Av Ivan Vinogradov, Solution Architect, LogPoint

Insiderhot är ett av de största hoten mot organisationer i det dagens säkerhetslandskap. En rapport från Fortinet från 2019 som belyser detta visar att nästan 70 % av alla organisationer upplever att de är måttligt till extremt sårbara för denna typ av hot.

I det här blogginlägget diskuterar vi detta och föreslår några grundläggande metoder för att upptäcka och motverka denna typ av hot.

Definition av insiderhot

Ett insiderhot – inom ramarna för en organisation – är ett hot som kommer från en individ som tillhör eller har nära anknytning till organisationen. Till skillnad från vad många tror så behöver inte detta hot nödvändigtvis vara illasinnat eller avsiktligt. Faktorer såsom försumlighet ingår också i denna kategori. Det gäller inte heller enbart enskilda individer, utan underleverantörer ingår även i kategorin.

Vilka är insiders i ditt företag? Olika typer av insiderhot

Det finns flera sätt att klassificera insiderhot. Till exempel så kan det röra sig om tidigare anställda eller delar av leveranskedjan, beroende på vilken typ av relation de har med organisationen som potentiellt är utsatt för hot.

I regel finns det dock tre allmänna typer av insiderhot:

  1. Illasinnade insiders: Förmodligen den mest kända och offentliggjorda kategorin av insiderhot. Det rör sig vanligtvis om individer som utnyttjar sina behörigheter till organisationens resurser för att åsamka någon form av skada på organisationen.
  2. Försumliga insiders: Individer som inte följer säkerhetsföreskrifter, regler och standarder osv. Ofta är dessa helt ovetandes – särskilt om företagets säkerhetspolicyer inte har kommunicerats eller nått ut till all personal.
  3. Infiltratörer: Aktörer som i praktiken är utomstående och avsiktligt får insideråtkomst – ofta tillfälligt – för att uppnå sina mål.

Hotmodellen för dessa varierar stort. Ett exempel som ofta tas upp är en missnöjd anställd eller tidigare anställd som kan visa sig utgöra ett större hot än en extern infiltratör på grund av personens erfarenhet och kunskap om miljön. På samma sätt kan försumlighet leda till betydande ekonomiska förluster. Till exempel har exponerade databaser ofta resulterat i enkla men högprofilerade intrång.

Hur upptäcker man ett insiderhot?

Det är väldigt svårt att identifiera insiderhot i förväg. Och de är också ganska svåra att undersöka. Det finns många olika typer av beteenden som kan kopplas till insiderhot, eftersom deras beteenden är starkt beroende av icke-tekniska faktorer.

Potentiella insiderhot kan i regel avriskeras under de tidiga stadierna av engagemanget. Exempelvis genom att göra bakgrundskontroller av nyanställda, kontrollera efterlevnaden hos leverantörer, underteckna avtal och liknande lösningar. När det gäller tekniska kontroller kan förebyggande åtgärder bestå av restriktioner för användning av privata datorer, DLP-lösningar, olika typer av registrering och övervakning av mobila enheter osv.

Men om en organisation skulle tillåta ett potentiellt hot att bryta sig igenom de initiala säkerhetsåtgärderna så finns det vissa åtgärder som kan vidtas. En teknisk lösning är att fastställa basnivåer för användarbeteenden. Detta görs vanligtvis genom en omfattande integrerad övervakningslösning, t.ex. en SIEM.

Att ha en beteendelösning – som UEBA – kan också var till hjälp. Vanligtvis har dessa lösningar standardmetoder för att identifiera avvikande beteenden och identifiera risker hos individer. En bra utgångspunkt är att söka efter potentiella insiderhot. UEBA tenderar också att vara icke-invasivt och icke-transparent när det gäller personuppgifter. Detta är till stor hjälp om integritet är e viktig faktor.

Insider threat response plan

Vanliga indikatorer för insiderhot

Totalt sett finns det många potentiella indikatorer för ett insiderhot – vilket gör det svårt att upptäcka ett sådant.

