Med så mycket nyhet som fokuserar på externa attacker, är en av de största hot mot organisationens datasäkerhet, intäkter och rykte insiderhot. Insiders - anställda med tillgång till data som är externt värdefulla - ansvarar för 28% av alla dataöverträdelser. Medan 28% kanske inte verkar vara så stor som de implicita 72% av attacker från externa angripare, är 28% faktiskt ett stort antal.

Externa attacker utnyttjar automatisering, förprogrammerad kod och den opportunistiska karaktären att rikta in miljontals e-postadresser för att söka efter och hitta sitt nästa offer. Insiders, å andra sidan, är individer som personligen utför hothandling. Externa attacker måste hitta de uppgifter som de anser vara värdefulla, medan insidenterna redan vet om varje bit av dina värdefulla uppgifter som de har tillgång till. Så, medan 28% numret kan tyckas vara oväsentligt, är det ganska motsatt.

Faktum är att insiders kan utgöra ett större hot mot organisationen än externa angripare.

Varje organisation har konfidentiell företagsinformation, kunddata, anställd PII och immateriell äganderätt som endast ska användas till förmån för organisationen. Och eftersom en skadlig insider använder behörigheter för program, resurser och data som de har beviljats ​​som en del av sitt jobb är det extremt svårt att avgöra om verksamheten ska betraktas som ett hot eller inte. Det betyder att de kan stjäla information och du kanske aldrig vet att det ens hände!

Insidan kan vara någon inom organisationen. I en ny undersökning var oroet kring både privilegierade IT-användare och vanliga anställda som potentiella insider hot aktörer av IT-organisationer nästan identiska. Och de borde vara; alla som har tillgång till data som anses vara värdefulla externt är potentiellt ett hot.

Tänk också på att nästan alla externa angripare så småningom ser ut som en insider. Användningen av kompromissad intern behörighet från en extern angripare är det vanligaste hotet vid överträdelser av uppgifter. Detta underbygger värdet av att identifiera insiderhoten så tidigt som möjligt.

Så hur kan organisationer få insideren att upptäcka - helst före ett hot handling sker?

Spotting insider hot

Målet är att leta efter ledande indikatorer på felaktigt eller skadligt anställningsbeteende. Detta finns i att titta på för onormal användaraktivitet - men det måste vara aktivitet som föreslår ett potentiellt hot, och ingen nödvändig aktivitet som föreslår hotaktivitet pågår. Du kan till exempel titta på överdriven kopiering av filer eller höjningar i uppladdningswebtrafik för att upptäcka potentiell datatyveri, men verkligheten är när dessa aktiviteter inträffar, det är för sent - hot-åtgärden har skett.

Vad som behöver hända är att titta på aktivitet som uppträder bra innan hotåtgärder vidtas. Det enklaste och mest vanliga för varje insider hot handling är inloggningen. Nästan alla hothandlingar kräver att man loggar in med hjälp av interna uppgifter. Endpointåtkomst, lateral rörelse mellan slutpunkter, extern åtkomst via VPN, fjärrskrivbordstillträde och mer alla delar det gemensamma kravet på en inloggning.

Låt oss täcka tre möjliga insiderhotscenarier och diskutera hur inloggningshantering hjälper till att identifiera och hantera insiderhot.

Scenario 1: Den skadliga insider

I det här scenariot använder medarbetaren sina egna referenser, vilket utnyttjar eventuella beviljade privilegier för eget ändamål. Detta kan vara allt från att stjäla data som är värdefulla för dem personligen, till data som är värdefulla för en konkurrent eller start, till data som kan säljas på den svarta marknaden.

Den onda insidan vet att de kan fångas, så deras främsta mål är att gömma sin verksamhet. Några vanliga sätt som de försöker göra detta (som också tjänar som hot indikatorer) inkluderar:

  • Kommer in för att arbeta tidigt - Ingenting säger “ingen kommer att veta” än att ingen är i närheten. Insiders utnyttjar tidiga morgontimmar för att utföra hothandlingar.
  • Lämna arbetet sent - På liknande sätt har uppehållstiden samma effekt.
  • Flera logoner - Insiders blir ofta nervösa och hindrar sig från att fortsätta. Detta resulterar i flera på varandra följande logons och logoffs inom en kort tidsperiod.
  • Efter timmars inloggning - En anställd som aldrig kommer in på en lördag som plötsligt gör är misstänkt.
  • Fjärrlogg - Skadliga handlingar är enklare från ditt eget hem. Fjärråtkomst till företagsnätverket av någon som normalt inte borde höja några ögonbryn.

