Med så mye nyheter som fokuserer på eksterne angrep, er en av de største truslene mot organisasjonens datasikkerhet, inntekter og omdømme innsatsstrusler. Insiders - ansatte med tilgang til data som er eksternt verdifulle - står for 28% av alle brudd på data. Selv om 28% kanskje ikke virker så stor som den underforståtte 72% av angrepene av eksterne angripere, er 28% faktisk et stort antall.

Eksterne angrep bruker automatisering, forhåndsprogrammert kode og den opportunistiske naturen til å målrette millioner av e-postadresser for å finne ut og finne sitt neste offer. Insiders, derimot, er personer som personlig utfører trusselen. Eksterne angrep må finne de dataene de mener er verdifulle, mens innsidere allerede vet om hver bit av dine verdifulle data de har tilgang til. Så, mens 28% tallet kan virke ubetydelig, er det ganske motsatt.

Faktisk kan innsidere utgjøre en større trussel mot organisasjonen enn eksterne angripere.

Hver organisasjon har konfidensiell forretningsdata, kundedata, ansatt PII og immateriell eiendom som bare skal brukes til fordel for organisasjonen. Og fordi en ondsinnet insider bruker tillatelser til applikasjoner, ressurser og data de har blitt gitt som en del av jobben sin, er det ekstremt vanskelig å avgjøre om aktivitet skal betraktes som en trussel eller ikke. Det betyr at de kan stjele informasjon, og du kan aldri vite det selv skjedd!

Innsideren kan være noen innen organisasjonen. I en nylig undersøkelse var bekymringen rundt både privilegerte IT-brukere og vanlige ansatte som potensielle insider-trusselaktører av IT-organisasjoner nesten identiske. Og de burde være; alle som har tilgang til data som anses å være verdifulle eksternt, er potensielt en trussel.

Vær også oppmerksom på at nesten hver ekstern angriper til slutt ser ut som en insider. Bruken av kompromitterte interne legitimasjonsopplysninger av en ekstern angriper er den vanligste trusselen i brudd på data. Dette underbygger verdien av å identifisere insiderstrusler så tidlig som mulig.

Så hvordan kan organisasjoner slå inn i insider - helst før trusselen skjer?

Spotting insider trusler

Målet er å lete etter ledende indikatorer på feilaktig eller ondsinnet ansattes oppførsel. Dette er funnet ved å se på unormal brukeraktivitet - men det må være aktivitet som antyder en potensiell trussel, og ikke nødvendigvis aktivitet som tyder på at trusselaktiviteten pågår. For eksempel kan du se etter overdreven kopiering av filer, eller økninger i opplastet webtrafikk for å oppdage potensiell datatyveri, men virkeligheten er når disse aktivitetene oppstår, det er for sent - trusselen har skjedd.

Det som må skje er å se etter aktivitet som skjer godt før trusselhandlinger tas. Den enkleste og mest vanlige for hver insider trussel handling er innlogging. Nesten alle trusselhandlinger krever logging på ved hjelp av interne legitimasjonsbeskrivelser. Endpoint tilgang, lateral bevegelse mellom endepunkter, ekstern tilgang via VPN, ekstern desktop tilgang, og mer alle deler det vanlige kravet til en logon.

La oss dekke tre potensielle insider-trussescenarier og diskutere hvordan loggadministrasjonen hjelper til med å identifisere og behandle insidertrusler.

Scenario 1: den ondsinnede innsideren

I dette scenariet bruker medarbeiderne sine egne legitimasjonsbeskrivelser, som utnytter eventuelle bevilgede rettigheter til eget formål. Dette kan være alt fra å stjele data som er verdifulle for dem personlig, til data verdifulle for en konkurrent eller oppstart, til data som kan selges på det svarte markedet.

Den ondsinnede innsideren vet at de kan bli fanget, så deres primære mål er å skjule sin aktivitet. Noen vanlige måter de forsøker å gjøre dette på (som også tjener som trusselindikatorer) inkluderer:

  • Kommer inn for å jobbe tidlig - Ingenting sier “ingen får vite det” enn ingen er rundt. Innsidere utnytter tidlig morgentid til å utføre trusselhandlinger.
  • Leaving arbeid sent - På lignende måte har opphold etter timer samme effekt.
  • Flere logoer - Innsidere blir ofte nervøse og hindrer seg fra å fortsette. Dette resulterer i flere påfølgende logoer og logoffs innen kort tid.
  • Etter timer logon - En ansatt som aldri kommer inn på en lørdag som plutselig gjør det er mistenkt.
  • Ekstern pålogging - Ondsinnede handlinger er lettere fra komforten i ditt eget hjem. Fjerntilgang til bedriftsnettverket av noen som normalt ikke skal øke noen øyenbryn.

