Conscia ThreatInsights Insiderhot: Vilka är de och hur motverkar du dem?

Även om det är en risk som ofta förbises är organisationens egen personal i realiteten ett av de största hoten mot dess säkerhet. Forskning visar att den mänskliga faktorn orsakar så mycket som 60 % av dataintrången i arbetslivet. Vilka är de viktigaste riskerna att känna till från insiders? Vilka typer av insiderhot finns och vad du kan göra för att minska risken för ett allvarligt dataintrång?

Organisationens största hot är insiders med fientliga avsikter, som kan ge externa aktörer access och möjlighet att exfiltrera data. Den här gruppen kan orsaka ännu mer katastrofala effekter än exempelvis hackare. Den genomsnittliga kostnaden för att återhämta sig från en insiderattack uppskattas idag till 15,4 miljoner USD.

Vad är ett insiderhot?

För att förstå vad ett insiderhot är måste vi först veta vem eller vad som är en ”insider”. Notera att organisationer kan definiera termen insiderhot på olika sätt. Vi har lånat vår definition från CISA:

En insider är varje person som har eller haft auktoriserad tillgång till eller kunskap om en organisations resurser, inklusive personal, anläggningar, information, utrustning, nätverk och system.

Ett insiderhot är möjligheten för en insider att använda auktoriserad access eller kunskap om organisationen för att skada den. Det är viktigt att betona att alla insiderhot inte har onda avsikter. Vissa insiderhot agerar avsiktligt, medan det andra gånger handlar om den mänskliga faktorn eller ren nonchalans (strax kommer vi förklara mer om olika typer av insiderhot). Gruppen som agerar oavsiktligt ligger bakom flest dataintrång.

Olika slags hot från insiders

Vi klassificerar insiderhot utifrån deras avsikt. Som nämnts tidigare kan insiderhot antingen agera avsiktligt eller oavsiktligt. Det här är huvudskillnaden mellan olika typer av insiderhot. Avsiktliga insiders kan också kallas för fientliga insiders. Både fientliga och avsiktliga insiders kan delas in i undergrupper.

Fientliga insiders
- Turncloaks/ förrädarna – en fientlig insider som agerar för att skada organisation för personlig ekonomisk vinning eller som hämnd.
- Collaborators /samarbetarna – en fientlig insider som samarbetar med tredje part (exempelvis konkurrenter) eller externa aktörer för att stjäla känslig data. Den här gruppen är svårast att identifiera.

Oavsiktliga insiderhot
- Negligence /oaktsamhet – Den här sortens oavsiktliga insiderhot känner oftast till säkerhets- och/eller IT-policyer, men väljer att ignorera dem.
- Accidental / oavsiktligt – Eller vad vi brukar kalla mänskliga faktorn. Den här sortens insiderhot går att minimera, men det går inte att helt förhindra dem. Ett typiskt exempel medarbetaren som öppnar en e-postbilaga som innehåller ett virus.

Hur upptäcker du insiders?

Det finns två sätt att upptäcka insiderhot. Det första är med hjälp av människor och det andra med hjälp av teknik.

Människor som sensorer

Eftersom insiderhot är anställda med tillgång till organisationens tillgångar kan andra anställda upptäcka eventuellt misstänkt beteende. Kollegor kan både höra och se någon som planerar något avsiktligt med fientliga avsikter. Den här typen av upptäckt är vanligast när det handlar om fientliga insiders.

Teknik

Teknik är ett annat sätt att upptäcka potentiellt insiderhot. Här finns olika metoder att välja på:

