Aanvallen op uw netwerk zijn vaak minutieus geplande operaties die worden gelanceerd door geavanceerde bedreigingen. Soms vormen uw technische versterkingen een enorme uitdaging en heeft de aanval assistentie van binnenuit nodig om te slagen. Zo gaf de FBI in 2022 een waarschuwing1 dat SIM-swap-aanvallen toenemen: krijg controle over de telefoon en verdien een gateway naar e-mail, bankrekeningen, aandelen, bitcoins, identiteitsgegevens en wachtwoorden. Afgelopen voorjaar meldden huidige en voormalige werknemers van T-Mobile en Verizon dat ze ongevraagde sms-berichten ontvingen met de vraag of ze geïnteresseerd waren in wat extra geld2 in ruil voor het opzettelijk mogelijk maken van de ““SIM-jacking.”
Deze opvallende verhalen over kwaadaardige insiders zijn zeker waar, maar veel externe aanvallen vinden hun oorsprong in een veel minder opvallende bron: de toevallige insiderDit zijn vaste werknemers, contractanten, partners of zelfs tijdelijke seizoensarbeiders die door nalatigheid of gebrek aan bewustzijn de exploitatie van interne zwakheden mogelijk maken.
Onbedoelde insiders brengen onbedoeld de beveiliging in gevaar door:
- Gebrek aan bewustzijn: Werknemers die niet bekend zijn met best practices voor cybersecurity kunnen het slachtoffer worden van phishingcampagnes, malware-geïnfecteerde bijlagen openen of op links naar kwaadaardige sites klikken. Bewustzijn is gekoppeld aan de bedrijfscultuur en weerspiegelt de effectiviteit van niet-technische controles, met name leiderschap.
- Prestatiedruk: uw medewerkers leren hoe en wanneer ze de regels moeten ‘buigen’ of technische controles moeten omzeilen om de klus te klaren of een strakke deadline te halen.
- Slechte verwerking van inloggegevens: zwakke wachtwoorden, het delen van wachtwoorden en het hergebruiken van wachtwoorden voor persoonlijke en zakelijke accounts maken het voor aanvallers gemakkelijker om ongeautoriseerde toegang te krijgen.
- Sneakernets: Ongeautoriseerde en ongecontroleerde verplaatsing van gegevens tussen beveiligingsdomeinen en naar persoonlijke, verwijderbare media of openbare cloudservices.
Door onbedoeld de beste beveiligingspraktijken in gevaar te brengen, maken onbedoelde insiders op verschillende manieren de weg vrij voor externe aanvallen:
- Eerste aanval: Phishing-e-mails kunnen onwetende insiders ertoe verleiden netwerk- of applicatiegegevens te onthullen, waardoor aanvallers toegang krijgen tot interne systemen. Deze eerste aanvalsvector vormt de basis voor toekomstige aanvallen.
- Verhoogde privileges: Als een insider per ongeluk malware downloadt, kunnen aanvallers verhoogde privileges krijgen. Hiermee kunnen ze kritieke systemen manipuleren of grote hoeveelheden gegevens stelen.
- Laterale beweging: Zodra aanvallers binnen zijn, maken ze misbruik van de toegangsrechten van de insider om lateraal door het netwerk te bewegen en zo toegang te krijgen tot gevoelige gegevens en applicaties of malware op andere systemen te implementeren.
- Social Engineering: Social engineering-tactieken maken misbruik van menselijk vertrouwen. Aanvallers kunnen zich voordoen als managers en collega’s om insiders te manipuleren om gevoelige informatie te onthullen of hun privileges uit te oefenen ten gunste van de externe bedreiging.
De gevolgen van een onbedoelde aanval door een insider kunnen aanzienlijk zijn:
- Financiële verliezen: Gegevensverlies als gevolg van nalatigheid en dubbelzinnigheid van binnenuit leidt tot hoge boetes, juridische gevolgen en hoge kosten voor herstel.
