Blogs

Insiders veroorzaken bijna de helft van alle datalekken en hacks

insiders

De overgrote meerderheid van alle cyberaanvallen vindt nog altijd onder de radar plaats: door insiders, zegt Vincent Zeebregts van Fortinet in dit blog.

Hackers, malware-infecties, ransomware en andere bedreigingen van buitenaf halen keer op keer het nieuws. En daar is een goede reden voor. Het verlies van miljoenen gegevensbestanden als gevolg van beveiligingsincidenten lijkt schering en inslag. En nu de digitale economie met alle aspecten van ons dagelijks leven wordt geïntegreerd, kan een grootschalige cyberaanval verwoestende gevolgen hebben. Maar in de praktijk vindt de overgrote meerderheid van alle cyberaanvallen nog altijd onder de radar plaats: door insiders.

vincent zeebregts
Door: Vincent Zeebregts, country manager Nederland van Fortinet.

Hoewel gerichte aanvallen niet zichtbaar voor ons zijn en we er evenmin van horen, waren ze verantwoordelijk voor het leeuwendeel van de 600 miljard dollar aan schade die cyberaanvallen in 2018 wereldwijd veroorzaakten. En wat nog minder mensen weten, is dat bijna de helft van alle datalekken en hacks niet het resultaat is van het werk van mensen buiten de organisatie maar het gevolg van acties door insiders. In bijna de helft van alle gevallen is er sprake van boos opzet. De overige incidenten zijn het gevolg van onbedoeld schadelijke handelingen.

Vanuit beveiligingsperspectief ziet het bieden van bescherming tegen incidenten die door insiders worden veroorzaakt er heel anders uit dan het bieden van bescherming tegen netwerkaanvallen van buitenaf. Het is voor insiders ook een stuk makkelijker om toegang te krijgen tot kwetsbare apparaten en systemen en zich meer toegangsrechten toe te eigenen. Veel beveiligingssystemen besteden simpelweg weinig aandacht aan wat bekende gebruikers doen. Dat geldt zeker voor omgevingen die zijn gebaseerd op impliciet vertrouwen of waarin de meeste beveiligingsmechanismen zijn gericht op het bieden van bescherming aan de netwerkrand.

Bedreigingen van binnenuit signaleren
Bedrijven kunnen bedreigingen door insiders de baas blijven door niet alleen handelingen van gebruikers te spotten die wijzen op misbruik van bedrijfsbronnen, maar ook om medewerkers te identificeren die dit soort acties met de meeste waarschijnlijkheid zullen uitvoeren. Er zijn twee typen insiders die een gevaar voor uw organisatie vertegenwoordigen:

Type A – Gebruikers met kwade bedoelingen
Deze insiders willen hun werkgever om diverse redenen benadelen. Het kan gaan om financieel gewin, bedrijfsspionage in opdracht van een concurrent of een buitenlandse mogendheid, of wraak voor iets wat ze als onrecht zien, zoals het uitblijven van een promotie of werken onder een slechte manager.

Aanvallen door insiders kunnen resulteren in diefstal van waardevolle data en intellectueel eigendom, het lekken van interne gegevens of potentieel beschamende informatie naar concurrenten of de buitenwereld en het kapen of saboteren van databases en servers. Klanten- en werknemersgegevens, zoals persoonlijk herleidbare informatie en zorggegevens zijn het meest gewilde doelwit, omdat ze de hoogste handelswaarde op het dark web vertegenwoordigen. Intellectueel eigendom en creditcardgegevens komen op de tweede plaats.

Bij meer traditionele aanvallen van buitenaf kan het moeilijk zijn voor hackers om de afwijkende datastromen te verbergen die gepaard gaan met het snel naar buiten smokkelen van informatie. Dergelijke activiteiten vinden mogelijk op een vreemd tijdstip plaats, zijn afkomstig van een afwijkende bron, gaan gepaard met de overdracht van data naar een ongebruikelijk netwerkadres of geven blijk van een onverwacht hoog datavolume. Al dit soort zaken zouden een reactie van de beveiliging moeten triggeren die ervoor zorgt dat de aanval door insiders wordt geneutraliseerd.

Maar omdat insiders over continue toegang beschikken en blijk geven van vertrouwde patronen, kunnen zij hun aanvallen en pogingen tot gegevensdiefstal over een langere periode verspreiden. Dit biedt hen volop tijd om een aanvalsstrategie te plannen en uit te voeren, hun sporen uit te wissen en de overdracht van gegevens te verhullen voor beveiligingsoplossingen. Veel kwaadaardige insiders maken daarnaast misbruik van een inconsistent gebruik van beveiligingsregels binnen verschillende omgevingen om data te verplaatsen en detectie te omzeilen.

Type B – Nalatige gebruikers
Het is niet ongebruikelijk dat organisaties bepaalde gebruikers meer toegangsrechten toekennen dan ze voor hun werk nodig hebben. Een manager die erop staat om speciale toegangsrechten tot een database te krijgen kan met een simpele bewerking zoals het wijzigen van de veldlengte allerhande bedrijfskritische applicaties compleet in de war sturen. Of gebruikers zich nu onbewust zijn van de basisvoorzorgsmaatregelen voor de omgang met gevoelige applicaties en informatie, snel geneigd zijn om fouten te maken of simpelweg roekeloos te werk gaan, in de meeste gevallen hebben zij geen kwaad voor ogen.
Gegevensverlies en datalekken hoeven echter niet per se het gevolg te zijn van het op onjuiste wijze toekennen van toegangsrechten. Het verlies van mobiele apparaten, laptops en USB-sticks, het nalaten om data op harde schijven in afgedankte hardware te wissen zelfs het prijsgeven van zakelijke informatie tijdens chats op sociale netwerken zijn allemaal voorbeelden van acties die net zo kostbaar kunnen uitpakken als aanvallen van buiten.