Använda inloggningshantering för att identifiera och stoppa insider

  • Logon Revision - Logonavvikelser kring tid, frekvens, typ och källmaskin kan enkelt identifieras, så att IT-teamen kan svara på lämpligt sätt.
  • Inloggningspolicyer - Begränsningar kan begränsa när användningen kan logga in, varifrån, hur ofta och vilken typ av session (interaktivt, RDP, via Wi-Fi etc.). Detta begränsar anställdas inloggningsalternativ, vilket kan avskräcka dem från att utföra hothandlingar.
  • Tidsbegränsningar - Skulle en anställd vilja “hänga” efter timmar kan användare tvingas avstängas vid slutet av ett godkänt arbetsschema.
  • Responsiva åtgärder - Efter att ha blivit meddelad kan det spegla sessioner för att övervaka åtgärder, låsa arbetsstationen och låsa ut en användare från sessionen, allt innan någonting skadligt förekommer.

Scenario 2: skadlig insider med stulna eller delade referenser

Ibland använder insidan inte egna referenser. I stället utnyttjar de en annan användares referenser. Hur fick de referensuppgifterna? De delades. I en ny studie fann vi att 49% av medarbetarna (från centrala avdelningar som juridisk, HR, IT, Finans och annat) delar sina uppgifter med medarbetare.

Insider använder andras privilegier är ett utmärkt sätt att omedelbart öka bredden och djupet av deras tillgång till värdefulla data. Vanliga indikatorer på missbruk av missbruk inkluderar:

  • Logga in från en annan arbetsstation - Det är mycket mer sannolikt att “lånad” legitimationsuppgifter kommer att användas från insidorns egen arbetsstation än den som normalt användes av användaren som innehar referensuppgifterna.
  • Inloggning vid onormala tider - Anställda är i allmänhet vana av vana. De kommer och följer samma schema. Så det är troligt att insiderens inloggning kommer att se ovanligt ut.
  • Simultaneous Logons - Insidan kommer inte att vänta tills credentialens ägare är utloggad; de loggar in medan referensinnehavaren fortfarande är inloggad. Eller åtminstone försök att göra det (beroende på huruvida du har restriktioner kring samtidiga logoner på plats).

Spotting och stoppa insidan med inloggningshantering

  • Inloggningspolicyer - Politiken kan vara inställd för att begränsa samtidiga loggar, begränsa inloggning till referensinnehavarens arbetsstation och förneka samtidiga logon från olika system.
  • Revision och anmälningar - Det kan meddelas om både försökte och framgångsrika, avvikande logoner.
  • Responsiva åtgärder - Om en inloggning verkar misstänkt kan användaren inte loggas av, men kontot kan blockeras från några ytterligare loggar (tills det lyftes av IT).

Scenario 3: skadlig angripare med kompromissuppgifter

Den vanligaste externa attackmodellen innebär att angriparen först etablerar fotfäste med hjälp av sin initialt komprometterade slutpunkt. Därifrån behöver de flytta i sidled över organisationen, hoppa från en maskin till nästa i ett försök att söka efter, identifiera och få tillgång till värdefulla data. För varje hopp måste det finnas en inloggning. Vanliga indikatorer är:

  • Inloggning från arbetsstation till arbetsstation - Anslutningar från enändpunkt till nästa, till nästa kommer att ske för att underlätta sidoförflyttning.
  • Onormala loggningstider - Externa attacker utnyttjar tillgången de har uppnått och väntar inte på nästa arbetsdag. De kommer att börja lateral rörelse när de kan.
  • Flera samtidiga logoner - Om ett kompromissat konto ger dem tillgång till ett brett utbud av slutpunkter, kommer de att använda det kontot om och om igen, vilket resulterar i många loggar från samma konto.

Spotting och stoppa insidan med inloggningshantering

  • Inloggningspolicy - Politik kan fastställas för att begränsa från vilka maskiner eller IP-adressintervall ett konto kan logga in, allvarligt begränsa användningen av ett kompromisserat konto och stoppa sidoförflyttning.
  • Revision och anmälan - Övervakning av försök att använda kan varna IT och flytta dem till handling för att svara på hotet.
  • Blockera attacken - Innan skadlig aktivitet inträffar kan den inloggade sessionen avslutas och viktigast av allt kan kontot blockeras från att logga in på något system i nätverket.

Att stoppa insiderhoten vid inloggningen

Insiderhotet är verkligt och det är här. I dag. På ditt nätverk redan. De är den anställdes du jobbar med varje dag, där övergången till dem blir insider kan ta lite mer än ett uppbrutet förhållande, gått upp marknadsföring eller personliga svårigheter. Så att ha en proaktiv och kostnadseffektiv lösning för att hantera insiderhot är lika viktigt som ditt slutpunktsskydd, brandväggar och e-postgateway.

Den gemensamma faktorn för varje insider scenario är inloggningen. Genom att utnyttja Logon Management lägger du fokus på ditt insider hot upptäckt och svar långt före eventuella skadliga handlingar som kan äga rum, stoppa insider död i deras spår, med IT i fullständig kontroll.

François Amigorena, VD för Är beslut

  • Vi har också markerat det bästa antivirusprogrammet