En innsidetrussel er en sikkerhetsrisiko som stammer fra en organisasjon. Det involverer vanligvis ansatte, kontraktører, leverandører eller partnere som har tilgang til sensitiv informasjon eller kritiske systemer. Dette er i motsetning til eksterne trusler, som kommer fra hackere eller nettkriminelle utenfor organisasjonen. Insidertrusler utgjør en unik avbøtende utfordring, siden de er forårsaket av personer som er klarert og har legitim tilgang til ressurser.
Det er viktig å forstå arten og omfanget av innsidetrusler og å øke bevisstheten om innsidetrusler av flere grunner.
- For det første kan skaden forårsaket av en insider være langt mer omfattende på grunn av deres intime kunnskap om organisasjonens systemer og prosesser og deres tilgang til en lang rekke ressurser.
- For det andre er eldre sikkerhetstiltak som brannmurer og antivirusprogramvare ofte ineffektive mot innsidetrusler, siden de ble utformet for å holde angripere ute, men de adresserer ikke bruken av angripere som kommer innenfra.
- For det tredje kan kostnadene ved et innsideangrep være betydelige, ikke bare i form av økonomisk tap, men også skade på omdømmet. Hvis det kommer frem at en intern ansatt forårsaket et angrep, kan dette føre til tap av tillit til selskapet.
- Til slutt kan innsidetrusler være vanskelige å oppdage og forhindre, siden legitime ressurser brukes under angrepet.
Derfor må organisasjoner ta i bruk en flerlags tilnærming til sikring mot innsidetrusler og for innsidetrusselhåndtering. Strategien bør inkludere overvåking, forebygging og opplæring. I denne artikkelen gir vi mer informasjon om innsidetrusler og løsninger for å redusere risikoen for innsidetrusler.
Insider-trusseldefinisjon
En innsidetrussel er sikkerhetsrisikoen som stammer fra individene i en organisasjon. Disse kan være ansatte, entreprenører, leverandører eller partnere. Innsidere som utgjør en trussel har vanligvis tilgang til sensitive data, kritiske systemer eller privilegerte kontoer.
Insidertrusler kan kategoriseres i to hovedtyper: utilsiktede og ondsinnede. Utilsiktede trusler oppstår når en ansatt utilsiktet avslører sensitive data. For eksempel gjennom en feilaktig e-post eller utilstrekkelige datahåndteringsprosedyrer. Ondsinnede trusler er derimot tilsiktede handlinger utført av en innsider som har til hensikt å kompromittere organisasjonens cybersikkerhet. Disse skjer ofte for personlig vinning eller på tross.
Eksempler på innsidetrusler på å kompromittere en organisasjons cybersikkerhet kan omfatte:
- En ansatt sender ved et uhell sensitiv informasjon til feil person på e-post.
- En entreprenør som ved et uhell laster opp sensitive filer til en offentlig sky, og eksponerer dataene for uautoriserte brukere.
- Ansatte bruker utilsiktet svake passord.
- IT-ansatte forlater ubevisst servere ubeskyttet.
- En ansatt som bevisst lekker konfidensiell kundedata til en konkurrent.
- En misfornøyd medarbeider som deaktiverer sikkerhetsprotokoller, noe som gjør systemet sårbart for eksterne angrep.
Insider-trusselstatistikk
Innsidetrusler er en økende bekymring i cybersikkerhetslandskapet. Ifølge Verizon DBIR 2023, interne aktører står for 19 % av bruddene. Imidlertid, til tross for den vanlige trope av en misfornøyd ansatt, finner rapporten at innvendige aktører er dobbelt så sannsynlige for å være ansvarlige for feilaktige handlinger, snarere enn forsettlige.
Feilaktig eller ondsinnet, kostnadene ved en innsidetrusselhendelse er svært høye. Ifølge 2022 Ponemon Cost of Insider Threats Global Report, er den gjennomsnittlige årlige kostnaden for uaktsomhet av ansatte eller entreprenører $6.6 millioner. For en kriminell eller ondsinnet innsider er det $4.1 millioner. Rapporten fant også at organisasjoner krevde et gjennomsnitt på 85 dager for å begrense hendelsen, mens mer enn en tredjedel tok mer enn 90 dager.
Andre bemerkelsesverdige statistikker om innsidetrusler inkluderer:
- Antall interne trusselhendelser har økt med 44 % de siste to årene.
- 67 % av selskapene opplever 21–40+ insidertrusselhendelser per år.
- 56 % av innsidetrusselhendelsene var forårsaket av en uforsiktig ansatt eller entreprenør.
- 56 % av innsidetrusselhendelsene var forårsaket av ondsinnede eller kriminelle innsidere.
- Bransjene med de høyeste gjennomsnittlige aktivitetskostnadene er finansielle tjenester ($21.25 millioner og profesjonelle tjenester $18.65 millioner).
Disse er alle fra 2022 Ponemon Cost of Insider Threats Global Report.
Det er en rekke faktorer som kan bidra til innsidetrusler, inkludert:
- Økonomisk gevinst: Noen ansatte er motivert til å begå innsidetrusler for personlig fortjeneste. Dette kan innebære å stjele åndsverk, selge kundedata eller begå svindel.
- nag: Misfornøyde ansatte kan begå innsidetrusler som en måte å hevne seg på arbeidsgiveren sin. Dette kan innebære sabotering av systemer, sletting av data eller lekkasje av konfidensiell informasjon.
