3min

Tags in dit artikel

,

Het is niet voor niets dat de Europese Commissie Safer Internet Day in het leven riep in 2004. Want gezien het aantal datalekken dat de internationale krantenkoppen haalt, is er meer bewustwording nodig ten aanzien van het gebruik van technologie. Nieuwe technologieën brengen nieuwe uitdagingen met zich mee – ook in het bedrijfsleven. Waar het voor IT-securityprofessionals eerder hun belangrijkste taak was om hackers buiten en data binnen te houden, staan ze tegenwoordig voor een heel andere uitdaging: de opkomst van kwetsbaarheden bínnen de muren. Vaak worden insider threats geassocieerd met kwaadaardige werknemers die informatie stelen, IT-systemen saboteren of data manipuleren. Maar de schade is minstens zo groot bij onoplettendheid en fouten. Hoe kunnen bedrijven zich hiertegen wapenen?

Zien is verdedigen

Het eerste wat elke organisatie moet doen om een insider threat te onderscheppen, is inzicht creëren in de risico-indicatoren in het netwerk. Als firewalls de technische wachtposten bij de poort zijn, is inzicht de waakhond die binnenin patrouilleert en al snuffelend afwijkingen opspoort. Intern netwerkverkeer, toegangslogs en schendingen van policy’s – alles moet continu gemonitord worden op verdachte activiteit. Een goede plek om daarmee te beginnen, is begrijpen hoe een normale dag op je netwerk eruitziet. Is er een lijst met mensen van wie verwacht wordt dat ze gevoelige informatie gebruiken als onderdeel van hun dagelijkse werkzaamheden? Heb je een duidelijk beeld van welke applicaties normaal gesproken gebruikt worden? Alles wat buiten deze grenzen valt, moet nader worden onderzocht. Netwerkinzicht in threat-indicatoren wil zeggen: in staat zijn afwijkend gedrag vast te stellen. Denk aan ongeautoriseerde toegang tot een systeem of map, schending van securitypolicy’s of verlies van data.

Een robuust risico-assessment is cruciaal

Een robuust risico- en kwetsbaarhedenassessment laat zien hoe voorbereid je bent op het voorkomen van, het detecteren van en het reageren op insider threats. Een essentiële eerste stap van zo’n assessment is om de belangrijkste informatie-assets van je organisatie te identificeren en lokaliseren – het meest kritisch in termen van data, IP en systemen. Deze businesscontext is in elke detectietool te integreren en stelt je in staat een geavanceerde strategie voor incident response te ontwikkelen op basis van het prioriteren van risico’s. De volgende stap is het identificeren van technische kwetsbaarheden en beheerissues. Het is zaak eerlijk te beoordelen hoe het is gesteld met je mogelijkheden om menselijk gedrag te analyseren dat op een opkomende of daadwerkelijke dreiging wijst.

Services en oplossingen die het overwegen waard zijn

Gedrag van gebruikers wordt van oudsher gemonitord via active directory, user logs en web proxy’s. Maar als je je hiertoe beperkt qua verdediging tegen insider threats, is het niet mogelijk om kwetsbaarheden op tijd te ontdekken die ontstaan als gevolg van de vele fouten en schendingen van policy’s – iets wat zich elke dag voordoet. De indicatoren van een insider threat vaststellen vereist geavanceerde tools, zoals Endpoint Detection and Response (EDR) en User Entity and Behaviour Analytics (UEBA). Veel organisaties hebben echter te maken met beperkte middelen voor wat betreft mensen, processen en technologie. Daar komt nog bij dat je misschien ook wel andere vaardigheden in je securityteam nodig hebt die er nog niet zijn in je organisatie. Een mogelijkheid is om te overwegen een managed security service provider (MSSP) in de arm te nemen, die de kloof tussen detectie en response kan verkleinen en een combinatie van contextualized threat intelligence en geavanceerde analytics inzet om nauwkeurigheid te verbeteren. Een van de methoden en tools om insider threats te detecteren, is bijvoorbeeld anomaly-detectie, zoals met machine learning of behaviour modelling. En als het ergste inderdaad gebeurt, kun je met een incident-responseplan de juiste tools en technieken correct inzetten om de dreiging te beperken – of die nu extern of intern ontstaan is.

Bovenaan de to-do-list

Grote kans dat je bij het woord insider threats meteen denkt aan een Julian Assange of een Edward Snowden – iemand die vertrouwelijke informatie lekt om wraakzuchtige of ideologische redenen. En dat is logisch, want zo’n WikiLeaks-achtige dreiging ís ook gevaarlijk. Maar als je alleen focust op kwaadaardige dreigingen, loop je het risico alle andere kwetsbaarheden te missen – kwetsbaarheden die in potentie óók veel schade kunnen aanrichten. Inzicht verkrijgen in onoplettend gedrag onder medewerkers dat onbedoeld kwetsbaarheden creëert, moet heel snel bovenaan de to-do-list van elke CISO komen.

Dit is een ingezonden bijdrage van Charles Bovy, Director MSS presales bij NTT Ltd Netherlands. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.