Tekniska ämnen

Vad är en Insider Threat?

Illustration av IT-objekt med fokus på ett frågetecken

Översikt

Ett insiderhot är en cybersäkerhetsrisk som har sitt ursprung inom en organisation. Det inträffar vanligtvis när en nuvarande eller tidigare anställd, entreprenör, leverantör eller partner med legitima användaruppgifter missbrukar sin åtkomst till skada för organisationens nätverk, system och data. Ett insiderhot kan utföras avsiktligt eller oavsiktligt. Oavsett avsikten är slutresultatet att konfidentialiteten, tillgängligheten och/eller integriteten för företagets system och data äventyras.

Insiderhot är orsaken till de flesta dataintrång. Traditionella cybersäkerhetsstrategier, policyer, rutiner och system fokuserar ofta på externa hot, vilket gör organisationen sårbar för attacker inifrån. Eftersom insidern redan har giltiga behörigheter till data och system är det svårt för säkerhetspersonal och applikationer att skilja mellan normal och skadlig aktivitet.

Illvilliga insiders har en klar fördel jämfört med andra kategorier av illvilliga angripare eftersom de är väl förtrogna med företagets system, processer, rutiner, policyer och användare. De är mycket medvetna om systemversioner och de sårbarheter som finns i dessa. Organisationer måste därför ta itu med insiderhot med minst lika stor noggrannhet som de gör med externa hot.

Bästa praxis för beprövad förebyggande av insiderhot

Förstå anatomin bakom insiderhot. Lär dig av branschexperter och dina kollegor hur du kan överlista dina motståndare med rätt förebyggande program.

Läs mer om detta

Olika typer av insiderhot

Skadliga insiderhot

De huvudsakliga målen för skadliga insiderhot, som också kallas turn-cloak, är spionage, bedrägeri, stöld av immateriella rättigheter och sabotage. De missbrukar avsiktligt sin privilegierade tillgång för att stjäla information eller försämra system av ekonomiska, personliga och/eller illvilliga skäl. Exempel på detta är en anställd som säljer konfidentiella uppgifter till en konkurrent eller en missnöjd före detta entreprenör som introducerar skadlig kod i organisationens nätverk.

Skadliga insiderhot kan vara medarbetare eller ensamma vargar.

Medarbetare

Samarbetspartners är auktoriserade användare som arbetar med en tredje part för att avsiktligt skada organisationen. Den tredje parten kan vara en konkurrent, en nationalstat, ett organiserat kriminellt nätverk eller en enskild person. Samarbetspartnerns handling skulle leda till att konfidentiell information läcker ut eller att affärsverksamheten störs.

Ensamvarg

Ensamma vargar arbetar helt självständigt och agerar utan yttre manipulation eller påverkan. De kan vara särskilt farliga eftersom de ofta har privilegierad systemåtkomst, t.ex. databasadministratörer.

Slarviga insiderhot

Slarviga säkerhetshot från insider sker oavsiktligt. De är ofta resultatet av mänskliga misstag, dåligt omdöme, oavsiktlig medhjälp, bekvämlighet, nätfiske (och annan social ingenjörskonst), skadlig kod och stulna inloggningsuppgifter. Den berörda personen utsätter omedvetet företagets system för externa angrepp.

Obetänksamma insiderhot kan vara brickor i spelet.

Pant

Pawns är auktoriserade användare som har manipulerats till att oavsiktligt agera skadligt, ofta genom social engineering-tekniker som spear phishing. Dessa oavsiktliga handlingar kan inkludera nedladdning av skadlig kod till deras dator eller avslöjande av konfidentiell information till en bedragare.

Goof

Goofs vidtar avsiktligt potentiellt skadliga åtgärder utan att ha något ont uppsåt. De är arroganta, okunniga och/eller inkompetenta användare som inte inser behovet av att följa säkerhetspolicyer och -rutiner. En goof kan vara en användare som lagrar konfidentiell kundinformation på sin personliga enhet, trots att han eller hon vet att det strider mot organisationens policy.

En mullvad

En mullvad är en utomstående person som har fått insideråtkomst till organisationens system. De kan utge sig för att vara en leverantör, partner, entreprenör eller anställd och på så sätt få privilegierade behörigheter som de annars inte skulle ha fått.

Hur man upptäcker en insider Threat

De flesta threat intelligence-verktyg fokuserar på analys av nätverks-, dator- och applikationsdata och ägnar inte mycket uppmärksamhet åt åtgärder som vidtas av behöriga personer som kan missbruka sin privilegierade åtkomst. För ett säkert cyberförsvar mot ett insiderhot måste du hålla ett öga på avvikande beteende och digital aktivitet.

Beteendemässiga indikatorer

Det finns några olika indikatorer på ett insiderhot som man bör hålla utkik efter, bland annat:

  • En missnöjd eller missbelåten anställd, entreprenör, leverantör eller partner.
  • Försök att kringgå säkerheten.
  • Regelbundet arbetar utanför arbetstid.
  • Visar förbittring mot medarbetare.
  • Rutinmässig överträdelse av organisationens policy.
  • Överväger att säga upp sig eller diskuterar nya möjligheter.

