Medewerkers die binnenkort weggaan, zijn betrokken bij 60% van de insider incidenten

Medewerkers die binnenkort weggaan, zijn betrokken bij 60% van de insider cybersecurity incidenten en data lekken, dit op basis van een nieuw onderzoek van Securonix, waarvoor het Securonix 2020 Insider Threat Report is gepubliceerd.

Het gaat hier voornamelijk om medewerkers die op het punt staan ontslag te nemen of om een andere reden besluiten binnenkort de organisatie te verlaten. Het gedrag van deze medewerkers veranderd vaak tussen 2 maanden en 2 weken, voordat een insider aanval plaatsvindt.

Insider incidenten worden allemaal veroorzaakt door individuen binnen een organisatie, in tegenstelling tot dreigingen van externe personen. Medewerkers of leveranciers met geautoriseerde toegang tot systemen van een organisatie, kunnen mogelijk de gegevens hiervan beschadigen, stelen, verkopen of het kan de oorzaak zijn door fout van de medewerker zelf. Denk hierbij aan het uploaden of het verplaatsen van vertrouwelijke informatie naar diensten van derde partijen, zonder dat er toestemming is vanuit het bedrijf om deze diensten hiervoor te gebruiken of dat de IT-afdeling niet weet dat medewerkers deze diensten gebruiken, ook wel Shadow IT genoemd.

Een recent voorbeeld

In 2019 was er een zaak bij Cybersecurity bedrijf Trend Micro, waarbij een medewerker informatie van naar schatting 70.000 klanten had verkocht aan een derde partij. Deze gegevens werden verzameld door de gegevens uit een klantenservice database te halen. Het betrof hier onder andere namen, mailadressen, ticketnummers en telefoonnummers.

Deze informatie is toen gebruik voor het uitvoeren van scams, waarbij de klanten werden gebeld door personen die deden alsof ze medewerkers waren van Trend Micro. Door de verzamelde informatie kon deze scam wat legitiemer overkomen op klanten.

Uiteindelijk is Trend Micro een grondig onderzoek gestart, omdat er verdenkingen waren van een gecoördineerde aanval. Uit dit onderzoek is de medewerker naar voren gekomen die de data had benaderd met criminele bedoelingen. Trend Micro heeft direct actie ondernomen door het account van deze gebruiker uit te schakelen en de medewerker te ontslaan.

Welke insider threat komt het meeste voor

Volgens Securonix is het exfiltreren van gevoelige data op dit moment de meest voorkomende insider threat. Dit vindt het vaakst plaats via email of uploads naar cloudopslag diensten zoals Box en Dropbox. Op de tweede plaats volgt het misbruiken van een account met speciale rechten.

Na het bekijken van honderden insider incidenten in verschillende bedrijfssectoren, geeft Securonix aan dat ongeveer 80% van de medewerkers die op het punt van vertrek staan, gepatenteerde gegevens met zich meenemen.

In totaal hebben 43,75% van de insiders data doorgestuurd naar hun persoonlijke mail account, 16% maakte misbruik van speciale rechten in Cloud samenwerkingsdiensten en 10% heeft geaggregeerde gegevens gedownload. Verder worden ongeautoriseerde of niet geëncrypte USB en andere verwijderbare media gebruikt om data mee te nemen. Zoals te zien in onderstaande afbeelding.

screenshot-2020-05-19-at-01-56-31.png

Het misbruik van verwijderbare media voor het stelen van gegevens is wel aan het afnemen, omdat steeds meer bedrijven het gebruik hiervan beperken of zelfs helemaal blokkeren. Ook zijn er veel organisaties die de transitie maken naar Cloud en Infrastructuur als een service (IaaS) platformen.

De hoogste aantallen van gegevens ex-filtratie incidenten vonden plaatst in de Geneeskunde, Financiële en IT sectoren.

Waarom gaat het vaak nog mis?

Om de volgende redenen gaat het vaak nog mis:

  • Gebruikers die accounts met elkaar delen;
  • Problemen met het classificeren van gegevens als gevoelig of niet gevoelige informatie, wanneer toegangsrechten moeten worden uitgegeven;
  • Het niet implementeren van “least-privilege account controls”, dat ervoor bedoeld is om gebruikers alleen de rechten te geven die ze nodig hebben;
  • En het constant omzeilen van IT controls zoals processen en procedures, komen veelvuldig voor.

Vooral grootte organisaties hebben er moeite mee om conclusies te treken uit deze incidenten, omdat er vaak geen verschil zit tussen beleid en procedures voor verschillende afdelingen van deze organisaties.

