Eén van de grootste cyberuitdagingen waar organisaties vandaag de dag mee worden geconfronteerd is de insider threat en hoe zich hier tegen te wapenen. Of het nou gaat om een financieel gemotiveerde medewerker die uit is op het stelen van bedrijfsdata, of een ontevreden ex-werknemer die wraak wil nemen; bedrijven moeten zorgen dat ‘geprivilegieerde’ gebruikers – gebruikers met vrije toegang tot het bedrijfsnetwerk – het bedrijf en zijn klanten geen kwaad kunnen doen.
Het is een feit dat voor veel bedrijven de beveiligingsincidenten steeds vaker van binnenuit komen, meestal als gevolg van misbruik van toegangsrechten. Zowel kwaadwillende insiders als externe hackers die toegang willen tot gevoelige informatie, kunnen hier de oorzaak van zijn. In het laatste geval richten hackers zich op geprivilegieerde gebruikers, met als doel via hun gebruikersnaam en wachtwoord toegang te krijgen tot het netwerk. Meestal draait het om een root-wachtwoord, omdat deze toegang geeft tot meer data, en daardoor lucratiever is voor een externe hacker.
Een digitale vingerafdruk
Security professionals installeren veel beveiligingslagen om datalekken te voorkomen, waaronder logmanagement, firewalls, en SIEM. Hoewel deze oplossingen effectief beschermen tegen de algemene gebruikerspopulatie, staan ze machteloos tegenover een gebruiker met vrije, legale toegang tot de servers. Wachtwoordmanagementoplossingen maken het lastig voor een hacker om een geprivilegieerd account te hacken, maar zijn niet waterdicht, met name als een insider samenwerkt met de hacker.
Menselijk gedrag als ‘blind spot’
Aan deze systemen ontbreekt de belangrijkste ‘blind spot’ in het opsporen van lekken – namelijk de context van menselijk gedrag. Machines gedragen zich vaak uniform, mensen doen dat niet. Elke geprivilegieerde gebruiker beschikt over een uniek gedragspatroon; zoals wanneer en hoe vaak hij of zij toegang vraagt tot een server, welke commando’s hij of zij gebruikt wanneer hij of zij op de server zit, en zijn of haar idiosyncratische typepatronen en muisbewegingen. Als we op deze manier ‘typisch’ gedrag monitoren en een baseline-profiel creëren voor iedere individu, is het mogelijk in real-time afwijkingen te detecteren en lekken te voorkomen voordat ze plaatsvinden.
Het is morgelijk in real-time afwijkingen te detecteren en lekken te voorkomen
Veel bedrijven voldoen tegenwoordig aan hun compliance-vereisten door hun geprivilegieerde gebruikers te monitoren. Zonder dit belangrijke element van gebruikersgedrag, kan geen enkel software-instrument echter op tijd een lek voorkomen. User Behaviour Analytics (UBA) wordt door velen gezien als dé oplossing voor het voorkomen van datalekken, maar deze tools zijn pas nuttig als de data die zij ontvangen dat ook zijn. Als het slechts om logdata gaat, of andere gegevens waarbij de gedragscontext ontbreekt, werkt de UBA-tool niet naar behoren.
De beveiligingsblindspot verwijderen
Door alle gebruikersactiviteiten binnen het IT-systeem te analyseren, waaronder ook mogelijke dreigingen, krijgen ondernemingen een beter inzicht in wat er echt binnen hun netwerk plaatsvindt. Ze hebben dan de intelligentie om beveiligingslekken te dichten, zonder extra beveiligingslagen toe te voegen.
Zoals deze benadering aantoont, hoeft het beschermen van een organisatie tegen insider threats niet zo ingewikkeld te zijn. Het analyseren van gebruikersgedrag biedt een degelijke bescherming, waardoor beveiliging en business efficiency toenemen, en het aantal interne aanvallen wordt verlaagd.
Balázs Scheidler, mede-oprichter en CTO van Balabit, schreef dit blog.
> Lees ook Toegangscontrole, zonder kán een organisatie niet