En insidertrussel er en sikkerhedsrisiko, der stammer fra en organisation. Det involverer typisk medarbejdere, entreprenører, leverandører eller partnere, som har adgang til følsomme oplysninger eller kritiske systemer. Dette er i modsætning til eksterne trusler, som kommer fra hackere eller cyberkriminelle uden for organisationen. Insidertrusler udgør en unik afbødningsudfordring, da de er forårsaget af folk, der er tillid til og har legitim adgang til ressourcer.
Det er vigtigt at forstå arten og omfanget af insidertrusler og at øge bevidstheden om insidertrusler af flere årsager.
- For det første kan skaden forårsaget af en insider være langt mere omfattende på grund af deres indgående kendskab til organisationens systemer og processer og deres adgang til en bred vifte af ressourcer.
- For det andet er ældre sikkerhedsforanstaltninger som firewalls og antivirussoftware ofte ineffektive mod insider-trusler, da de er designet til at holde angribere ude, men de adresserer ikke anvendelsen af angribere, der kommer indefra.
- For det tredje kan omkostningerne ved et insiderangreb være betydelige, ikke kun i form af økonomisk tab, men også skade på omdømmet. Hvis man siger, at en intern medarbejder har forårsaget et angreb, kan det føre til tab af tillid til virksomheden.
- Endelig kan insidertrusler være svære at opdage og forhindre, da der bruges legitime ressourcer under angrebet.
Derfor skal organisationer anvende en flerlags tilgang til sikring mod insidertrusler og til insider-trusselshåndtering. Strategien bør indeholde overvågning, forebyggelse og træning. I denne artikel giver vi flere oplysninger om insidertrusler og løsninger til at mindske risikoen for insidertrusler.
Insider-trusseldefinition
En insidertrussel er den sikkerhedsrisiko, der stammer fra individerne i en organisation. Det kan være medarbejdere, entreprenører, leverandører eller partnere. Insidere, der udgør en trussel, har normalt adgang til følsomme data, kritiske systemer eller privilegerede konti.
Insidertrusler kan kategoriseres i to hovedtyper: utilsigtede og ondsindede. Utilsigtede trusler opstår, når en medarbejder utilsigtet afslører følsomme data. For eksempel gennem en fejlagtig e-mail eller utilstrækkelige datahåndteringsprocedurer. Ondsindede trusler er på den anden side bevidste handlinger udført af en insider, der har til formål at kompromittere organisationens cybersikkerhed. Disse sker ofte for personlig vinding eller på trods.
Eksempler på insidertrusler på at kompromittere en organisations cybersikkerhed kunne omfatte:
- En medarbejder sender ved et uheld følsomme oplysninger til den forkerte person via e-mail.
- En entreprenør, der ved et uheld uploader følsomme filer til en offentlig sky, og udsætter dataene for uautoriserede brugere.
- Medarbejdere utilsigtet bruger svage adgangskoder.
- IT-medarbejdere efterlader ubevidst servere ubeskyttede.
- En medarbejder, der bevidst lækker fortrolige kundedata til en konkurrent.
- En utilfreds medarbejder, der deaktiverer sikkerhedsprotokoller, hvilket gør systemet sårbart over for eksterne angreb.
Insider-trusselsstatistikker
Insidertrusler er en voksende bekymring i cybersikkerhedslandskabet. Ifølge Verizon DBIR 2023, interne aktører står for 19 % af overtrædelserne. På trods af en utilfreds medarbejders almindelige trop, finder rapporten, at indvendige aktører er dobbelt så tilbøjelige til at være ansvarlige for fejlagtige handlinger frem for forsætlige handlinger.
Forkert eller ondsindet, omkostningerne ved en insidertrusselshændelse er meget høje. Ifølge 2022 Ponemon Cost of Insider Threats Global Report, er de gennemsnitlige årlige omkostninger ved uagtsomhed medarbejder eller entreprenør $6.6 mio. For en kriminel eller ondsindet insider er det $4.1 mio. Rapporten fandt også, at organisationer krævede et gennemsnit på 85 dage for at begrænse hændelsen, hvor mere end en tredjedel tog mere end 90 dage.
Andre bemærkelsesværdige statistikker om insidertrusler omfatter:
- Antallet af interne trusselshændelser er steget med 44 % i de seneste to år.
- 67 % af virksomhederne oplever 21-40+ insidertrusselshændelser om året.
- 56 % af insidertrusselhændelser var forårsaget af en skødesløs medarbejder eller entreprenør.
- 56 % af insidertrusselhændelser var forårsaget af ondsindede eller kriminelle insidere.
- De brancher, der har de højeste gennemsnitlige aktivitetsomkostninger, er finansielle tjenesteydelser ($21.25 mio. og professionelle tjenester $18.65 mio.).
Disse er alle fra 2022 Ponemon Cost of Insider Threats Global Report.
Der er en række faktorer, der kan bidrage til insidertrusler, herunder:
- Økonomisk gevinst: Nogle medarbejdere er motiverede til at begå insidertrusler for deres personlige profit. Dette kan involvere at stjæle intellektuel ejendom, sælge kundedata eller begå svindel.
- nag: Utilfredse medarbejdere kan begå insidertrusler som en måde at søge hævn på deres arbejdsgiver. Dette kan involvere sabotering af systemer, sletning af data eller lækage af fortrolige oplysninger.
