Hvem er den største insidertrussel?

Phishing-simuleringer er ikke nok til at identificere organisationens største insidere-sårbarheder eller minimere risikoen fra dem.

Penetrationstest viser ofte, hvor problematisk det kan være at med mennesker.

Ofte ses det at folk henter og bruger tabte USB’er, opgiver adgangskoder over telefonen og endda klikker på simulerede phishing-links. Mange virksomheder har også set de virkelige konsekvenser af sådanne handlinger.

Murphy, leder af cybersikkerhed hos Schneider Downs, et certificeret offentligt regnskabs- og forretningsrådgivningsfirma, siger, at han engang undersøgte årsagen til et  ransomware-angreb på et firma og sporede hændelsen tilbage til en arbejdstager, der havde klikket på en faktura for pickles.

“Det var ikke relateret til noget i hans arbejdsopgaver. Det var ikke relateret til noget, virksomheden gør. Den eneste grund til, at det blev klikket, var fordi han var i stand til at åbne alt. Han var en insiderrisiko, der bare ventede på at opstå,« siger Murphy, en tidligere konsulent for National Security Agency (NSA) Computer Network Operations Team.

Ifølge 2022 Cost of Insider Threats Global undersøgelse fra Ponemon Institute, det samlede antal insider trussel hændelser sprang med 44% i de sidste to år.

Rapporten fandt, at uagtsomme insidere var den grundlæggende årsag til 56% af hændelserne, og de kostede i gennemsnit $ 484.931 pr. Hændelse.

Rapporten fandt, at ondsindede eller kriminelle insidere koster endnu mere: $ 648,062 i gennemsnit, med ondsindede eller kriminelle insidere bag 26% af hændelserne.

I mellemtiden tegnede legitimationstyveri sig for 18% af hændelserne i 2022, op fra 14% af hændelserne i 2020.

Tager en flerlags tilgang

Sikkerhedseksperter siger, at simulerede phishing-angreb kan hjælpe med at identificere personer, der fortsætter med at klikke uden at tænke. Men det er meget sværere at finde ud af, hvem der kan være sårbar over for et sofistikeret Social Engineering-angreb baseret på oplysninger skrabet fra LinkedIn, hvem der måske er utilfredse nok til at sælge deres legitimationsoplysninger til kriminelle syndikater, eller hvem der har omhyggelig cyberhygiejne, når de arbejder på en bærbar computer, men ikke er mistænksomme over for en falsk tekstbesked.

At udrydde disse svage led kræver meget mere arbejde og kræver brug af flere værktøjer i virksomhedens værktøjskasse, ikke kun sikkerhedsværktøjet.

Som Murphy siger: “For at finde disse insiderrisici stoler du ikke på et bestemt punkt.” Han siger for eksempel, at han måske ikke er mistænksom over for en praktikant, der kører en Porsche, men det ville han, hvis praktikanten arbejder sent om aftenen alene og forsøger at få adgang til begrænsede konti.

Den tilgang passer med den nuværende sikkerhedstænkning.

Som CISO’er ved, kræver sikkerhed i dag en flerlags tilgang, der i stigende grad inkorporerer information om brugerne selv. Brugeradfærdsanalyser, en Nul tillid-politik og princippet om mindst privilegium taler alle til det punkt, da hver tilgang tager højde for den enkelte bruger, hans eller hendes rolle og hans eller hendes typiske aktiviteter, når man overvejer adgangsniveauer og sikkerhedsrisici.

Men nogle sikkerhedseksperter tænker ud over det og overvejer, hvilke personaer i deres organisation der er svage led, hvordan man identificerer dem, og hvordan man bedst minimerer deres risiko.

“Det, der er vigtigt, er, at programmet løbende identificerer potentiel risiko og skaber vægtninger omkring risikoområder, så når noget dukker op til overfladen, ved de, at de skal kigge,” siger Jason Dury, direktør for cybersikkerhed open source-løsninger hos Guidehouse.

