Vijf zaken die u moet weten over Insider Threats

  1. 9 sep 2016
  2. 0 reacties

Onsight-Jeffrey-BHO-9398

Niemand ziet het aankomen…

Bedrijven investeren fors om hun netwerken te beschermen tegen aanvallen van buiten. Maar hoeveel investeert u tegen “aanvallen” van binnenuit? De boosdoeners zitten soms slechts een paar meter bij u vandaan. Inderdaad, een collega of een outsourcing partner met toegang tot belangrijke bestanden is net zo goed een bedreiging: de Insider Threat. Of het nu gaat om onachtzaam gedrag of kwade bedoelingen, de dreiging is er niet minder om.

Valt bij u wel mee? Uit een onderzoek van SANS blijkt dat 75% van dergelijke “aanvallen” niet eens wordt opgemerkt, omdat er domweg niet naar wordt gekeken uit blind vertrouwen in de medewerkers of uit angst voor privacy schending. En bij 70% van audits geven bedrijven aan moeite te hebben met het vormgeven van mens-monitoring binnen de organisatie. Waar kijken we? Wie houden we in de gaten? Hoe volgen we op? Herkent u dit Insider Threat dilemma?

Om deze vragen te beantwoorden is inzicht in het fenomeen Insider Threats noodzakelijk. De vijf belangrijkste zaken die u moet weten.

#1 Alle deuren staan open voor de helpdesk

Het ligt voor de hand dat alleen belangrijke financiële of juridische databases beschermd moeten worden, maar het tegendeel is waar. Binnen de organisatie kunnen andere afdelingen worden gebruikt als steppingstone om belangrijke databases en bestanden te manipuleren. Uit een onderzoek van Ponemon kwam naar voren dat de helpdesk als grootste risicofactor wordt gezien. Denkt u er maar eens over na, de helpdesk heeft vaak toegang en rechten tot grote hoeveelheden (gevoelige) bedrijfsgegevens. Het zal geen verrassing zijn dat collega’s van de supportafdeling vaak achter data diefstal zitten. Bovendien worden helpdesks vaak geoutsourcet en lang niet iedereen heeft goed in beeld of en hoe deze medewerkers worden gescreend, etc. En als helpdesks inderdaad een bewezen risicofactor zijn, hoe mitigeert u dit dan?

#2 Cloud is fout! Als het om logs gaat

Cloudapplicaties zijn makkelijk om altijd en overal te kunnen werken. Het monitoren van dergelijke applicaties is echter bere-moeilijk. Veel cloud-aps kennen slechts beperkte logs en providers willen u daar nauwelijks toegang toe geven vanwege multi-tennancy aspecten: U bent immers niet de enige die gebruik maakt van dezelfde applicatie. Daarnaast is er veel tijd nodig om eventueel logs te analyseren. Cloudapplicaties met betrekking tot e-commerce (dergelijke applicaties hebben een directe verbinding met data van eindgebruikers), financiën (bieden vaak meer informatie dan noodzakelijk) en CRM leveren het grootste risico op bedreigingen van binnenuit. Deze applicaties moeten, hoe groot de uitdagingen ook zijn, eigenlijk wel worden gemonitord.

#3 Het gaat niet om de inbraak, maar om de tijd die nodig is om hem te ontdekken

Tijd is een belangrijke factor bij datalekken. Een kwaadwillende kan gemiddeld genomen 256 dagen ongestoord zijn gang gaan, de tijd die nodig is om hem of haar te ontdekken. Een menselijke vergissing wordt na 158 dagen ontdekt. De tijd die nodig is om een inbraak te herkennen kan het verschil maken tussen een klein incident en een grootschalig datalek. Deze laatste kan een organisatie veel schade toebrengen en geld kosten. Die ontdekkingstijd kan fors verkort worden door actieve monitoring.