Bruk av påloggingsadministrasjon for å identifisere og stoppe en insider

  • Logon Revision - Logon anomalier rundt tid, frekvens, type og kilde maskin kan alle enkelt identifiseres, slik at IT-teamene kan svare på riktig måte.
  • Logon Policy - Begrensninger kan begrense når brukt kan logge, hvorfra, hvor ofte, og bruke hvilken øktype (interaktiv, RDP, over Wi-Fi, etc.). Dette begrenser innloggingsalternativer for ansatte, noe som kan hindre dem i å utføre trusselhandlinger.
  • Tidsbegrensninger - Skal en ansatt ønske å “henge” Etter timer kan brukerne logges av på slutten av en godkjent arbeidsplan.
  • Responsive Actions - Når det blir varslet, kan det speile økter for å overvåke handlinger, kan låse arbeidsstasjonen, og tvinge ut en bruker fra økten - før alt er skadelig.

Scenario 2: ondsinnet insider med stjålet eller delt legitimasjon

Noen ganger bruker insideren ikke sin egen legitimasjon i det hele tatt. I stedet bruker de andre brukerens legitimasjonsbeskrivelser. Hvordan fikk de legitimasjonene? De ble delt. I en nylig studie fant vi at 49% av medarbeiderne (fra viktige avdelinger som juridisk, HR, IT, Finans og mer) deler deres legitimasjon med medarbeiderne.

Insider ved hjelp av andres privilegier er en fin måte å umiddelbart øke bredden og dybden av deres tilgang til verdifulle data. Vanlige indikatorer for misbruk av legitimasjon inkluderer:

  • Logg på fra en annen arbeidsstasjon - Det er langt mer sannsynlig at “lånt” legitimasjonsinformasjon vil bli brukt fra innsiders egen arbeidsstasjon enn den som vanligvis bruker brukeren som eier legitimasjonene.
  • Logg på unormale tider - Ansatte er generelt vanlige skapninger. De kommer og går langs samme tidsplan. Så det er sannsynlig at insiderens innlogging vil se uvanlig ut.
  • Samtidig Logons - Innsideren kommer ikke til å vente til eieren av e-postadressen er logget ut; de logger på mens e-postadressen fortsatt er logget på. Eller i det minste forsøk å gjøre det (avhengig av om du har begrensninger rundt samtidige logoer på plass).

Spotting og stopping av insider med innlogging ledelse

  • Logon Policy - Retningslinjer kan settes opp for å begrense samtidige logoer, begrense innlogging til credential eierens arbeidsstasjon, og nekte samtidig logoer fra forskjellige systemer.
  • Revisjon og varslinger - Det kan bli varslet om både forsøkte og vellykkede, uregelmessige logoer.
  • Responsive Actions - Skulle en pålogging virke mistenkelig, kan ikke bare brukeren være logget av, men kontoen kan bli blokkert fra eventuelle andre logoer (til det blir løftet av IT).

Scenario 3: ondsinnet angriper med kompromitterte legitimasjonsbeskrivelser

Den vanligste modellen for ekstern angrep innebærer at angriperen først etablerer fotfeste ved hjelp av deres opprinnelige kompromitterte sluttpunkt. Derfra trenger de å bevege seg sideveis over hele organisasjonen, hoppe fra en maskin til den neste i et forsøk på å søke etter, identifisere og få tilgang til verdifulle data. For hvert hopp må det være en innlogging. Vanlige indikatorer inkluderer:

  • Logon fra arbeidsstasjon til arbeidsstasjon - Forbindelser fra ett endepunkt til neste, til neste vil skje for å lette lateral bevegelse.
  • Unormale påloggingstider - Eksterne angripere utnytter tilgangen de har oppnådd og vil ikke vente på neste virkedag. De vil begynne lateral bevegelse øyeblikket de kan.
  • Flere samtidige logoner - Hvis en kompromittert konto gir dem tilgang til et bredt spekter av endepunkter, bruker de den kontoen igjen og igjen, noe som resulterer i mange logoer fra samme konto.

Spotting og stopping av insider med innlogging ledelse

  • Innloggingspolitikk - Retningslinjer kan etableres for å begrense fra hvilke maskiner eller IP-adresser en konto kan logge inn, begrense bruken av en kompromittert konto og stoppe sidebevægelsen.
  • Revisjon og varsling - Overvåking av forsøk på bruk kan varsle IT og flytte dem til handling for å reagere på trusselen.
  • Blokker angrepet - Før skadelig aktivitet oppstår, kan den innloggede økten avsluttes, og viktigst, kontoen kan blokkeres fra å logge på et hvilket som helst system på nettverket.

Å stoppe innsidenstrusler ved innlogging

Innsidertrusselen er ekte og det er her. I dag. På nettverket ditt allerede. De er ansattens du jobber med hver dag, hvor skiftet til dem blir en insider kan ta litt mer enn et oppbruddssammenheng, gått opp forfremmelse eller personlig motgang. Så, å ha en proaktiv og kostnadseffektiv løsning for å takle insiderstrusler er like viktig som sluttpunktsbeskyttelse, brannmurer og e-postgateway.

Den vanlige faktoren for hvert insider scenario er påloggingen. Ved å utnytte Logon Management legger du fokus på din insider-trusseloppdagelse og -respons godt før eventuelle ondsinnede handlinger som kan finne sted, stoppe insiderens døde i sporene, med IT i full kontroll.

François Amigorena, administrerende direktør for Er vedtak

  • Vi har også markert det beste antivirusprogrammet