UEBA (User and Entity Behavior Analytics): UEBA eller liknande tekniker samlar in användarrelaterade nätverkshändelser under en längre tid. Dessa används som som en baslinje eller normalt användarbeteende för en viss person. UEBA:er är särskilt bra på att fånga illvilliga insiders. Varje onormal händelse för personen utlöser ett larm. Det kan till exempel vara:
- Ladda ner och kopiera filer med känslig information
- Begära access till data som man inte behöver för sina arbetsuppgifter
- Gå igenom ett stort antal filer på kort tid
SIEM (Security Information and Event Management) eller SIEM-liknande logghanteringsverktyg: De här verktygen förlitar sig mer på indikatorer än på avvikande beteende. De är effektiva för att identifiera misstänkt användarbeteende och kan upptäcka oavsiktliga insiderhot. Några exempel på indikatorer kan vara:
- Flera inloggningsförsök till system som användaren inte ska ha tillgång till
- Anslutna usb-enheter med misstänkt innehåll
- Kommunikation med phishing mail
PAM (Privileged Access Management): Det här är säkerhetspolicyer som skyddar och övervakar hur priviligierade konton används. Säkerhetsansvariga får därmed en plattform för att övervaka och kontrollera användaraktiviteter på privilegierade konton och möjlighet att upptäcka eventuella försök att utvidga privilegier eller komprimera autentiseringsuppgifter.

Hur förebygger du insiderhot?

Även om det inte är möjligt att helt förhindra insiderhot kan du minimera risken att de inträffar med hjälp av kontroller.

Det finns metoder:

Utbildningar för höjt säkerhetsmedvetande
Strikta säkerhetspolicys

Implementera least privilege (begränsad access till data)
Införa separation of duties (arbetsdelning)

Implementera Zero Trust-arkitektur
Använd DLP-lösningar (Data Loss Prevention)

De här teknikerna är inte heltäckande, men minskar avsevärt risken att utsättas från dataintrång genom insiders.

Slutsats – människor den effektivaste vägen in

Insiderhot kommer fortsätta vara det mest frekventa hotet mot alla organisationer. Det beror på att en del av insiderhoten är oavsiktliga (såsom den mänskliga faktorn, eller lyckade phising-attacker). Här finns den vanligaste initiala ingången för hotaktörer. Priset för att ta sig in i miljön från ”utsidan” genom att utnyttja sårbarheterna hos internetanslutna enheter har ökat. Förutsatt adekvat säkerhetsövervakning är de här försöken lätta att upptäcka. Mänskliga sårbarheter har därmed blivit den minst kostsamma och mest effektiva vägen in i organisationen.

Men det finns också fientliga insiders. Samarbete med externa aktörer kan göra deras aktivitet svårupptäckt, samtidigt som de kan orsaka betydande skada.

En kombination av undersökande och förebyggande åtgärder är den mest effektiva sättet att mitigera riskerna. Det är också så vi på Conscia Cyberdefense arbetar hos våra kunder. Vi utnyttjar främst undersökande metoder och ger rekommendationer kring förebyggande åtgärder. Conscia har också tjänster som gör kundernas miljöer mer motståndskraftiga. Principen är att inte bara ”koppla in teknik och övervaka”, utan att lära oss om kundernas förutsättningar (processer, arkitektur….) och implementera skräddarsydda åtgärder med hjälp av Conscias MDR (Managed Detection and Response)-tjänst, en del av vårt SOC (Security Operations Center).

Vill du veta mer? Läs vårt whitepaper om den mänskliga faktorn och hör gärna av dig:

Hör av dig

Conscia ThreatInsights
Insiderhot: Vilka är de och hur motverkar du dem?

NYHETSBREV

Kostnadsfria guider (pdf)

Whitepaper: Ryska hackare med statligt stöd

Whitepaper: Den mänskliga faktorn i din cybersäkerhet

Whitepaper: Cyberhoten från Ukrainakriget – vad du behöver veta

Vad är AIOps? En guide till AI för IT-avdelningen

TLS: Så skyddar du dig när Internet blir mörkt

Relevanta webinarer

Inspelat webinar: Zero Trust säkerhetswebinar med Cisco 27/3 – Nolltillit du KAN lita på

Inspelat webinar: Skydda och förbättra interaktion mellan IoT, OT och IT

Inspelat webinar: Skydda dina hybrida medarbetare med Palo Alto Prisma Access

Områden

Kategorier

Vad är ett insiderhot?

Olika slags hot från insiders

Hur upptäcker du insiders?

Hur förebygger du insiderhot?

Slutsats – människor den effektivaste vägen in

Relevant innehåll

Deepfakes ställer krav på din vaksamhet

Inspelat webinar: Framtidens cybersäkerhet – SSE och SASE

Vad kan vi lära oss av cyberattackerna mot Okta?

5 tips från Cisco för bättre cyber-resiliens

Kontakta oss!