Ett insiderhot är en cybersäkerhetsrisk som har sitt ursprung inom en organisation. Det inträffar vanligtvis när en nuvarande eller tidigare anställd, entreprenör, leverantör eller partner med legitima användaruppgifter missbrukar sin åtkomst till skada för organisationens nätverk, system och data. Ett insiderhot kan utföras avsiktligt eller oavsiktligt. Oavsett avsikten är slutresultatet att konfidentialiteten, tillgängligheten och/eller integriteten för företagets system och data äventyras.
Insiderhot är orsaken till de flesta dataintrång. Traditionella cybersäkerhetsstrategier, policyer, rutiner och system fokuserar ofta på externa hot, vilket gör organisationen sårbar för attacker inifrån. Eftersom insidern redan har giltiga behörigheter till data och system är det svårt för säkerhetspersonal och applikationer att skilja mellan normal och skadlig aktivitet.
Illvilliga insiders har en klar fördel jämfört med andra kategorier av illvilliga angripare eftersom de är väl förtrogna med företagets system, processer, rutiner, policyer och användare. De är mycket medvetna om systemversioner och de sårbarheter som finns i dessa. Organisationer måste därför ta itu med insiderhot med minst lika stor noggrannhet som de gör med externa hot.
Förstå anatomin bakom insiderhot. Lär dig av branschexperter och dina kollegor hur du kan överlista dina motståndare med rätt förebyggande program.
Läs mer om dettaDe huvudsakliga målen för skadliga insiderhot, som också kallas turn-cloak, är spionage, bedrägeri, stöld av immateriella rättigheter och sabotage. De missbrukar avsiktligt sin privilegierade tillgång för att stjäla information eller försämra system av ekonomiska, personliga och/eller illvilliga skäl. Exempel på detta är en anställd som säljer konfidentiella uppgifter till en konkurrent eller en missnöjd före detta entreprenör som introducerar skadlig kod i organisationens nätverk.
Skadliga insiderhot kan vara medarbetare eller ensamma vargar.
Medarbetare
Samarbetspartners är auktoriserade användare som arbetar med en tredje part för att avsiktligt skada organisationen. Den tredje parten kan vara en konkurrent, en nationalstat, ett organiserat kriminellt nätverk eller en enskild person. Samarbetspartnerns handling skulle leda till att konfidentiell information läcker ut eller att affärsverksamheten störs.
Ensamvarg
Ensamma vargar arbetar helt självständigt och agerar utan yttre manipulation eller påverkan. De kan vara särskilt farliga eftersom de ofta har privilegierad systemåtkomst, t.ex. databasadministratörer.
Slarviga säkerhetshot från insider sker oavsiktligt. De är ofta resultatet av mänskliga misstag, dåligt omdöme, oavsiktlig medhjälp, bekvämlighet, nätfiske (och annan social ingenjörskonst), skadlig kod och stulna inloggningsuppgifter. Den berörda personen utsätter omedvetet företagets system för externa angrepp.
Obetänksamma insiderhot kan vara brickor i spelet.
Pant
Pawns är auktoriserade användare som har manipulerats till att oavsiktligt agera skadligt, ofta genom social engineering-tekniker som spear phishing. Dessa oavsiktliga handlingar kan inkludera nedladdning av skadlig kod till deras dator eller avslöjande av konfidentiell information till en bedragare.
Goof
Goofs vidtar avsiktligt potentiellt skadliga åtgärder utan att ha något ont uppsåt. De är arroganta, okunniga och/eller inkompetenta användare som inte inser behovet av att följa säkerhetspolicyer och -rutiner. En goof kan vara en användare som lagrar konfidentiell kundinformation på sin personliga enhet, trots att han eller hon vet att det strider mot organisationens policy.
En mullvad
En mullvad är en utomstående person som har fått insideråtkomst till organisationens system. De kan utge sig för att vara en leverantör, partner, entreprenör eller anställd och på så sätt få privilegierade behörigheter som de annars inte skulle ha fått.