Interne risico’s aanpakken
Organisaties moeten over een integraal overzicht van hun datastromen beschikken. Het is belangrijk om te weten wie wanneer welke data opvraagt en waar, zoals in het core-netwerk, multi-cloudomgevingen of het SD-WAN. Beveiligingsteams moeten daarnaast risicovolle gebruikers in kaart brengen, zoals managers, beheerders en super users met toegang tot gevoelige informatie. Verder is het zaak om een lijst bij te houden van iedereen die toegang heeft tot bedrijfskritische data, systemen en applicaties.

Door mechanismen in te richten die uw beveiligingsteam helpen om aanvallen in een vroeger stadium te signaleren kunt u een effectief programma ontwikkelen voor het beschermen van uw organisatie tegen bedreigingen door insiders. Zo zou u extra beducht moeten zijn op zaken zoals het toekennen van extra rechten en ongebruikelijke patronen van applicaties, dataverkeer en workflows, en al helemaal als er sprake is van verkeer tussen verschillende netwerkdomeinen.

Verder hebben organisaties oplossingen voor gedragsanalyse nodig die het complete netwerk scannen op abnormale gebeurtenissen en die direct rapporteren aan het beveiligingsteam. Overstappen op een ‘zero trust’-model en het toepassen van gedetailleerde interne netwerksegmentatie kan ervoor zorgen dat aanvallers geen kans krijgen om zich een weg door het netwerk te banen. Het is ook belangrijk om procedures in te stellen die ervoor zorgen dat belangrijke meldingen direct door het beveiligingsteam worden gezien. Daarmee voorkomt u dat het wordt bedolven onder een stroom van informatie die van weinig of geen nut is.

Andere zaken om op te letten zijn:

Onbevoegd gebruik van systemen en applicaties

  • Werknemers die bedrijfsgegevens uploaden naar hun eigen cloud-omgevingen
  • Schaduw-IT
  • Het opvragen, delen of uitwisselen van persoonlijk herleidbare informatie
  • De installatie van niet-goedgekeurde software en software zonder licentie
  • Het gebruik van verboden applicaties, zoals tools voor network sniffing en software voor het op afstand overnemen van de controle over andere computers.

Onbevoegde gegevensoverdracht

  • Het gebruik van verwijderbare media voor de opslag of verplaatsing van data
  • Onbevoegd kopiëren van bedrijfskritische data naar een cloud- of internetdienst
  • Bestandsoverdracht van en naar ongebruikelijke locaties
  • Het verplaatsen van bestanden via social media of instant messaging-toepassingen.

Misbruik en kwaadaardig gedrag

  • Misbruik van beheerdersrechten voor bestandssystemen
  • Het deactiveren of omzeilen van oplossingen voor endpoint-beveiliging
  • Het gebruik van tools voor wachtwoorddiefstal
  • Pogingen om toegang te zoeken tot het dark web.

Voorkomen is beter dan genezen
Het is mogelijk om nog een stap verder te gaan met het voorkomen van problemen, en wel door een werkomgeving te creëren die goed gedrag van werknemers bevordert.

De kans bestaat dat werknemers op het idee komen om vertrouwelijke informatie met zich mee te nemen als ze de organisatie uit onvrede verlaten. Dat is bijvoorbeeld mogelijk als hun salarisniveau, loopbaanvooruitzichten of andere aspecten van hun werk onder meetbare tevredenheidsniveaus vallen. Het meten van de werknemerstevredenheid en het treffen van passende maatregelen kan daarom een belangrijke bijdrage leveren aan de preventie van aanvallen door insiders. Verder kan regelmatige security awareness-training zorgen voor een reductie van roekeloos gedrag onder werknemers.

Conclusie
De kans op aanvallen door insiders is groter dan we vaak denken, zeker nu de omvang en complexiteit netwerken groeit. Roekeloosheid en kwade opzet zijn twee belangrijke oorzaken. Het goede nieuws is dat beiden iets kan worden gedaan. Met voorlichting en training kunt u de bewustwording van het personeel vergroten. U kunt een verantwoorde omgang met vertrouwelijke informatie bevorderen met bewaking van gebruikers met speciale rechten binnen het gedistribueerde netwerk, van de core tot de cloud. Dit zou u moeten combineren met dynamische netwerksegmentatie en de integratie van beveiligingstools tot één security fabric. Verder mogen geavanceerde mogelijkheden voor gedragsanalyse niet ontbreken.

Maar deze technische oplossingen zijn slechts het halve werk. Het waarborgen van aantrekkelijke werkomstandigheden kan ook een belangrijke bijdrage leveren aan de preventie van kwaadaardig gedrag. Het is belangrijk om hierbij op te merken dat salaris slechts één factor is, en niet per definitie de belangrijkste. Ruimte voor eigen initiatief, kameraadschap, teamwork en het gevoel belangrijk werk te verrichten kunnen net zo belangrijk zijn in de strijd tegen bedreigingen van binnenuit als de meest geavanceerde technologie voor netwerkbeveiliging.

Naar boven