Digitala indikatorer

  • Att logga in på företagets applikationer och nätverk vid ovanliga tidpunkter. Till exempel kan en anställd som utan uppmaning loggar in på nätverket klockan 03.00 på morgonen vara en anledning till oro.
  • Ökning i volymen av nätverkstrafik. Om någon försöker kopiera stora mängder data över nätverket kommer du att se ovanliga toppar i nätverkstrafiken.
  • Tillgång till resurser som de vanligtvis inte har tillgång till eller som de inte har tillstånd att använda.
  • Åtkomst till data som inte är relevant för deras arbetsuppgifter.
  • Upprepade förfrågningar om tillgång till systemresurser som inte är relevanta för deras arbetsuppgifter.
  • Använda obehöriga enheter som USB-enheter.
  • Genomsökning av nätverk och avsiktlig sökning efter känslig information.
  • Skicka känslig information via e-post utanför organisationen.

Så här skyddar du dig mot insiderattacker

Du kan skydda din organisations digitala tillgångar från ett internt hot. Så här gör du.

Skydda kritiska tillgångar

Identifiera organisationens kritiska logiska och fysiska tillgångar. Dessa omfattar nätverk, system, konfidentiella uppgifter (inklusive kundinformation, uppgifter om anställda, ritningar och detaljerade strategiska planer), anläggningar och människor. Förstå varje kritisk tillgång, rangordna tillgångarna i prioritetsordning och bestäm det aktuella tillståndet för varje tillgångs skydd. Naturligtvis bör de högst prioriterade tillgångarna ges den högsta skyddsnivån mot insiderhot.

Skapa en baslinje för normalt användar- och enhetsbeteende

Det finns många olika programvarusystem som kan spåra insiderhot. Dessa system fungerar genom att först centralisera information om användaraktiviteter genom att hämta information från loggar för åtkomst, autentisering, kontoändringar, slutpunkter och virtuella privata nätverk (VPN). Använd dessa data för att modellera och tilldela riskpoäng till användarbeteenden som är kopplade till specifika händelser, t.ex. nedladdning av känsliga data till flyttbara medier eller en användare som loggar in från en ovanlig plats. Skapa en baslinje för normalt beteende för varje enskild användare och enhet samt för arbetsfunktion och befattning. Med hjälp av denna baslinje kan avvikelser flaggas och undersökas.

Öka synligheten

Det är viktigt att använda verktyg som kontinuerligt övervakar användaraktivitet samt aggregerar och korrelerar aktivitetsinformation från flera källor. Du kan t.ex. använda cyberdeceptionslösningar som skapar fällor för att locka till sig illvilliga insiders, spåra deras handlingar och förstå deras avsikter. Den här informationen kan sedan matas in i andra säkerhetslösningar för att identifiera eller förhindra pågående eller framtida attacker.

Genomdriva policyer

Definiera, dokumentera och sprid organisationens säkerhetspolicy. Detta förhindrar tvetydigheter och skapar rätt grund för verkställighet. Ingen anställd, uppdragstagare, leverantör eller partner ska behöva tvivla på vad som är acceptabelt beteende när det gäller organisationens säkerhetsarbete. De ska vara medvetna om sitt ansvar att inte lämna ut sekretessbelagd information till obehöriga parter.

Främja förändringar i kulturen

Även om det är viktigt att upptäcka insiderhot är det mer försiktigt och billigare att avskräcka användarna från olämpligt beteende. Att främja en säkerhetsmedveten kulturförändring och digital transformation är nyckeln i detta avseende. Genom att förmedla rätt övertygelser och attityder kan man bekämpa försumlighet och ta itu med rötterna till illvilligt beteende. Anställda och andra intressenter bör regelbundet delta i säkerhetsutbildning och medvetandegörande som utbildar dem i säkerhetsfrågor, vilket bör åtföljas av kontinuerlig mätning och förbättring av medarbetarnöjdheten för att fånga upp tidiga varningstecken på missnöje.

Lösningar för upptäckt av insiderhot

Insiderhot är svårare att identifiera och förhindra än externa attacker. De är ofta under radarn för konventionella cybersäkerhetslösningar som brandväggar, intrångsdetekteringssystem och anti-malware-programvara. Om en angripare loggar in via ett auktoriserat användar-ID, lösenord, IP-adress och enhet är det osannolikt att de utlöser några säkerhetslarm. För att effektivt skydda dina digitala tillgångar behöver du en programvara och strategi för att upptäcka insiderhot som kombinerar flera verktyg för att övervaka insiderbeteende och samtidigt minimera antalet falska positiva resultat.

Insider Threat

Kom igång redan idag.

Läs mer om detta

Hur kan vi hjälpa till?

Fotnoter