Een insider threat is een beveiligingsrisico voor een organisatie dat vanuit het bedrijf zelf komt. Het kan afkomstig zijn van huidige of voormalige werknemers, contractanten of andere zakelijke relaties die toegang hebben – of hebben gehad – tot de gegevens en computersystemen van een organisatie. Omdat het van binnenuit komt en al dan niet opzettelijk is, is een insider-bedreiging een van de duurste en moeilijkst op te sporen van alle aanvalstypen.
Soorten insider-bedreigingen
Er zijn meerdere soorten insider-bedreigingen die worden gedefinieerd op basis van de intentie en motivatie van de betrokkenen.
- “Onachtzame” insiders hebben misschien niet de intentie om de organisatie in gevaar te brengen, maar doen dat op niet-malicieuze wijze door zich onveilig te gedragen. Deze insiders reageren mogelijk niet op veiligheidsbewustzijn en -opleidingen of maken geïsoleerde fouten door een slecht beoordelingsvermogen te gebruiken. In beide gevallen wordt nalatigheid vaak genoemd als het duurste type risico voor werknemers.
- “Collusieve” insiders werken samen met kwaadwillende externe bedreigingsactoren om de organisatie in gevaar te brengen. Hoewel het riskant en zeldzaam is, komt dit type dreiging van binnenuit steeds vaker voor nu professionele cybercriminelen steeds vaker het dark web gebruiken om werknemers als bondgenoten te rekruteren. In deze gevallen gaat het vaak om fraude, diefstal van intellectueel eigendom of een combinatie van de twee, waardoor ze zeer kostbaar kunnen zijn. Dit soort samenspanning kan ook langer duren om te detecteren, omdat kwaadwillende externe dreigingsactoren doorgaans goed op de hoogte zijn van beveiligingstechnologie en strategieën om detectie te vermijden.
- “Kwaadwillende” insiders exfiltreren gegevens of plegen andere negatieve handelingen tegen de organisatie met als doel financiële beloningen of ander persoonlijk gewin. Kwaadwillende insiders die op zoek zijn naar een tweede bron van inkomsten, zullen doorgaans gegevens langzaam exfiltreren naar persoonlijke accounts om detectie te vermijden. Een ander type kwaadwillende insider, de ontevreden werknemer, zal erop uit zijn om een bedrijf opzettelijk te saboteren of zijn intellectuele eigendom te stelen. Ze kunnen gezien worden terwijl ze gevoelige bedrijfsinformatie uitkammen of grote gegevensexporten voltooien, vooral rond de tijd dat ze ontslag nemen uit hun functie of de gebruikelijke twee weken opzegtermijn in acht nemen voordat ze hun functie neerleggen.
- “Derde-partij” insiders zijn aannemers of verkopers die een bedrijf op de een of andere manier toegang heeft gegeven tot zijn netwerk. Deze insiders kunnen werknemers hebben die onder een van de bovenstaande categorieën vallen of kunnen gewoon zwakke plekken in hun eigen systemen en apparaten hebben die kwetsbaarheden voor aanvallers openen.
Risico’s van insiderbedreigingen
Insiders zijn vooral gevaarlijk omdat ze, in tegenstelling tot buitenstaanders die de organisatie willen binnendringen, legitieme toegang hebben tot computersystemen en het netwerk, die ze nodig hebben om hun dagelijkse werk uit te voeren. Als deze autorisaties worden misbruikt of gebruikt om de organisatie schade toe te brengen, kunnen de resultaten catastrofaal en kostbaar zijn voor het bedrijf.
Wanneer actief wordt gewerkt om een organisatie te compromitteren, hebben insiders ook een voordeel, omdat zij doorgaans bekend zijn met de datastructuur van het bedrijf en waar intellectueel eigendom zich bevindt. Zij kunnen ook weten hoe die informatie wordt beschermd, waardoor het voor hen gemakkelijker is om eventuele beveiligingsmaatregelen te omzeilen.
Omdat een insider al directe toegang heeft tot de organisatie en haar netwerk en niet hoeft in te breken via de buitenste perimeter, zijn insider bedreigingen vaak moeilijker te verdedigen dan aanvallen van buitenstaanders. Ze zijn ook moeilijker te detecteren, omdat bewegingen van insiders zich vaak vermengen met zakelijk verantwoord gedrag.