De flesta threat intelligence-verktyg fokuserar på analys av nätverks-, dator- och applikationsdata och ägnar inte mycket uppmärksamhet åt åtgärder som vidtas av behöriga personer som kan missbruka sin privilegierade åtkomst. För ett säkert cyberförsvar mot ett insiderhot måste du hålla ett öga på avvikande beteende och digital aktivitet.
Beteendemässiga indikatorer
Det finns några olika indikatorer på ett insiderhot som man bör hålla utkik efter, bland annat:
Digitala indikatorer
Du kan skydda din organisations digitala tillgångar från ett internt hot. Så här gör du.
Skydda kritiska tillgångar
Identifiera organisationens kritiska logiska och fysiska tillgångar. Dessa omfattar nätverk, system, konfidentiella uppgifter (inklusive kundinformation, uppgifter om anställda, ritningar och detaljerade strategiska planer), anläggningar och människor. Förstå varje kritisk tillgång, rangordna tillgångarna i prioritetsordning och bestäm det aktuella tillståndet för varje tillgångs skydd. Naturligtvis bör de högst prioriterade tillgångarna ges den högsta skyddsnivån mot insiderhot.
Skapa en baslinje för normalt användar- och enhetsbeteende
Det finns många olika programvarusystem som kan spåra insiderhot. Dessa system fungerar genom att först centralisera information om användaraktiviteter genom att hämta information från loggar för åtkomst, autentisering, kontoändringar, slutpunkter och virtuella privata nätverk (VPN). Använd dessa data för att modellera och tilldela riskpoäng till användarbeteenden som är kopplade till specifika händelser, t.ex. nedladdning av känsliga data till flyttbara medier eller en användare som loggar in från en ovanlig plats. Skapa en baslinje för normalt beteende för varje enskild användare och enhet samt för arbetsfunktion och befattning. Med hjälp av denna baslinje kan avvikelser flaggas och undersökas.
Öka synligheten
Det är viktigt att använda verktyg som kontinuerligt övervakar användaraktivitet samt aggregerar och korrelerar aktivitetsinformation från flera källor. Du kan t.ex. använda cyberdeceptionslösningar som skapar fällor för att locka till sig illvilliga insiders, spåra deras handlingar och förstå deras avsikter. Den här informationen kan sedan matas in i andra säkerhetslösningar för att identifiera eller förhindra pågående eller framtida attacker.
Genomdriva policyer
Definiera, dokumentera och sprid organisationens säkerhetspolicy. Detta förhindrar tvetydigheter och skapar rätt grund för verkställighet. Ingen anställd, uppdragstagare, leverantör eller partner ska behöva tvivla på vad som är acceptabelt beteende när det gäller organisationens säkerhetsarbete. De ska vara medvetna om sitt ansvar att inte lämna ut sekretessbelagd information till obehöriga parter.
Främja förändringar i kulturen
Även om det är viktigt att upptäcka insiderhot är det mer försiktigt och billigare att avskräcka användarna från olämpligt beteende. Att främja en säkerhetsmedveten kulturförändring och digital transformation är nyckeln i detta avseende. Genom att förmedla rätt övertygelser och attityder kan man bekämpa försumlighet och ta itu med rötterna till illvilligt beteende. Anställda och andra intressenter bör regelbundet delta i säkerhetsutbildning och medvetandegörande som utbildar dem i säkerhetsfrågor, vilket bör åtföljas av kontinuerlig mätning och förbättring av medarbetarnöjdheten för att fånga upp tidiga varningstecken på missnöje.
Lösningar för upptäckt av insiderhot
Insiderhot är svårare att identifiera och förhindra än externa attacker. De är ofta under radarn för konventionella cybersäkerhetslösningar som brandväggar, intrångsdetekteringssystem och anti-malware-programvara. Om en angripare loggar in via ett auktoriserat användar-ID, lösenord, IP-adress och enhet är det osannolikt att de utlöser några säkerhetslarm. För att effektivt skydda dina digitala tillgångar behöver du en programvara och strategi för att upptäcka insiderhot som kombinerar flera verktyg för att övervaka insiderbeteende och samtidigt minimera antalet falska positiva resultat.
Proaktivt upptäcka insiderrisker, nya attacker och avancerade ihållande hot
Försvara med precision, säkra med självförtroende
Se hur attackerna utförs och vad de är inriktade på