En masse potentielle trusler

Evnen til at opdage insidertrusler såvel som de personer, der enten er de svageste led eller udgør de største risici (afhængigt af dit perspektiv) er meget mere kompliceret i dag, end det var for endda et årti siden, siger Sarb Sembhi, CISO og CTO hos Virtually Informed Ltd.

Sembhi anerkender, at software til forebyggelse af datatab, netværksscanningsværktøjer, identitets- og adgangsstyringsplatforme og nultillidsmetoden alt sammen kan reducere risikoen for, at en skødesløs eller ondsindet insider gør skade betydeligt. Men, siger han, som alt andet inden for sikkerhed er de ikke en fuldstændig garanti mod insidertrusler.

Overvej, siger han, den risiko, som tingenes internet udgør for organisationer. En medarbejder kan medbringe en tilsyneladende uskadelig IoT-enhed – en printer, måske – uden at indse, at han eller hun introducerer en usikret internetforbindelse i virksomheden. “Disse enheder er mere en insidertrussel, end mennesker måske ville være,” tilføjer Sembhi, medlem af ISACA Emerging Trends Working Group.

Fjernarbejde komplicerer yderligere insidertrusselsproblemet, ligesom tendensen mod en stigende tolerance for forretningsenheder, der implementerer deres egen teknologi, siger han. Andre bemærker også disse faktorer og nævner for eksempel, at en ondsindet eller kriminel insider, der arbejder eksternt, kunne bruge en mobiltelefon til at fotografere følsomme oplysninger, vel vidende at der ikke er nogen omkring at se.

Adam Goldstein, en assisterende professor i cybersikkerhed ved Champlain College og den akademiske direktør for dets Leahy Center for Digital Forensics & Cybersecurity, siger, at CISO’er kan kategorisere personer, der udgør yderligere risici i mindst flere forskellige grupper.

Til at begynde med siger han, at fjernarbejdere generelt kan betragtes som en mere sårbar gruppe. “Medarbejdere er på deres personlige maskiner, og der er et andet niveau af tilsyn i både hvad de laver på deres computer, men også i deres forbindelse til deres virksomhed og deres kolleger og lignende,” siger han.

De travleste medarbejdere såvel som dem, der har flere roller, skaber også mere risiko, siger han. “At være presset i tid kan tvinge folk til at tage genveje, de normalt ikke ville tage, eller være nødt til at hoppe ind i opgaver eller systemer, som de ikke har haft tid til at træne tilstrækkeligt til, eller har den dybde af støtte, de har brug for,” siger han.

Læg dertil den klasse af arbejdere, der stadig kæmper for at forstå de teknologier, de bruger, og de kontroller, der er på plads, samt dem, “der prioriterer personlig bekvemmelighed frem for flid og sikkerhed” siger han.

Goldstein tilføjer: “Det er nogle af de utilsigtede udfordringer, der måske ikke har noget at gøre med en medarbejders motivationer eller færdigheder, men kan forårsage sikkerhedsproblemer.”

Samtidig siger Goldstein, at dårlige aktører fortsætter med at udvikle deres strategier, hvilket gør det mere sandsynligt, at selv en forsigtig person kan blive offer for en fidus og udsætte organisationen.

“En sofistikeret angriber, der forsøger social engineering-type angreb eller kommer med ordninger, kan fange nogen, hvis det er særligt godt udført, eller hvis nogen bliver distraheret den dag,” siger han.

Hackere har også fundet måder at gøre det lettere for utilfredse eller ondsindede medarbejdere at handle og skabe kanaler, der giver arbejdstagerne mulighed for at sælge deres legitimationsoplysninger eller andre organisatoriske aktiver, siger Goldstein. “Og risikoen for insideren er meget mindre, end den plejede at være, fordi de kan få det til at ligne et phishing-angreb, hvilket gør det meget sværere at spore det tilbage til den person,” tilføjer han.