Wat kan gedaan worden om insider incidenten te verminder of voorkomen?

Securonix geeft mee dat algoritmes een handige manier zijn voor het monitoren van medewerkers en/of verdachten activiteiten. Deze algoritmes kunnen helpen bij het herkennen van veranderingen in normale gedragingen van de medewerkers zoals opeens op een tijdstip inloggen, wanneer de medewerker normaal nooit inlogt. Ook kan het algoritme gebruikt worden voor het meten van het verplaatsten of downloaden van data en wanneer hier een afwijking wordt gedetecteerd van de baseline (het normale gedrag), hiervoor waarschuwen. Een voorbeeld hiervan zou zelfs een combinatie van de 2 kunnen zijn, waarbij de gebruiker inlogt op een niet normaal tijdstip en ook nog eens veel data aan het verplaatsen of downloaden is.

Het gebruik van traditionele technologieën zoals DLP tools, privileged acces management (PAM) oplossingen en andere oplossingen die slechts een enkel probleem oplossen, zijn niet toereikend voor het detecteren van het gedrag van insiders vandaag de dag.

Organisaties die Cloud oplossingen opnemen in hun organisatie krijgen te maken met complexe dreigingen, welke geavanceerde security analyse nodig hebben dat gebruik maakt van algoritmes die specifieke gebouwd zijn om specifiek gedrag te detecteren.

Advies

Als eerste adviseren we om op tijd te melden aan de juiste personen binnen uw organisatie, wanneer er opeens een wijziging in het gedrag van een collega te zien is, die eigenlijk niet te verklaren valt.

Als tweede is het belangrijk om medewerkers alleen toegang te geven tot systemen, mappen van fileshares etc. die zij nodig hebben om hun normale werkzaamheden uit te voeren en geen extra toegangsrechten te geven aan deze medewerkers.

Als derde is het belangrijk dat iedereen gebruik maakt van de producten en diensten die door de organisatie worden ondersteund en bekend zijn bij de IT-afdeling, zodat er geen gebruik wordt gemaakt van Shadow IT.

Als vierde moet er in de gaten gehouden worden wanneer medewerkers gegevens doorsturen naar persoonlijke e-mail accounts, aangezien dit volgens het onderzoek het meest wordt gedaan door medewerkers die binnenkort van plan zijn te gaan vertrekken.

Als vijfde zal het gebruik van USB en andere verwijderbare media zoveel mogelijk beperkt of zelfs helemaal geblokkeerd moeten worden, zodat op deze manier er geen gegevens de organisatie kunnen verlaten.

Als zesde moet informatie op de juiste manier geclassificeerd wordt, zodat alleen de mensen die deze informatie mogen benaderen er toegang tot krijgen. Dit zou je kunnen doen door gebruik te maken van een Informatie Classificatieschema.

Als laatste is het belangrijk om gebruik te maken van algoritmes die het gedrag van medewerkers kunnen bekijken om zo afwijkingen van het normale gedrag te kunnen detecteren.

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

Het betalen van Cybercriminelen verdubbelt de opruimkosten
VMware Cloud Director volledig over te nemen door kritieke kwetsbaarheid

Gerelateerde berichten

security awareness training

Security Awareness trainingen moeten regelmatig herhaald worden

Microsoft

Zerologon kritieke kwetsbaarheid in Windows Server maakt het mogelijk om domain controllers over te nemen

Microsoft

Kritieke kwetsbaarheid CVE-2020-16875 in Microsoft Exchange maakt RCE mogelijk

cisco

Cisco IOS XR zero-day kwetsbaarheid actief misbruikt

thuiswerken

Thuiswerken zorgt voor een toename aan security incidenten

MS Teams

Microsoft Teams Updater misbruikt om “living of the land” aanvallen uit te voeren

teamviewer

TeamViewer kwetsbaarheid kan hackers het systeemwachtwoord laten stelen

Trickbot

Nieuwe string TrickBot Anchor Malware infecteert zowel Linux- als Windows-systemen

BootHole

BootHole kwetsbaarheid maakt devices met Secure Boot kwetsbaar voor aanvallen

cisco

Kwetsbaarheid in Cisco FTD en ASA zorgt voor lek van gevoelige data

emotet

Emotet botnet keert na 5 maanden terug

sigred kwetsbaarheid

SIGRed, een “wormable” kritieke kwetsbaarheid in Windows DNS-Server

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

18 − 1 =

Menu