Contextual Security Intelligence: versla bedreigingen van binnenuit
Moderne datalekken ontstaan meestal door het hacken of misbruiken van zogenaamde ‘privileged accounts’ - geautoriseerde gebruikers binnen een bedrijf - waarbij de hackers zich gedragen als legitieme insiders in IT-systemen om zo data te stelen. Hoe ga je om met deze groeiende bedreiging?
Geautoriseerde gebruikers onder vuur
Geautoriseerde gebruikers, zoals systeembeheerders, C-levelmanagers en third-partyleveranciers, hebben zeer veel of zelfs ongelimiteerde toegangsrechten tot zakelijke IT-systemen. Door deze rechten te misbruiken hebben beheerders (of hackers die zich voordoen als beheerders) directe toegang tot gevoelige informatie van bedrijven, zoals klantgegevens, personeelsadministratie en creditcardnummers.
Steeds vaker zijn geautoriseerde gebruikers de oorzaak van systeemrisico’s. Een belangrijk voorbeeld is klokkenluider Edward Snowden, de voormalige systeembeheerder van de US National Security Agency (NSA), wiens positie hem in staat stelde een van de grootste informatielekken ooit te veroorzaken. Ook de Amerikaanse keten van bouwmarkten The Home Depot maakte iets soortgelijks mee, toen hackers geautoriseerde toegang kregen via de gestolen inloggegevens van een third-party vendor. Het gevolg? De creditcardgegevens van 56 miljoen klanten lagen op straat.
Veel beveiligingsincidenten worden veroorzaakt binnen een organisatie als gevolg van geautoriseerd ‘misbruik’. Dit komt niet alleen door activiteiten van kwaadwillende insiders, maar ook door externe hackers die geautoriseerde gebruikers targeten om toegang te krijgen tot gevoelige data via hun gebruikersnaam en wachtwoord. In veel gevallen is dat het rootwachtwoord. Voor externe hackers is het veel beter om toegang te krijgen tot de inloggegevens van deze ‘supergebruikers’, bijvoorbeeld de CEO of systeemadministrator. Op deze manier veroorzaken geautoriseerde gebruikers een steeds groter risico.
De cijfers zijn verontrustend. Volgens het laatste Data Breach Investigations Report van Verizon uit 2014 wordt 88 procent van de incidenten door insiders veroorzaakt via autorisatiemisbruik. Het Insider Threat Report Vormetric uit 2015 toont aan dat 89 procent van de IT-respondenten denkt dat zijn organisatie nu meer risico loopt op een aanval van binnenuit; 55 procent is van mening dat geautoriseerde gebruikers de grootste interne bedreiging zijn voor bedrijfsgegevens. Het is daarom cruciaal dat bedrijven zichzelf beschermen tegen deze risico’s, en nieuwe manieren vinden om ‘de bewakers te bewaken’. Want wat gebeurt er als een incident wordt veroorzaakt door de persoon die geacht wordt het netwerk te bewaken?
Ontdek het echte verhaal
Als een incident zich voordoet, willen bedrijven uiteraard het echte verhaal weten. Dit is niet altijd even eenvoudig. Je moet duizenden tekstlogs analyseren, vaak met behulp van kostbare externe experts. Daar komt bij dat vaak meerdere IT-beheerders gebruikmaken van hetzelfde geautoriseerde account en hetzelfde wachtwoord. Dit maakt het lastig de verantwoordelijke persoon aan te wijzen, omdat je niet kunt identificeren wie er was ingelogd toen het incident zich voordeed.
Het managen van deze situatie vraagt om een nieuwe manier van beveiligen. Bestaande oplossingen zoals firewalls, logmanagement en SIEM-tools richten zich vooral op compliancy en het monitoren van de omgeving op bepaalde momenten. Dit zorgt echter voor een blinde vlek, waardoor insiders de beveiliging van binnenuit kunnen aantasten.
Complexiteit verslaan
Het is vooral gebruikersgedrag, en niet zozeer extra beveiligingslagen, dat de sleutel is tot het opsporen van dit soort incidenten. Informatie over gewoonten van gebruikers, zoals het tijdstip waarop ze meestal inloggen, kan meer informatie geven over potentiële inbreuken in systemen of verdachte activiteiten. Hetzelfde geldt voor afwijkingen in routines van de gebruiker.
Gebruikers hebben namelijk karakteristieke gedragspatronen: ze gebruiken dezelfde applicaties, voeren dezelfde handelingen uit, bekijken dezelfde data, en ze typen zelfs op een bepaalde manier. Deze interacties met IT-systemen laten een herkenbare digitale vingerafdruk achter waar we veel van kunnen leren. Bijvoorbeeld door de profielen realtime te vergelijken met activiteiten van gebruikers, om afwijkingen te ontdekken. Een gebruiker die vrijwel alleen kantoorapplicaties gebruikt, en plotseling gebruik gaat maken van de command line om het netwerk op te gaan, kan duiden op een gehackt account. Een ander voorbeeld: een salesmedewerker logt altijd in op Salesforce, maar kijkt plotseling rond in een test- en ontwikkelomgeving.
Dankzij nieuwe benaderingen van beveiliging zijn bedrijven nu in staat alle gebruikersactiviteit, inclusief verdachte gebeurtenissen, te analyseren en deze realtime te tracken en te visualiseren. Zo krijgen zij beter inzicht in wat er echt op een netwerk gebeurt.
Door de mogelijkheid om deze activiteiten eenvoudig te reconstrueren, verkleinen bedrijven de onderzoekstijd en vermijden zij onverwachte kosten. Met het groeiende aantal beveiligingsincidenten door geautoriseerde gebruikers of met hun gestolen inloggegevens in het achterhoofd, is het tijd voor een andere aanpak. Het monitoren van gebruikersgedrag, in plaats van het toevoegen van extra controlelagen, is de sleutel tot het opsporen van incidenten en uiteindelijk: het stoppen van lekken zodra deze zich voordoen.
Balabits Contextual Security Intelligence-benadering
Om in te spelen op misbruik van autorisatie, introduceert Balabit een nieuwe, gebruikergerichte benadering van beveiliging, Contextual Security Intelligence genaamd. Contextual Security Intelligence beschermt organisaties realtime tegen bedreigingen veroorzaakt door misbruik van risicovolle en geautoriseerde accounts. Dit nieuwe concept baseert zich op realtime inzicht in gebruikersgedrag, in plaats van toegangscontrole en het herkennen van vooraf gedefinieerde patronen, om aanvallen te herkennen en te reageren voordat ze schade aanrichten.
De oplossing omvat betrouwbaar systeem- en applicatielogmanagement, dat context aware data inname biedt, Privileged User Monitoring en User Behavior Analytics om gebruikersactiviteiten te monitoren en auditdata en gebeurtenissen te verzamelen van meerdere bronnen. In combinatie met bestaande control-based strategieën maakt Balabit een flexibele en gebruikersgerichte benadering mogelijk om beveiliging te verbeteren zonder extra barrières voor de zakelijke werkzaamheden. In het licht van de potentiële impact van misbruik van geautoriseerde accounts, en de bestaande beperkingen van traditioneel access-management, is er een duidelijke behoefte aan dit soort oplossingen om het monitoren en controleren van geautoriseerde-gebruikersactiviteiten te verbeteren.
Gábor Marosvári is product marketing manager bij Balabit