Medarbejdersabotage

Enhedsidentitet: Den oversete trussel

Enhed/maskine-identitet, især i forbindelse med automatisering af robotprocesser, kan være en kanal for forsætlige og utilsigtede indtrængen.

Det bliver oftere i relevante sammenhænge drøftet hvordan man håndterer og afbøde den risiko, der kommer af at have mennesker som en del af økosystemet. Det har altid været kendt at de potentielt mest ødelæggende handlinger kan komme fra medlemmer eller ansatte i organisationen og jo mere digitalisering jo større risiko og skadelighed. Virksomheder opfordres til at mindske risikoen og forbedre den ondsindede eller skødesløse medarbejders handlinger i endnu større grad end tidligere. Og diskussionen har været sparsom omkring, hvordan maskine-/enhedsidentitet spiller en rolle i risikostyring.

Yash Prakash, chief strategy officer hos Saviynt, bemærker: “Insidertrusler introducerer i stigende grad risiko for organisationer, primært da insideridentiteter er vokset i de senere år til at omfatte menneskelige identiteter og maskinidentiteter (dvs. API’er, bots, leverandørkonti osv.). Ved at styrke en organisations identitetsprogram kan virksomheder mere effektivt mindske denne risiko og reducere virkningen af ondsindede insidere ved at opdage svig tidligt og forhindre eksfiltrering af kritiske data.

Bot som privilegeret bruger

Ved yderligere at konkretisere, hvordan engagementet mellem menneske og maskine kan udnyttes på en skadelig måde, giver Prakash eksemplet med økonomiafdelingen, der er ansvarlig for godkendelse og betaling på kuponer. Lederen har et script på plads, der automatiserer godkendelsesprocessen, for den mere rutinemæssige og dermed frigøre tid for lederen at fokusere på de mere komplekse. Fra et effektivitetsperspektiv er det en sejr på flere niveauer. Fra et cyberrisikoperspektiv er software bot robotprocesautomatisering (RPA) – nu en privilegeret bruger inden for finansieringsprocessen og udgør nye risici.

Indførelsen af RPA med privilegeret adgang inden for arbejdsgangen indebærer en risiko. Botten skal være legitimationsoplysninger for at udføre den nødvendige forretningsproces – få adgang til systemet, scanne, analysere og behandle.

Så har vi medarbejdere, der skaber deres egne bots, der er eksisterende fra CISO’s processer, stort set på samme måde som medarbejderne udvikler deres skygge-IT-processer. De forsøger simpelthen at få deres job afsluttet for deres vicepræsident, eller i eksemplet Koo giver nedenfor, forsøgte at narre virksomheden med hensyn til deres dedikation til deres job.

Koo fortæller, hvordan de i en af deres undersøgelser stødte på en medarbejder, hvis netværksadgang lignede en sinusbølge – login 0700, apps, der blev åbnet, åbnet og lukket, opdateret apps adgang omkring frokosttid og derefter lukke apps og logge af kl. 1800. Elleve-timers dage, alle kontrolleret af et script skabt af medarbejderen til at give indtryk af at arbejde på de dage, hvor medarbejderen ønskede at spille hooky.

I et særskilt tilfælde fortalte Koo, hvordan ikke-menneskelig eller script / bot-adfærd eksfiltrerede CFO’en for virksomhedens økonomiske præsentationer. Da støvet lagde sig, blev det bekræftet, at CFO’en var blevet offer for et målrettet phishing-angreb og vedkommendes legitimationsoplysninger var blevet kompromitteret. Kompromiset åbnede for modstanderen de tilladelser, der gives til CFO til at omfatte de mange RPA bots. Interessant nok brugte modstanderen i dette tilfælde ikke nogen kompleks malware. De brugte lavprofil kommercielle off-the-shelf applikationer til FTP de oplysninger, der er tilgængelige via CFO’s instans.

Der er behov for bedre synlighed

Det indlysende spørgsmål for CISO’s er, “Hvilket niveau af synlighed har infosec-teamet over RPA-bots inden for deres netværk, og hvad er processerne omkring deres pleje for at sikre, at hvis de kompromitteres, kan legitimationsoplysningerne ikke bruges til at hæve privilegier ud over det, der var beregnet til?”

Ud over RPA-bots er det nødvendigt, i videst muligt omfang, at fjerne de “evigt” forekomster af legitimationsoplysninger i enheder inden for økosystemerne, og i alle tilfælde sikre, at en godkendelsesproces finder sted, før scripts, maskiner eller andre former for automatisering aktiveres.

Sammenfattende har Koo det rigtigt: Der skal lægges lige stor vægt på enheder og processer, som gives til den enkelte, når man adresserer insiderrisikostyringsstrategien.

Kilde: CSOonline