Waarom insider threats toenemen en hoe je ertegen kan beschermen

Het gevaar van cyberdreigingen die uit de organisatie zelf afkomstig zijn, neemt toe, zo blijkt uit verschillende studies. Tegelijk lijkt er nog een taboe rond interne dreigingen te bestaan, terwijl ze heel wat schade kunnen veroorzaken. Waar komt de evolutie vandaan en hoe kunnen bedrijven zich ertegen beschermen?

Eén op vijf cybersecurity-incidenten wordt veroorzaakt door mensen binnen het bedrijf, zo concludeerde Verizon in zijn Insider Threat Report, dat eerder dit jaar verscheen. Amper een maand later kwam securityleverancier Bitglass met een gelijkaardig rapport op de proppen, waarbij 60 procent van de respondenten in een survey aangaf dat hun organisatie in 2018 slachtoffer was gevallen van minstens één insideraanval. Drie op vier (73%) bevraagde professionals was bovendien van mening dat het aantal incidenten toeneemt.

De gezichten van insider threats

De reden voor die toename is niet zozeer dat er vandaag meer misnoegde of onloyale werknemers rondlopen, maar wel dat het aantal apparaten en cloudapplicaties waarop bedrijfsgegevens terechtkomen almaar stijgt. Data worden steeds meer gebruikt door allerlei apps, op meer apparaten, die makkelijker de bedrijfsomgeving verlaten.

Het Verizon-rapport onderscheidt vijf categorieën van insider threats, die zeker niet allemaal van kwaad opzet uitgaan:

De onachtzame medewerker: Werknemers of partners die middelen verkeerd inzetten, gebruiksbeleid overtreden, gegevens verkeerd verwerken, ongeautoriseerde applicaties installeren en niet-toegestane oplossingen gebruiken.
De interne agent: Insiders die door externe partijen zijn aangeworven, gevraagd of omgekocht om gegevens te stelen.
De ontevreden werknemer: Werknemers die uit ongenoegen proberen hun organisatie schade toe te brengen, door vernietiging van gegevens of verstoring van bedrijfsactiviteiten.
De kwaadwillende insider: Dit zijn werknemers of partners met toegang tot bedrijfsmiddelen, die bestaande rechten gebruiken om toegang te krijgen tot informatie voor persoonlijk gewin.
De nalatige derde partij: Zakenpartners die de beveiliging in gevaar brengen door nalatigheid, misbruik of kwaadwillige toegang tot of gebruik van een asset.

Taboe

Deze bedreigingen van binnenin vormen een even groot, of zelfs groter, risico voor de beveiliging in vergelijking met externe aanvallen. Insider threats zijn doorgaans werknemers of partners die reeds op een legitieme manier toegang hebben tot je systemen, terwijl dat voor een externe aanvaller net de grootste uitdaging is. Het maakt dat een insideraanval in veel gevallen minder snel wordt opgemerkt – 54 procent van de respondenten in het Bitglass-survey zegt dat het moeilijker is om een interne aanval te ontdekken ten opzichte van een externe – wat betekent dat traditionele perimeterbescherming compleet nutteloos is om ertegen te beschermen.

“Vaak worden insider threats behandeld als een schande of een probleem voor de HR-afdeling.”

Ondanks het risico, hangt er vandaag nog een taboe rond insider threats. “Veel te lang werden datalekken en cybersecurity-incidenten veroorzaakt door insiders opzij geschoven en niet serieus genomen. Vaak worden ze behandeld als een schande of een probleem voor de HR-afdeling”, zegt Bryan Sartin, executive director voor Security Professional Services bij Verizon. “Dat moet veranderen. Cyberdreigingen zijn niet alleen afkomstig van externe bronnen en om cybercriminaliteit in zijn geheel te bestrijden, moeten we ons ook richten op bedreigingen die binnen de muren van een organisatie liggen.”

cloud byod — *Een insider threat is niet altijd kwaadwillig. Door de opkomst van cloud en BYOD verlaten data steeds vaker de bedrijfsmuren, waardoor er meer risico is op incidenten.*

Meerlagige verdediging

Door de opmars van BYOD en de (multi-)cloud is de traditionele securityperimeter nagenoeg in rook opgegaan. Het bedrijfsnetwerk heeft niet langer duidelijk afgelijnde grenzen en informatie begeeft zich steeds meer buiten de muren van de organisatie. Het typische karakter van insider threats vraagt om een verdediging die meerdere lagen dekt.