- Reputatieschade: Openbaarmaking van een insider-gebeurtenis kan de reputatie van de organisatie ernstig schaden, wat kan leiden tot verlies van omzet en een afname van het vertrouwen van de klant.
- Operationele verstoring: Aanvallen kunnen de bedrijfsvoering verstoren, wat kan leiden tot uitvaltijd, productiviteitsverlies en verminderde omzet.
- Diefstal van intellectueel eigendom: Buitenlandse staten en concurrenten kunnen gestolen intellectueel eigendom gebruiken om een oneerlijk marktvoordeel te verkrijgen.
Het goede nieuws is dat het risico dat onbedoelde insiders vormen, aanzienlijk kan worden verminderd door proactieve maatregelen:
- Training in beveiligingsbewustzijn: Geef medewerkers regelmatig voorlichting over best practices voor cyberbeveiliging, waaronder phishingbewustzijn, wachtwoordhygiëne en technieken voor veilige gegevensverwerking.
- Veiligheidscultuur: bevorder een veiligheidscultuur binnen de organisatie waarin medewerkers zich op hun gemak voelen bij het melden van verdachte activiteiten en waarin managers worden opgeleid en bevoegd zijn om interne middelen in te zetten om beveiligingsproblemen aan te pakken.
- User Activity Monitoring (UAM): controleer of het acceptabele gebruiksbeleid wordt nageleefd en vergroot de observatie van bevoorrechte gebruikers met verhoogde toegang en de mogelijkheid om beveiligingscontroles te manipuleren. Voeg gedragsanalyses toe om UAM en andere bedrijfsgegevens te onderzoeken om analisten te helpen de meest risicovolle gebruikers en organisatorische problemen te identificeren, zoals vijandige werkomgevingen die aan het licht komen door sentimentanalyse. Vijandige werkomgevingen verminderen de betrokkenheid van werknemers en vergroten ontevredenheid, een gevaarlijk recept voor insiderrisico.
- Content Disarm and Reconstruction (CDR): proactieve verdediging tegen bekende en onbekende bedreigingen in bestanden en documenten door legitieme zakelijke content te extraheren en niet-vertrouwde content, waaronder malware en niet-vertrouwde uitvoerbare content, te verwijderen.
- Cross Domain Solutions: Elimineer sneaker nets en ongeautoriseerd gebruik van cloudservices en vervang deze praktijken door geautomatiseerde, beleidsgestuurde, diepgaande inspectie van content in een onbelemmerde gebruikerservaring. Stel uw medewerkers in staat om veilig, beveiligd en snel gegevens te verplaatsen tussen beveiligingsdomeinen die bedrijfsprocessen mogelijk maken en tegelijkertijd gegevens- en informatiesystemen beschermen.
- Institutionaliseer geaccepteerde best practices: Carnegie Mellon SEI CERT, MITRE, de NITTF en CISA zijn voorbeelden van organisaties die best practices hebben gepubliceerd die organisatorische controles omvatten op het gebied van leiderschap, personeelszaken en andere elementen die van invloed zijn op de levenscyclus van werknemers, en coherente technische controles die fungeren als vangrails ter bescherming tegen onbedoelde en kwaadwillende insiders.
Onbedoelde insiders vormen een aanzienlijke bedreiging die organisaties kwetsbaar kan maken voor externe aanvallen. Door echter de juiste training, technische en organisatorische controles te implementeren en een cultuur van beveiligingsbewustzijn te bevorderen, kunnen organisaties aanzienlijk het risico verminderen.
Bescherm uzelf tegen de risico’s van vertrouwde insiders met Everfox Insider Risk Solutions.
Opmerking: Dit artikel is geschreven door Dan Velez, Sr. Manager Insider Risk Services bij Everfox, met meer dan 16 jaar ervaring in insiderrisico’s en bedreigingen bij Raytheon, Amazon, Forcepoint en Everfox.
-
https://www.ic3.gov/Media/Y2022/PSA220208
- https://www.bloomberg.com/news/newsletters/2024-04-19/t-mobile-verizon-find-cracking-down-on-sim-card-scams-is-hard-to-do