Desuden er der dem, der kan være sårbare på grund af personlige faktorer, der kan henvende sig til sådanne muligheder, siger Goldstein.

Michael Ebert, en partner i Guidehouses cybersikkerhedspraksis, siger, at han arbejdede med et firma, der oplevede en sådan sag, som kom frem, da retshåndhævelsen advarede organisationen om en medarbejder, der solgte oplysninger. Arbejderen havde passende adgang til sit job, men blev presset af en ven og medskyldig, der så muligheden for at tjene hurtige penge.

Foranstaltninger, der skal træffes

Sådanne hændelser fremhæver, hvorfor CISO’er bør overveje personas som en del af deres sikkerhedsstrategi. Som Ebert siger: “Folk bliver fanget i situationer og gør dumme ting.” I betragtning af denne virkelighed siger Ebert og andre, at ledere bør tænke på dette potentiale, før nogen rent faktisk tager handling og sætter organisationen i fare.

Alligevel erkender han og andre, at CISO’er har begrænsede evner på denne front – især hvis de arbejder alene.

Ebert bemærker for eksempel, at medarbejderen i retshåndhævelsessagen havde bestået virksomhedens indledende baggrundstjek samt de efterfølgende baggrundstjek, den kører på medarbejdere hvert andet år.

“Mange organisationer udfører baggrundstjek og andet arbejde under ansættelsesprocessen for at sikre, at folk, før de tilmelder sig, opfylder visse krav og har sikkerhedoplæring. Men det kan være svært at gøre med eksisterende medarbejdere, der måske gennemgår overgange i deres personlige liv eller udvikler forskellige følelser for organisationen og deres rolle i den,” siger Goldstein.

Virksomheder i stærkt regulerede industrier har et ben heroppe, siger Goldstein, da overholdelseskrav har tvunget sikkerhed og personaleafdelingerne til at arbejde tættere sammen for at identificere arbejdstagere, der kan udgøre trusler og have de relevante politikker og procedurer til at håndtere sådanne situationer.

Men Goldstein erkender, at et sådant arbejde er et tungt løft og en opgave, der kan rejse etiske spørgsmål i mange organisationer.

“Så hvordan balancerer du at beskytte organisatoriske aktiver og ikke træde ind i en big brother-type tilgang til overvågning af medarbejdere?” spørger han.

Goldstein råder CISO’er til at køre bordøvelser, der involverer insidertrusler. “Spørg: Hvad hvis [hackere] fik denne persons legitimationsoplysninger? Og præsenter det derefter for C-suiten for at hjælpe dem med at forstå, hvad risikoen er.”

Dury går videre og siger, at CISO’er bør arbejde sammen med andre afdelingsledere – især HR – for at identificere og forstå, hvilken adfærd eller aktiviteter der kan indikere, at nogen er en risiko. “Hver virksomhedsfunktion har en rolle,” tilføjer han. “Denne type program bør ikke udføres i en silo.”

Men Dury og andre advarer også mod at vægte sikkerhedsforanstaltninger for meget over for de risici, som en bestemt persona eller rolle udgør.

De siger snarere, at de overvejer de potentielle scenarier og vurderer kontrollagene for at sikre, at de er så effektive som muligt til at forhindre ethvert individ – uanset motivationer eller omstændigheder – i at påføre skade.

“Du er nødt til at se på enkeltpersoner, og at lave den ekstra analyse af risikoen for enkeltpersoner kan hjælpe dig med at forstå, hvad risikoen er, og om de kontroller, der er på plads, er tilstrækkelige, eller om der er områder, hvor flere investeringer kan foretages,” forklarer Goldstein.

Ebert peger igen på retshåndhævelsessagen for at fremhæve dette punkt og bemærker, at virksomheden, baseret på hvad han så, sandsynligvis kunne have forhindret eller begrænset skaden, hvis de bedre havde overvåget medarbejderens aktiviteter.

Kilde: CSOonline
Fotokredit: Stock.adobe.com

 

Scroll til toppen