Access control en identity management

Wie heeft toegang tot welke data en is dat (nog) noodzakelijk? De sleutel voor goed identity management is dat het dynamisch gebeurt. Vandaag vormen gebruikers de perimeter van je netwerk en dus kan je toegang en identiteiten maar beter centraal beheren, om het overzicht en de controle te bewaren.

Een nieuw account is snel aangemaakt, maar moet ook aangepaste toegangsrechten en bescherming krijgen. Gebruikers hebben alleen toegang nodig tot de data en toepassingen die ze voor hun dagelijkse taken gebruiken, en dat kan doorheen de tijd veranderen. Voor accounts met hogere rechten kan bijvoorbeeld multi-factorauthenticatie worden opgelegd.

Wie heeft toegang tot welke data en is dat (nog) noodzakelijk?

Data loss prevention (DLP)

Data loss prevention helpt, zoals de naam al doet vermoeden, bij het voorkomen van dataverlies. DLP monitort endpoints, opslagsystemen, netwerk- en cloudverkeer om te detecteren wanneer (gevoelige) gegevens ongeautoriseerd worden opgeslagen of verspreid, zodat ze niet in verkeerde handen vallen.

DLP waarschuwt bij een inbreuk, en past encryptie en andere beschermende acties toe om te voorkomen dat een gebruiker per ongeluk of met opzet gegevens buiten de organisatie verspreid die het bedrijf schade kunnen berokkenen.

Automatisering

Nu steeds meer workloads in de cloud draaien, worden geautomatiseerde security-oplossingen almaar belangrijker. Een reactieve oplossing op basis van manuele analyse is niet snel genoeg meer. Geautomatiseerde oplossingen steunen op machine learning om verdachte activiteit in realtime vast te stellen, en kunnen een incident van detectie tot respons afhandelen.

Automatisering is vandaag het sleutelwoord voor het optimaliseren van verschillende processen binnen de organisatie en security hoort daar zeker bij. Als een gebruiker op je netwerk plots vanaf een ander land inlogt, een applicatie buiten de gebruikelijke kantooruren raadpleegt of grote hoeveelheden gegevens downloadt, kan het systeem daar onmiddellijk op reageren en de gebruiker bijvoorbeeld tijdelijk blokkeren.

Training

Tot nu toe hebben we het alleen over technologische oplossingen gehad, maar daarmee kijken we over één belangrijke factor heen: de mens. Door je personeel bewust te maken van de gevolgen van roekeloos gedrag en hen best practices inzake security bij te brengen, kom je ook al een heel eind.

Gerelateerd: Het risico van multi-cloud: verlies de controle over je data niet uit het oog

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_ga	2 years	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
_gid	1 day	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
cli_user_preference	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
CONSENT	2 years	YouTube plaatst deze cookie via ingesloten YouTube-video's en registreert anonieme statistische gegevens.
cookielawinfo*	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
itdaily_lang	1 year	Deze cookie is nodig om de landnotificatie te verbergen. De landnotificatie wordt getoond als je vanuit een land de website bezoekt, waardoor we ook een specifieke Techzine-editie aanbieden. Die melding kan je verbergen middels deze cookie.
itdaily_theme	1 year	Deze cookie slaat op of je de darkmode of de normale versie wilt inschakelen.
PHPSESSID	1 day	Deze cookie komt vooruit uit standaard PHP-applicaties. De cookie wordt gebruikt om een gebruikerssessie op te slaan en te identiiceren. Het is een sessiecookie die direct wordt gewist bij het sluiten van de browser.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
viewed_cookie_policy	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
wordpress_*	30 days	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.
wp-*	1 day	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.

Cookie	Duration	Description
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
itdaily_views	1 hour	Dit is een basis cookie om bezoekersaantallen per artikel te berekenen.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
VISITOR_INFO1_LIVE	5 months 27 days	Een cookie dat door YouTube wordt geplaatst om de bandbreedte te meten en dat bepaalt of de gebruiker de nieuwe of de oude spelersinterface krijgt.
YSC	session	YSC-cookie wordt ingesteld door YouTube en wordt gebruikt om de weergaven van ingesloten video's op YouTube-pagina's bij te houden.

Waarom insider threats toenemen en hoe je ertegen kan beschermen

De gezichten van insider threats

Taboe

“Vaak worden insider threats behandeld als een schande of een probleem voor de HR-afdeling.”

Meerlagige verdediging

Wie heeft toegang tot welke data en is dat (nog) noodzakelijk?

gerelateerd nieuws

nieuwsbrief