Om vi tittar på etablerad bästa praxis på en högre nivå så kategoriseras indikatorerna för intrång enligt följande:

  1. Arbetsprestation: Såsom försämrad eller dåliga resultat, klagomål från personalavdelningen eller till och med omplacering.
  2. Utländska förbindelser: Aktivt deltagande i utrikespolitik, utländskt pass och frekvent resande osv.
  3. Säkerhet: Frekventa eller onormala säkerhetsincidenter, efterlevnadsöverträdelser osv.
  4. Brottsligt/kränkande/missbruksbeteende: Allt från tidigare brottshistoria till nuvarande hotfullt beteende eller kriminella handlingar.
  5. Ekonomi: Till exempel kända skulder eller plötslig eller oförklarlig förmögenhet.
  6. Missbruk: Alla beroendeliknande beteenden.
  7. Personlighet: Extrema åsikter, psykologiska störningar, lögner till arbetsgivaren osv.
Insider threat indicators

Exempel på insiderhot

Ett vanligt och förvånansvärt enkelt exempel på ett insiderhot är en medarbetare som struntar i säkerhetsåtgärder som att byta lösenord, aktivera MDM-lösningar eller helt enkelt följa föreskrifterna.

Om ett företag med kontorslokaler på flera kontinenter plötsligt behöver införa en dataskyddslösning, MDM eller någon annan form av teknisk säkerhetskontroll samtidigt som det finns logistiska hinder så kan det sluta med en liten armé av insiderhot utan att företaget ens känner till dem. Detta är ytterligare ett bevis på att grundläggande säkerhet verkligen kan förhindra insiderhot.

Ytterligare ett exempel – som kanske låter mer glamoröst – är spioneri. Detta sker nu betydligt mer sällan eftersom de tekniska metoderna är mer tillförlitliga och ger bättre resultat. I många fall där individer har utfört spionage handlar det om anställda som redan hade planerat att säga upp sig från företaget. Sådant beteende kan identifieras om man är beredd att införa kontroller som är mycket integritetskränkande. Det kan till exempel röra sig om HTTPs-stripping för att undersöka vilka data användaren överför.

Hur man identifierar och stoppar insiderhot

Precis som med allt annat så brukar djupförsvar vara en lämplig heuristik att börja med.

Steg 1: Gör efterforskningar

Titta först på vilken grupp av personer du rekryterar från eller på annat sätt gör affärer med. Beakta riskerna och ta sedan fram en lämplig hotmodell. Använd sedan tillgängliga screening-metoder för att hitta en riskreducering som känns kostnadseffektiv i detta skede. Intensiteten kan variera från att titta på sociala medier och kontakta tidigare arbetsgivare till andra – ännu mer intensiva – aspekter, beroende på verksamhetens känsliga natur.

Steg 2: Lär känna dina anställda och dina tillgångar/resurser

Inom din miljö måste du veta vilka som behöver känna till och använda de olika resurserna, och begränsa deras åtkomst maximalt i övrigt. Använd maskinvara och programvara som är förkonfigurerad eller som konfigureras automatiskt. Lita inte på att användarna hittar dit själva.

Steg 3: Var uppmärksam på balansen mellan användbarhet och säkerhet

Var uppmärksam på balansen mellan användbarhet och säkerhet, och tänk på vilka användare som kommer att drabbas värst av försämrad användbarhet – som oundvikligen kommer i samband med ökad säkerhet. Var extra uppmärksam på dessa personer.

Steg 4: Använd detektering och övervakning – det slutliga steget

Slutligen ska du använda detektering och övervakning i den högsta omfattningen som tillåts av ditt säkerhetsprogram och gällande lagstiftning. Det brukar finnas högriskanvändare som du kan peka ut som mer benägna att syssla med dessa aktiviteter än andra. Det kan t.ex. vara användare som tidigare inte har följt företagets säkerhetspolicyer. Sök efter potentiella hot med jämna mellanrum och använd verktyg som UEBA för att automatisera identifieringen så mycket som möjligt, eller åtminstone för att underlätta identifieringen.

När det gäller externa partners är efterlevnad, avtal och IT-revisioner dina viktigaste verktyg. Undersökningar som görs i samband med nästan alla affärsrelationer brukar omfatta säkerhetsaspekter, men du måste ändå säkerställa att dina partners inte råkar bli en ingångspunkt till din miljö på grund av försumlighet. Och om de blir det så måste du se till att din organisation har ett begränsat ansvar för sådana incidenter.

Insider threat defense tips

Learn more about Logpoint

Boka en demo
Kundcase
Recensioner