Detectie van insider bedreigingen
Insider bedreigingen kunnen bestaande verdedigingsmiddelen gemakkelijk omzeilen, waardoor detectie een grotere uitdaging is. De bekendheid met en de toegang tot gevoelige gegevens die insiders hebben, maken detectie echter van cruciaal belang. Omdat bedreigingen van binnenuit zich kunnen vermengen met zakelijk gerechtvaardigde activiteiten, moeten beveiligingsteams in staat zijn verder te kijken dan individuele artefacten om gedrag en andere patronen te ontdekken die kunnen wijzen op een compromittering. Deze patronen zijn afhankelijk van het type insiderbedreiging.
De waarschijnlijkheid dat een insider wordt ontdekt en de punten in de levenscyclus van de aanval waarop dit gebeurt, zijn voor elk type insiderbedreiging anders. Onachtzame insiders kunnen worden opgespoord door hun bestaande kwetsbaarheden te identificeren voordat ze worden gecompromitteerd, door vast te stellen wanneer hun referenties worden gecompromitteerd of wanneer hun referenties worden gebruikt voor opdracht en controle, of door ongebruikelijke laterale bewegingen aan het licht te brengen die afkomstig zijn van die gebruiker. Heimelijke insiders worden het vaakst ontdekt wanneer zij communiceren met of gegevens doorgeven aan hun kwaadwillende externe medewerkers. Kwaadwillende insiders kunnen een patroon vertonen van toegang tot of exfiltratie van informatie die zij niet nodig hebben of waartoe zij geen toegang zouden mogen hebben. Derde insiders kunnen ook op al deze manieren worden geïdentificeerd.
Bij het opsporen van insider-bedreigingen is het van vitaal belang dat organisaties een volledig beeld hebben van de apparaten, mensen en andere entiteiten zonder dat daarvoor logboeken of endpoint-agents in hun hele netwerk nodig zijn, omdat deze vaak niet beschikbaar zijn. Deze moeten worden gevolgd, zelfs wanneer IP-adressen veranderen, om gegevens en gedragspatronen te identificeren. Beveiligingsteams moeten ook toegang hebben tot de volledige context rond deze entiteiten, inclusief apparaat- en gebruikersprofielen met een zakelijke functie, e-mailadressen, bezochte domeinen, geraadpleegde bestanden, relaties en meer.
Insider threat detection & Investigation
Awake detecteert insider threat-aanvallen die opgaan in zakelijk gerechtvaardigde activiteiten door anomalieën en kwade bedoelingen te identificeren. Het Awake Network Detection and Response Platform analyseert volledige packet capture-gegevens om honderden veiligheidsrelevante signalen te extraheren en entiteiten zoals apparaten en domeinen, evenals hun gedragingen en relaties af te leiden en te profileren. Het legt ook institutionele kennis van het team vast, waaronder bedrijfscontext die gebruikersrollen en basisgedragingen kan verhelderen. Het platform maakt vervolgens gedragsdetectie van TTP’s van aanvallers en organisatiespecifieke bedreigingen mogelijk. Alle activiteiten worden gecorreleerd in een tijdlijn van bedreigingen die IOC’s, TTP’s en non-malware omvat. Dit proces maakt automatische triage mogelijk met risicoscores voor elk apparaat en domein.
Dit niveau van overzicht en gedetailleerde forensische analyse was voorheen alleen mogelijk voor de meest geavanceerde beveiligingsexperts ter wereld, en zelfs dan was het alleen mogelijk via een handmatig, tijdrovend proces, waardoor insiderbedreigingen pas laat aan het licht kwamen, als ze al werden ontdekt. Awake heeft de opsporing van insiderbedreigingen toegankelijk gemaakt voor elke organisatie, ongeacht omvang, budget of geavanceerdheid, en stelt beveiligingsteams in staat een sluitende en snelle reactie uit te voeren door gebruik te maken van uitputtende informatie uit het netwerk.
Zie ook
- Oplossing van de raadselachtige insiderbedreiging
- Laterale bewegingsdetectie via het op afstand creëren van services
- Lessen voor beveiligingsteams uit de mega-inbreuken van dit seizoen