Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Mængden af brud på it-sikkerheden begået af medarbejdere eller samarbejdspartnere, der - med vilje eller ej - misbruger deres adgang til en organisations it-systemer, er stigende.
Senest har en medarbejder hos Styrelsen for International Rekruttering og Integration (SIRI) uberettiget tilgået personoplysninger på 3.300 borgere og (nogle) medarbejdere – og er efterfølgende blevet både fyret og politianmeldt.
Den globale økonomiske afmatning har resulteret i afskedigelser og usikkerhed.
Dette øger risikoen for insidertrusler, hvad enten det skyldes færre ressourcer til uddannelse, manglende håndhævelse af sikkerhedspolitikker eller demotiverede medarbejderne, der agerer uhensigtsmæssigt.
Insidertrusler er særligt farlige, fordi der her er tale om adgangsmisbrug begået af betroede medarbejdere eller samarbejdspartnere, der i kraft af deres funktion har adgang til kritiske aktiver og følsomme data i en organisation.
De fleste it-sikkerhedsløsninger fokuserer udelukkende på at opdage ulovlig adgang. Men det er kun ét aspekt af insidertrusler.
En organisation har også brug for løsninger, der beskytter det centrale identitetssystem ved at scanne efter sårbarheder i identitetssystemet, som insidere kan misbruge.
Det skal kunne opdage og automatisk afhjælpe risikable ændringer, belyse måder de kritiske aktiver kan angribes på og levere kriminaltekniske undersøgelser efter et brud, så man kan lukke bagdøre, der kan misbruges senere.
Især organisationer, der på den ene eller anden måde er under ombygning, som for eksempel er i gang med at samle afdelinger på færre adresser eller reducere arbejdsstyrken, har brug for at kunne gribe ind over for mistænkelig aktivitet fra højrisikobrugere, eksempelvis medarbejdere, der er afskedigede, men stadig befinder sig på arbejdspladsen.
Insidertrusler vokser
Selv om det er de eksterne cyberkriminelle, der oftest får medieopmærksomheden, er insidertruslen stadigt voksende.
Ifølge undersøgelsen 2022 Cost of Insider Threats Global Report fra Ponemon Institute er insidertrusler steget med 44 procent i løbet af de seneste to år.
Syv ud af hver 10. virksomhed (67 procent) har haft mellem 21 og 40 insiderrelaterede hændelser årligt, hvor det i 2020 drejede sig om 60 procent af virksomhederne.
Samtidig er omkostninger ved en it-sikkerhedshændelse steget med mere end en tredjedel, så de i dag per styk koster 15,38 millioner dollar, svarende til over 106 millioner danske kroner.
Disse trusler er notorisk vanskelige at udrydde. Virksomheder, der har været ofre for en insiderrelateret hændelse, brugte i snit 85 dage på at inddæmme den.
Adgangsmisbrug er altid det første skridt
Enhver, der har adgang til kritiske forretningsaktiver, kan potentielt misbruge dette privilegium.
- En uagtsom medarbejder kan forårsage systemkompromittering på flere måder; En slutbruger, der efterlader sin bærbare computer ulåst, eller en Active Directory-administrator, der ikke følger de definerede politikker for afmelding af medarbejdere, kan være skyld i, at ondsindede aktører med nemhed får fat på privilegerede legitimationsoplysninger.
- En medarbejder med ondt i sinde kan bruge sin privilegerede adgang til at kompromittere organisationens systemer for at opnå økonomisk gevinst eller for at tage hævn.
Det stigende antal hændelser er en advarsel til alle organisationer, der endnu ikke har en ordentlig løsning til identitetsrelateret trusselsdetektion og -respons på plads. Adgangsmisbrug er altid første skridt i et insiderangreb.
Identity-first sikkerhed beskytter mod insidertrusler
Active Directory (AD) og Azure Active Directory er det centrale identitetssystem for 90 pct. af alle virksomheder, der alle har brug for AD-specifikke gendannelsesløsninger til at kunne beskytte deres kritiske identitetstjenester før, under og efter et angreb.
For at mindske insidertrusler bør man overveje følgende:
Før et angreb:
- Afdæk sikkerhedshuller, der kan føre til adgangsmisbrug, f.eks. konti med udløbne adgangskoder og inaktive konti.
- Sørg for, at det er muligt at ’fryse’ en identitet, så udvalgte brugere (medarbejdere) ikke kan gennemføre uhensigtsmæssige ændringer via deres brugeradgang.
- Afdæk mulige angrebsstier, der fører til kritiske Tier 0-aktiver.
Under et angreb:
- Overvåg løbende for at kunne spotte indikatorer på, at en kompromittering er i gang (IOC'er).
- Spor risikable ændringer i on-prem AD og Azure AD og sørg for, at I er i stand til automatisk at rulle specifikke ændringer tilbage, som signalerer et angreb, f.eks. uforklarlige tilføjelser til gruppen Domain Admins.
Efter et angreb:
- Få adgang til kriminaltekniske funktioner efter et brud, så I kan afdække angrebsteknikker, der anvendes af insidere, og så I kan lukke bagdøre til AD og Azure AD.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.