In 480 voor Christus verraadde Ephialtes de Spartaanse troepen door een geheim bergpad te onthullen waardoor het Perzische leger de Griekse troepen kon omsingelen en verslaan. In 1985 werd Richard Miller, een FBI-agent, gearresteerd voor spionage nadat hij geheime documenten aan de Russen had verstrekt in ruil voor goud en geld. Het is duidelijk dat insider threats niet alleen een probleem zijn in het digitale tijdperk.
Door Andrew Rose
Het interessante is dat insider threats over het algemeen worden getolereerd. Kwaadwillende insiders zijn zeldzaam en voor hen hebben we juridische middelen tot onze beschikking. Maar nalatige medewerkers zullen er altijd zijn. Werknemers die de kantjes er vanaf lopen en fouten maken, ongeacht of ze getraind zijn. Helaas werden CISO’s niet direct met open armen ontvangen toen ze dit probleem in de directiekamer aankaartten.
Wat is er veranderd en waarom staan insider threats nu wel op de agenda van elke directievergadering? Er zijn drie belangrijke redenen, die allemaal met elkaar samenhangen:
- aanvallers hebben hun tactieken veranderd;
- de manier van werken is veranderd; en
- de bestaande controles die insiders threats tegenhielden worden steeds minder effectief.
Aanvallers richten zich nu voornamelijk op het stelen van inloggegeven
Nieuwe aanvalstechnieken
De belangrijkste reden dat het aantal insider threats toeneemt, komt doordat aanvallers zich nu voornamelijk richten op het stelen van inloggegevens. Zo blijkt uit het 2023 DBIR van Verizon dat bij 49 procent van alle geslaagde cyberaanvallen gebruik wordt gemaakt van gestolen inloggegevens. Als een aanvaller kan inloggen als Peter van de salesafdeling, dan heeft hij toegang tot alle systemen, data en privileges van Peter. Hij hoeft zich dan geen zorgen te maken over firewalls, patches of zero days.
Door een echte identiteit te gebruiken voor de aanval, kunnen criminelen hun aanval uitbreiden. Als collegae, leveranciers en familie e-mails ontvangen van het gehackte account, nemen ze die serieus en is de kans op een verkeerde klik of een verkeerde betaling veel groter.
> LEES OOK: DTC waarschuwde bedrijven al bijna 70.000 keer voor cyberdreigingen
Het nieuwe werken
Sinds de coronapandemie gaan minder mensen naar kantoor en verplichte kantoordagen weerhouden sollicitanten er zelfs van te kiezen voor een bepaald bedrijf. Werknemers mogen daarbij hun eigen hardware gebruiken voor werk. Gerichte malware kan vervolgens de toetsenbordinvoer registreren of screenshots maken, omdat de thuisomgeving minder goed beveiligd is. Bovendien wordt het steeds moeilijker om ervoor te zorgen dat data alleen op de juiste plek terechtkomt.
Veel mensen die de afgelopen jaren ontslag hebben genomen, nemen bepaalde bedrijfsdata mee naar hun nieuwe bedrijf. Van de CISO’s die te maken kregen met dataverlies, zei 82 procent dat het vertrek van een medewerker hierbij een rol speelde. Ons onvermogen om data te traceren en te controleren bij de huidige manier van werken is een belangrijke oorzaak van dataverlies.
Veel tools schieten tekort
Minder bescherming
Een veelvoorkomende manier om insider threats te bestrijden is een klokkenluiderssysteem. Hierbij kunnen medewerkers verdacht gedrag, zorgen of afwijkend gedrag melden (zoals Peter die plotseling in een Ferrari op het werk verschijnt). Werken op afstand heeft dit systeem een stuk minder nuttig gemaakt, omdat werknemers zelden nog tijd met elkaar doorbrengen en alleen nog via video en e-mail met elkaar communiceren.
Veel tools voor data leak prevention (DLP) schieten ook tekort door de verschuiving van kritieke bedrijfsdata naar de cloud en het gebruik van meerdere communicatiekanalen (zoals WhatsApp). Hierdoor kan gevoelige data eenvoudig worden gekopieerd en verplaatst buiten het zicht van bestaande controles.
Ook multifactor-authenticatie niet meer zo effectief
Tot slot werd multifactor-authenticatie (MFA) jarenlang gezien als een krachtige methode van beveiliging. Helaas hebben aanvallers tools ontwikkeld zoals EvilProxy om MFA te omzeilen, dus zelfs deze betrouwbare bescherming is niet meer zo effectief als het ooit was.
> LEES OOK: Hoogmoed bij directie is de zwakste schakel
Betere monitoring
Welke strategieën helpen dan wel tegen insider threats? MFA is nog steeds een essentiële controle, dus sla het niet over. Het moet alleen dynamisch worden toegepast om het een aanvaller moeilijk te maken. Bijvoorbeeld door herhaalde MFA-verzoeken te sturen voorafgaand aan kritieke transacties. Betere monitoring van gedrag moet dit ondersteunen. Er zijn bijvoorbeeld belangrijke activiteiten die een standaard- gebruiker niet zal uitvoeren, zoals het maken van een ZIP-bestand dat met een wachtwoord is beveiligd. Begin daar dus. Voorkom daarnaast dat SOC-medewerkers (Service Organization Control) onnodig werk moeten verrichten door het verzamelen van gedragsgegevens en informatie over bedreigingen te automatiseren voordat een ticket wordt geopend.
Tenslotte moet een DLP-oplossing worden geïmplementeerd die is ontworpen voor de multi-cloud-realiteit waarin onze gebruikers zich bevinden. Het gebruik van verouderde DLP-gateways zal de ongeautoriseerde duplicatie en verspreiding van data niet kunnen traceren. Maar elke keer dat dit gebeurt, wijst dit op een insider threat!
Hackers hacken de digitale omgeving niet. Ze loggen simpelweg in
Hackers
De meeste cyberaanvallen beginnen extern en hebben een financieel motief. Slechts een handvol heeft te maken met rancune, wraak of ideologische verschillen. Hoewel het aantal kwaadaardige en nalatige insider threats dus niet echt is toegenomen, is de schade die ze kunnen toebrengen aan een digitale onderneming wel groter geworden. Externe aanvallers, die op grote schaal legitieme inloggegevens stelen, hebben de boel op zijn kop gezet. Dankzij hen staan insider threats nu bovenaan de agenda van de directie. En onthoud: hackers hacken de digitale omgeving niet. Ze loggen simpelweg in.
Andrew Rose is Resident CISO bij het Amerikaanse cyberbeveiligingsbedrijf Proofpoint
tel.: 030-4100677.
Volg Security Management op LinkedIn