- Ulykker: Imidlertid er de fleste innsidetrusler forårsaket av ulykker. For eksempel uforsiktige eller uskyldige ansatte som ved et uhell avslører sensitive data eller som blir lurt til phishing-angrep.
Oppdagelse og forebygging av trusler på innsiden
Å oppdage og forhindre innsidetrusler krever en kombinasjon av løsninger: teknologiske plattformer, organisasjonspolitikk og -prosesser, og opplæring av ansatte. Her er en rekke måter organisasjoner kan oppdage og forhindre innsidetrusler på:
Opplæring og bevisstgjøring av ansatte
Opplæring og bevisstgjøringsprogrammer for ansatte er en av de viktigste og mest effektive måtene å forhindre innsidetrusler på, og spesielt de utilsiktede. Ved å gjennomføre workshops, øvelser og andre pedagogiske bestrebelser kan ansatte lære og forstå hvilke typer atferd som utgjør en insidertrussel og øve på hvordan de kan unngå dem. Utstyrt med denne kunnskapen vil de mer vellykket kunne avstå fra å lekke data ved et uhell på jobben. Dette vil også bidra til å skape bredere årvåkenhet for nettsikkerhet og en forsiktig kultur.
Retningslinjer for tilgangskontroll
Implementering av strenge tilgangskontrolltiltak og retningslinjer, basert på prinsippet om minste privilegium, sikrer at ansatte kun har tilgang til den informasjonen som er nødvendig for jobbfunksjonene deres. Dette betyr at selv om ansatte ved et uhell eller ondsinnet lekker data, er omfanget begrenset, noe som reduserer eksplosjonsradiusen til et angrep. Rollebasert tilgangskontroll (RBAC) er for eksempel en effektiv metode for å begrense omfanget av tilgang.
LayerX kan brukes som en obligatorisk autorisasjonsfaktor for å sikre sikker tilgang.
Overvåking og revisjon
Kontinuerlig overvåking av nettverksaktivitet kan bidra til å oppdage uvanlige mønstre som kan indikere en innsidetrussel. For eksempel, hvis en ansatt logger på klokken 3 eller laster ned store mengder data til enheten sin, kan dette være grunn til bekymring.
- Verktøy som User and Entity Behavior Analytics (UEBA) kan analysere brukeratferd og flagge anomalier.
- DLP løsninger kan overvåke og kontrollere dataoverføringer, og forhindre uautorisert datalekkasje.
- EDR løsninger kan overvåke endepunktaktiviteter og oppdage mistenkelige aktiviteter på individuelle enheter, for eksempel uautoriserte dataoverføringer eller bruk av ikke-godkjente applikasjoner, og kan iverksette korrigerende handlinger automatisk.
- Sikker nettleser utvidelser som LayerX effektivt spore, overvåke og forhindre mistenkelige brukerhandlinger, som opplasting og innliming av data.
Som en beste praksis anbefales det å utføre periodiske revisjoner av systemlogger, brukeraktiviteter og tilgangskontroller. Disse revisjonene kan bidra til å identifisere eventuelle uregelmessigheter, og også bidra til å identifisere hull eller sårbarheter som må løses. Du kan for eksempel oppdage at de ansatte bruker ChatGPT men du har ingen kontroll over hvilke data de limer inn der.
Responsplan for hendelser
Å ha en veldefinert responsplan for hendelser vil muliggjøre rask handling hvis en innsidetrussel oppdages. Dette insidertrusselprogrammet bør skissere trinnene som skal tas, personellet som er involvert og kommunikasjonsstrategiene som skal brukes.
AI og ML
Avanserte AI- og ML-modeller og algoritmer blir i økende grad brukt til å oppdage komplekse mønstre og anomalier som kan indikere potensielle trusler. Disse teknologiene kan sile gjennom enorme mengder data for å identifisere potensielle trusler som kan unnslippe tradisjonelle overvåkingsverktøy.
Konklusjon
Risikoen for innsidetrusler blir ofte oversett til fordel for eksterne trusler. Det kan imidlertid være like, om ikke mer, skadelig. Enten det internt genererte databruddet er ondsinnet eller utilsiktet, kan kostnadene og konsekvensene være svært høye. Proaktive tiltak som opplæring av ansatte, robuste tilgangskontroller og kontinuerlig overvåking kan bidra til å redusere disse risikoene.
LayerX er en sikker nettleserutvidelse som forhindrer eksponering av interne data til ukontrollerte nettsteder og applikasjoner. Ved å granulært overvåke alle brukerhandlinger og skille ut aktiviteter som introduserer risiko, kan LayerX varsle og forhindre ondsinnede aktiviteter, enten de er tilsiktet eller utilsiktet.
LayerX forhindrer dataopplasting til ikke-sanksjonerte og risikofylte nettplasseringer, forhindrer deling av sensitive data til personlige SaaS og nettapplikasjoner, og sikrer at sensitive data aldri lastes ned fra organisatoriske SaaS-apper til uadministrerte enheter eller administrerte enheter som ikke oppfyller nødvendige sikkerhetsstandarder. Når slike handlinger oppdages, blokkerer LayerX dem eller varsler brukere om at de er i ferd med å utføre en usikker datainteraksjon. Til slutt gir LayerX innsyn i datainteraksjonsmønstre.