Verizon presenterar ny IT-säkerhetsrapport kring insiderhot – så skyddar du din organisation

Det amerikanska telekombolaget Verizon presenterar idag en ny Insider Threat Report, som belyser de IT-hot som finns inom företagen själva och förslag på åtgärder som kan vidtas för att motverka dessa.

Rapporten, som är en vidareutveckling av Verizons omfattande Data Breach Investigations Report (DBIR) från 2018, visar att 20 procent av IT-säkerhetsincidenterna och 15 procent av dataöverträdelserna som belystes i DBIR hade sitt ursprung i personer inom den egna organisationen, med ”ekonomisk vinning” (47,8 procent) och ”för att det var roligt” (23,4 procent) som de främsta drivkrafterna. Dessa attacker, som utnyttjar intern data och systembehörigheter, upptäcks ofta först flera månader eller år efter genomförandet, vilket gör deras potentiella påverkan på ett företag betydande.

Men för många organisationer råder ett stort tabu kring insiderhot, då de därför ofta väljer att blunda för att erkänna, rapportera eller vidta åtgärder mot anställda som utgör ett hot mot deras organisation.

Verizons nya Insider Threat Report syftar till att förändra denna inställning genom att erbjuda företag en datadriven bild kring hur de kan identifiera riskgrupper inom den egna organisationen, belysa relaterade fallstudier, samt föreslå lämpliga strategier och tankesätt för att motverka insiderrelaterade IT-säkerhetshot.

Rapporten har bl a identifierat följande fem medarbetarpersonligheter som kan utgöra potentiella hot för företag, baserat på Verizons egna fallstudier, analyser och tidigare utredningar.

1. Vårdslösa medarbetare – anställda eller partners som felaktigt använder resurser, bryter mot acceptabla användningsprinciper, misshandlar data, installerar obehöriga applikationer och använder icke godkända arbetssätt. Deras handlingar är olämpliga i motsats till skadliga.

2. Insideragenter – rekryterade, inhyrda eller mutade av en extern part för att inhämta önskad data.

3. Missnöjda medarbetare – som försöker skada organisationen genom att förstöra data eller störa affärsverksamheten.

4. Skadliga insidermedarbetare – anställda eller partners med tillgång till företagets data som använder sina privilegier för att få tillgång till information för personlig vinning.

5. Vårdslös tredje part – Affärspartners som äventyrar säkerheten genom oaktsamhet, missbruk eller skadlig åtkomst till eller användning av en tillgång.

11 byggstenar för att motverka IT-hot inom den egna organisationen

1. Integrera säkerhetsstrategier och policies – Genom att integrera nedanstående 11 motåtgärder (listade nedan) med företagens existerande strategier för t ex riskhantering, personalhantering mm, så kan man bidra till att stärka effektiviteten, sammanhållningen och aktualiteten kring bemötandet av insiderhot
2. Jakt på hotfulla aktiviteter – görs t ex via omfattande intelligenta jakt-aktiviteter som Dark Web-övervakning, beteendeanalyser och EDR (Endpoint Detection and Response)-lösningar för att uppsöka, övervaka, upptäcka och undersöka misstänkta användar- och användarkontoaktiviteter, både inom och utom företaget.
3. Utföra sårbarhets- och infiltrationstester – Utnyttja sårbarhetsbedömningar och infiltrationstester för att identifiera luckor i verksamhetens säkerhetsstrategi, inklusive potentiella metoder som skadliga insideraktörer kan använda sig av för att manövrera i den rådande företagsmiljön.
4. Genomföra personalsäkerhetsåtgärder – Genomförandet av medarbetarkontroller (vid t ex anställnings- och avgångsprocesser), säkerhetsåtkomstprinciper och säkerhetsutbildningar kan minska antalet IT-intrång baserade på obehörig åtkomst till företagssystem.
5. Använd fysiska säkerhetsåtgärder – Använd fysiska metoder för åtkomst, som t ex identitetsbrickor, säkerhetsdörrar och vakter för att begränsa fysisk tillgång, i kombination med digitala åtkomstmetoder, inklusive kortläsare, rörelsedetektorer och övervakningskameror.
6. Implementera nätverksbaserade säkerhetslösningar – Implementera nätverksperimetrar och segmenterade säkerhetslösningar, såsom brandväggar, intrångsdetekterande/förebyggande system, gateway-enheter och DLP-lösningar (Data Loss Prevention) för att upptäcka, samla in och analysera misstänkt trafik som potentiellt är förknippad med hotfulla insideraktiviteter.
7. Använd Endpoint Security-lösningar – Använd etablerade endpoint-säkerhetslösningar, såsom kritiska tillgångsinventeringar, enhetskrypteringar och FIM-verktyg (File Integrity Monitoring) för att avskräcka, övervaka, spåra, samla in och analysera användarrelaterade aktiviteter.
8. Tillämpa datasäkerhetsåtgärder – Applicera dataägandeskap, klassificering och skydd, samt åtgärder för databorttagning för hantering av datalivscykeln, sekretessen, integriteten och tillgänglighet med insiderhotet i åtanke.
9. Driv identitets- och åtkomsthanteringsåtgärder – Använd identitets-, åtkomst- och autentiseringshanteringsåtgärder för att hantera gränsdragningar och skydda åtkomst till företagsmiljön.
10. Inför möjligheten till incidenthantering – Upprättandet av en incidenthanteringsprocess för att inkludera en Insider Threat Playbook-lösning med utbildade och kompetenta incidenthanterare kommer att underlätta och effektivisera cybersäkerheten när det kommer till att motverka hotfulla insideraktiviteter.
11. Behåll dina digitala utredningstjänster – Se till att upprätthålla tillgängligheten av utredningstjänster för att snabbt kunna genomföra omfattande utredningar, som sträcker sig från analyser av loggar, filer, slutpunkter och nätverkstrafik, ofta är relaterade till personrelaterade användarkonton.