Volgens Ponemon bedragen de ontdekkings- en herstelkosten van een kwaadwillende aanvaller ongeveer $170 per databaseregel. De kosten voor een menselijke vergissing bedragen ongeveer $137 per databaseregel. Bij een database van slechts 4000 regels hebben we het dus al over een bedrag van ruim $600k….

#4 Monitoring van bits of gedrag

Het analyseren van gebruikerslogs geeft bijna nooit genoeg detailinformatie om de exacte bewegingen of het gedrag van een medewerker te bepalen. Zeker als het gaat om gebruikers met volledige toegang tot systemen, aangezien zij zelfs in staat zijn om hun sporen uit te wissen. Daarnaast bevatten logs vaak duizenden regels en is het reconstrueren van een bepaalde actie van een gebruiker te vergelijken met het zoeken naar een speld in een hooiberg. Voor een oplossing moeten we dus niet de bits centraal zetten maar het gedrag.

Een monitoring oplossing kan context toevoegen om een completer beeld te creëren over het gedrag. Hierdoor is het mogelijk om het moment te bepalen waarop een medewerker een serieuze bedreiging gaat vormen. Inmiddels is daar mooie en betaalbare techniek voor beschikbaar, die bovendien niet afhankelijk is van de (cloud-)applicatielogs.

#5 Hoe monitor ik Insider Threats zonder inbreuk op privacy

Niet iedereen in uw organisatie heeft slechte bedoelingen en medewerkers hebben recht op privacy. Monitoring kan daarom in diverse gradaties worden toegepast, van anoniem naar specifiek. Uiteraard bepaalt u die gradaties zelf, maar hieronder een voorbeeld:

  • Fase 1: Alleen statistiek verzamelen over handelingen die niet passen bij de afgesproken policies. Bijvoorbeeld: hoeveel mensen zetten confidentiële bedrijfsinformatie op Dropbox. En daarover generieke awareness feedback geven aan medewerkers;
  • Fase 2: Geleiding toepassen door individuele ‘informatie-pop-ups’ te laten verschijnen indien een handeling wordt gestart die niet past bij de afgesproken policies: weet u zeker dat u deze handeling wilt uitvoeren die eigenlijk niet mag?
  • Fase 3: Blokkeren van ongewenste handelingen, met een uitleg pop-up: u mag dit niet want…;
  • Fase 4: Rapporteren op afdelingsniveau over ongewenste handelingen om daarmee risicogedrag in kaart te brengen en daarmee generieke maatregelen in te voeren;
  • Fase 5: Gelijk aan fase 4 maar nu op persoonsniveau;
  • Fase 6: Opnemen van alle schermhandelingen per persoon om te kunnen analyseren indien een calamiteit zich voordoet. Onsight past dit bijvoorbeeld toe op de afdeling waar klantsystemen worden gemanaged.

Om grip te krijgen op interne dreigingen zouden onderstaande activiteiten moeten worden gemonitord:

  • E-mailen van vertrouwelijke gegevens. Gebruikers hebben de neiging te vergeten dat dit niet mag;
  • Gebruik van file-sharing applicaties zoals Dropbox;
  • Gebruik van private folders en applicaties;
  • Gebruik van USB sticks;
  • Shadow-IT en andere niet door de organisatie te controleren apparatuur;
  • Toegang tot het netwerk. Vaak hebben gebruikers toegang tot slechts enkele applicaties maar ook het complete netwerk.

Door monitoring gefaseerd toe te passen legt u de nadruk op gewenst gedrag in plaats van “Big Brother is watching you”.

Kortom: Insider Threats = Activity monitoring

Een monitoring oplossing biedt real time inzicht in de wijze waarop medewerkers, derde partijen en beheerders omgaan met uw bedrijfsgegevens. U bepaalt zelf welke gradatie van monitoring u toepast voor welke groep gebruikers.

Insider Threats: daar is veel aan te doen, met behoud van privacy. In uw belang.

Jeffrey de Graaf is Commercieel Directeur van Onsight