Column


De insider threat heeft vele gezichten

Gegevensbescherming begint bij inzicht in gedrag

CISO’s zien volgens een studie van Ernst & Young uit 2015 de eigen medewerkers en de ingehuurde krachten als een groot securityrisico. Met de strengere nationale en Europese wetgeving en bijbehorende boetes in het achterhoofd, is men nu snel op zoek naar aanvullende zekerheden om gevoelige data te beschermen.

Door Tim Hoefsloot

Elk bedrijf heeft data die men niet zomaar op straat wil hebben, variërend van de financiële administratie, creditcardgegevens, klantenlijsten en persoonsgegevens tot koersgevoelige informatie, intellectueel eigendom en broncode

Er wordt dan ook al jaren veel gedaan om de data te beschermen door aanvallers buiten het netwerk te houden. Ook vanuit belangenorganisaties en via wetgeving door de overheid en EU wordt steeds meer aangedrongen op maatregelen om gevoelige gegevens te beschermen.

Onderzoeken tonen echter aan dat vaak meer dan de helft van de bedreigingen van binnenuit komt. In de top-15 van cybersecurityrisico’s, geïdentificeerd door het Europees Agentschap voor netwerk- en informatiebeveiliging ENISA, schiet de zorg om de ‘insider threat’ snel omhoog. Deze dreiging staat nu in het rijtje van malware, phishing en botnets.

De gezichten van de ‘insider’
In hoofdlijnen zijn er drie soorten personen die een interne bedreiging vormen:
•de ‘compromised user’. Dit kan het slachtoffer zijn van een cyberaanval, social engineering, blackmail of omkoping;
•de kwaadwillende of ontevreden ‘insider’ met afwijkend gedrag, die misbruik maakt van privileges en toegang tot informatie en probeert data extern te brengen;
•de ‘toevallige insider’ die probeert rond een niet-werkend proces toch zijn werk te doen, thuis iets wil afmaken, gebrek aan training heeft en niet nadenkt over de gevolgen of gevaren. Onderzoek toont aan dat 45 procent van de medewerkers nooit een securitytraining volgt, dus vaak niet weet wat wel en niet gewenst gedrag is.

Inzicht in risicovol gebruikersgedrag
Inzicht in het gedrag van de mensen die met de gevoelige data werken, is een van de belangrijkste factoren bij het beschermen van bedrijfsdata. Monitoring van de insiders laat niet alleen opzet zien, maar kan ook medewerkers vrijpleiten wiens systeem overgenomen is of door onduidelijke regels een overtreding begaat. Het privacy-aspect mag daarbij niet uit het oog worden verloren. Een insider threat-monitoringsysteem moet dus op diverse niveaus data kunnen verzamelen afhankelijk van de policy’s binnen het bedrijf. Dit kan variëren van alleen het verzamelen van metadata tot de mogelijkheid van videoplayback voor forensisch onderzoek door geautoriseerde personen.

Gedrag wordt op basis van standaard en bedrijfspolicy’s gemeten ten opzichte van een baseline van zowel de groep waar een medewerker toe behoort als een eigen baseline. Een verandering in het gedrag van een medewerker, de ‘insider’, kan een indicatie zijn dat een poging gedaan wordt om gevoelige data te exfiltreren.
User Behavior Risk Scoring geeft de security en risk executive een realtime overzicht van zijn top-10 risicovolle gebruikers in de organisatie, oftewel de personen die zich zodanig gedragen dat zij een groot potentieel risico vormen.

Context is onmisbaar
Als een individu is geïdentificeerd als een potentieel risico, moet snel duidelijk zijn wat het potentieel risicogedrag is en zeker ook de context waarin het gebeurt, om snel actie te kunnen ondernemen. Context is nodig om te zien of een gedragsverandering wel of niet binnen een veranderend werkpatroon valt.

Aan de ene kant kan een insider een persoon zijn die als gebruiker op het netwerk bewust of onbewust gevoelige data naar buiten brengt. Aan de ander kant kan de insider threat ook komen van geïnfecteerde servers of pc’s of door een user wiens gegevens zijn verkregen bij een phishingaanval.

Een voorbeeld van het vrijpleiten van een medewerker is de ‘Sony-hack’ uit 2014. Die werd in eerste instantie toegeschreven aan een medewerker, maar na langdurig onderzoek bleek dat de inloggegevens waren gestolen om er vervolgens data mee te ontvreemden.

Combineren met DLP
De ideale wereld ontstaat wanneer insider threat-monitoring gecombineerd wordt met Data Leakage Prevention. DLP is de laatste jaren zeer geavanceerd geworden waarbij naast de standaard regels en policy’s rondom lokale PII-, PCI- en PHI-regels ook intellectueel eigendom, broncode of andere zaken via machine learning, OCR of bijvoorbeeld fingerprinting beschermd kunnen worden.

Enerzijds zie je wat de intenties en gevaren zijn terwijl aan de andere kant DLP ervoor zorgt dat de data niet naar buiten kunnen.


Insider Threat-monitoring

Er zijn vijf belangrijke aspecten aan insider threat-monitoring om dataverlies of -diefstal tegen te gaan:

1.Detecteren – van ongewone activiteit door gebruikers op het netwerk, zowel onbedoeld als kwaadwillend. Combineren van zaken die op zichzelf niet verkeerd zijn maar dat samen met andere events wel zijn.

2.Voorkomen – dat data verloren gaan door een overgenomen systeem, een kwaadwillende insider of een gebruiker die een fout maakt.

3.Bepalen – van ‘normaal’ gedrag, een baseline die helpt bij het identificeren van een afwijking ten opzichte van de normale activiteit.

4.Context leveren – rondom risicovol gedrag wat helpt bij het onderzoek.

5.Identificeren - van risicovolle gebruikers, wat helpt om te bepalen of een systeem is overgenomen, of dat er opzet in het spel is of sprake van een ongeluk.

Lees meer over