- Ulykker: De fleste insidertrusler er dog forårsaget af ulykker. For eksempel skødesløse eller uskyldige medarbejdere, der ved et uheld afslører følsomme data, eller som bliver narret til phishing-angreb.
Insider-trusselsdetektion og -forebyggelse
Opdagelse og forebyggelse af insidertrusler kræver en kombination af løsninger: teknologiske platforme, organisatoriske politikker og processer og medarbejderuddannelse. Her er en række måder, hvorpå organisationer kan opdage og forhindre insidertrusler:
Medarbejderuddannelse og bevidsthed
Medarbejderuddannelse og oplysningsprogrammer er en af de vigtigste og mest effektive måder at forhindre insidertrusler på, og især de utilsigtede. Ved at afholde workshops, øvelser og andre uddannelsesmæssige bestræbelser kan medarbejderne lære og forstå de typer adfærd, der udgør en insidertrussel, og øve sig i, hvordan man undgår dem. Udstyret med denne viden vil de være i stand til mere succesfuldt at afstå fra utilsigtet at lække data på jobbet. Dette vil også bidrage til at skabe bredere cybersikkerhedsbevågenhed og en forsigtig kultur.
Adgangskontrolpolitikker
Implementering af strenge adgangskontrolforanstaltninger og politikker, baseret på princippet om mindste privilegium, sikrer, at medarbejderne kun har adgang til de oplysninger, der er nødvendige for deres jobfunktioner. Det betyder, at selvom medarbejdere ved et uheld eller ondsindet lækker data, er deres omfang begrænset, hvilket reducerer eksplosionsradius for et angreb. Rollebaseret adgangskontrol (RBAC) er for eksempel en effektiv metode til at begrænse omfanget af adgang.
LayerX kan bruges som en obligatorisk autorisationsfaktor for at hjælpe med at sikre sikker adgang.
Overvågning og revision
Kontinuerlig overvågning af netværksaktivitet kan hjælpe med at opdage usædvanlige mønstre, der kan indikere en insidertrussel. For eksempel, hvis en medarbejder logger på kl. 3 eller downloader store mængder data til deres enhed, kan det give anledning til bekymring.
- Værktøjer som User and Entity Behavior Analytics (UEBA) kan analysere brugeradfærd og markere anomalier.
- DLP løsninger kan overvåge og kontrollere dataoverførsler, hvilket forhindrer uautoriseret datalækage.
- EDR løsninger kan overvåge slutpunktsaktiviteter og opdage mistænkelige aktiviteter på individuelle enheder, såsom uautoriserede dataoverførsler eller brug af ikke-godkendte applikationer, og kan foretage korrigerende handlinger automatisk.
- Sikker browser udvidelser som LayerX effektivt spore, overvåge og forhindre mistænkelige brugerhandlinger, såsom upload og indsættelse af data.
Som en bedste praksis anbefales det at udføre periodiske revisioner af systemlogfiler, brugeraktiviteter og adgangskontroller. Disse revisioner kan hjælpe med at identificere eventuelle uregelmæssigheder og også hjælpe med at identificere eventuelle huller eller sårbarheder, der skal løses. For eksempel kan du opdage, at dine medarbejdere bruger ChatGPT men du har ingen kontrol over, hvilke data de indsætter der.
Hændelsesplan
At have en veldefineret hændelsesresponsplan vil muliggøre hurtig handling, hvis en insidertrussel opdages. Dette insider-trusselprogram bør skitsere de skridt, der skal tages, det involverede personale og de kommunikationsstrategier, der skal anvendes.
AI og ML
Avancerede AI- og ML-modeller og algoritmer bliver i stigende grad brugt til at opdage komplekse mønstre og anomalier, der kan indikere potentielle trusler. Disse teknologier kan gennemsøge enorme mængder data for at identificere potentielle trusler, der kan undslippe traditionelle overvågningsværktøjer.
Konklusion
Risikoen for insidertrusler overses ofte til fordel for eksterne trusler. Det kan dog være lige så, hvis ikke mere, skadeligt. Uanset om det internt genererede databrud er ondsindet eller utilsigtet, kan omkostningerne og konsekvenserne være meget høje. Proaktive foranstaltninger som medarbejderuddannelse, robuste adgangskontroller og kontinuerlig overvågning kan hjælpe med at mindske disse risici.
LayerX er en sikker browserudvidelse, der forhindrer eksponering af interne data til ukontrollerede websteder og applikationer. Ved granulært at overvåge alle brugerhandlinger og udskille aktiviteter, der indebærer risiko, kan LayerX advare og forhindre ondsindede aktiviteter, uanset om de er tilsigtede eller utilsigtede.
LayerX forhindrer dataupload til ikke-godkendte og risikable webplaceringer, forhindrer deling af følsomme data til personlige SaaS og webapplikationer og sikrer, at følsomme data aldrig downloades fra organisatoriske SaaS-apps til ikke-administrerede enheder eller administrerede enheder, der ikke opfylder de nødvendige sikkerhedsstandarder. Når sådanne handlinger opdages, blokerer LayerX dem enten eller advarer brugere om, at de er ved at udføre en usikker datainteraktion. Endelig giver LayerX synlighed i datainteraktionsmønstre.