage dem.

Men hvis vi ser på de etablerte beste praksisene på et høyere nivå, passer indikatorene inn under følgende kategorier:

  1. Ytelse: for eksempel fallende eller svake ytelseskurver, klager til HR eller til og med degradering
  2. Kontakter i utlandet: deltar aktivt i utenrikspolitikk, har et utenlandsk pass, foretar ofte reiser osv.
  3. Sikkerhet: hyppige eller uvanlige sikkerhetshendelser, brudd på compliance osv.
  4. Krenkende atferd: alt fra kriminell forhistorie til trusler eller kriminelle handlinger
  5. Økonomi: for eksempel kjent gjeld eller plutselig og uforklarlig rikdom
  6. Stoffmisbruk: tegn på misbruk
  7. Personlighet: ekstremistiske synspunkter, psykologiske lidelser, tidligere løgner overefor arbeidsgiveren osv.
Insider threat indicators

Eksempler på interne trusler

Et vanlig og veldig enkelt eksempel på en intern trussel er en ansatt som hopper over sikkerhetstiltak, for eksempel ved å unnlate å fornye passord, registrere seg i MDM-løsninger eller rett og slett ikke følge retningslinjene.

Hvis man skulle vurdere et selskap som dekker flere kontinenter, og som plutselig får behov for å implementere en datasikkerhetsløsning, MDM eller en annen teknisk sikkerhetskontroll, men som har logistiske utfordringer, kan man ende opp med en liten hær av interne trusler uten engang å være klar over det. Dette understreker hvor viktig grunnleggende sikkerhet er for å forhindre interne trusler.

Et annet eksempel som kanskje er mer preget av klisjeer, er muligheten for spioner. Dette skjer nå langt sjeldnere, ettersom de tekniske metodene er mer pålitelige. I mange tilfeller der enkeltpersoner var engasjert i spionasje, hadde de allerede planlagt å forlate selskapet. Slik atferd er mulig å påvise hvis man er villig til å implementere kontroller som er svært inngripende for personvernet. For eksempel å strippe HTTP-er for å undersøke hvilke data brukeren overfører.

Hvordan oppdage og stoppe interne trusler?

Som med alt annet er et godt dybdeforsvar en god begynnelse.

Trinn 1: Gjør grundige undersøkelser

Vurder først utvalget av personer dere rekrutterer fra eller på annen måte gjør forretninger med. Vurder de tilknyttede risikoene, og utarbeid en hensiktsmessig trusselmodell. Bruk deretter tilgjengelige metoder for å oppnå en risikoreduksjon som du mener er kostnadseffektiv på dette stadiet. Nivået på slike undersøkelser kan variere fra undersøkelser på sosiale medier til kontakt med tidligere arbeidsgivere, til enda grundigere undersøkelser på grunn av virksomhetens svært sensitive natur.

Trinn 2: Kjenn bedriftens medarbeidere og ressurser

I miljøet ditt må du ha en forståelse av hvem som trenger å kjenne til og betjene hvilke ressurser, og så i størst mulig grad begrense tilgangen deres på andre områder. Bruk maskinvare og programvare som allerede er konfigurert, eller som er konfigurert automatisk. Ikke stol på at brukerne finner ut av det selv.

Trinn 3: Vær oppmerksom på forholdet mellom brukervennlighet og sikkerhet

Vær oppmerksom på forholdet mellom brukervennlighet og sikkerhet, og vurder hvilke brukere som vil tape mest på at brukervennligheten er forbundet med økt sikkerhet. Vær ekstra oppmerksom på disse personene.

Trinn 4: Bruk deteksjon og overvåking, det siste trinnet

Til slutt kan du utnytte deteksjon og overvåking i den grad sikkerhetsprogrammet gir mulighet for det, og i den grad lokale lover tillater slike aktiviteter. Det er vanligvis størst sannsynlighet for at høyrisikobrukere vil engasjere seg i disse aktivitetene. For eksempel basert på deres tidligere manglende overholdelse av selskapets retningslinjer for sikkerhet. Se etter trusler med jevne mellomrom og bruk verktøy som UEBA for å automatisere deteksjonen i så stor grad som mulig, eller i det minste bistå med dette.

Når det gjelder eksterne partnere, er compliance, kontrakter og revisjoner er de viktigste verktøyene. Selv om undersøkelser som følger med nesten alle kommersielle forhold, vil dekke sikkerhetsaspektene, må du sørge for å unngå at partnerne deres ved et uhell får tilgang til miljøet deres som følge av uaktsomhet. Og hvis de gjør det, må du sørge for at organisasjonens ansvar for slike hendelser er begrenset.

Insider threat defense tips

Learn more about Logpoint

Bestill en demo
Kundesaker
Kunde anmeldelser