Insiderhot är ett hett ämne inom cyberspace-säkerheten på grund av de unika hoten de står inför på grund av deras interna tillgång till en organisation.
Även om mjukvaran för upptäckt av insiderhot blir allt mer sofistikerad tack vare beteendeanalys från artificiell intelligens tills systemet verkligen är perfekt, kommer det mänskliga elementet att förbli en utmaning för organisationens cybersäkerhetssäkerhet.
Även när insiderhot upptäcks kräver ansträngningar att motstå skadan de orsakar betydande tid och resurser. Rapporten från Global Insider Threat Costs 2020 från Ponemon Institute visar att det tar överväldigande 77 dagar i genomsnitt för att rymma insiderhändelser.
Insiderhot har två huvudformer – ondska och försumlig.
Ondska hotet från insiders som medvetet är involverade i den skada den orsakar, och försumlig insiderhot orsakar oavsiktligt skada genom dåliga vanor eller genom att bli offer för ansträngningarna från skadliga aktörer som försöker få tillgång till organisationsdata och system. Rapporten från Ponemon Institute som nämnts ovan avslöjar också att lumskande insiderhot orsakar 62% av säkerhetsincidenterna – de kommer att vara huvudfokus för dagens artikel.
Är Insider hotar den svagaste länken till cybersäkerhet?
Varhelst det finns sårbarheter och motiv för att få tillgång till vissa organisationsdata och system kan de och kommer att utnyttjas. En rapport från IBM konstaterade att under 2015 genomfördes 60% av alla attacker mot en organisation av insiders, vilket gjorde att rätt anställda är dåliga människor att använda som en metod för att få obehörig åtkomst. Med tiden och tekniken blir mer sofistikerad, så attackmetoden kommer att användas mot organisationer.
Vad gör anställda sårbara
Lämpliga metoder för att förvandla anställda till oavsiktliga insiderhot kan variera, även om de tenderar att utnyttja många av samma orsaker – dåliga vanor orsakade av deras förtroende eller bristande medvetenhet om cybersäkerhet.
Anställda är människor, och människor tror för mycket
Programvara är mycket mer förutsägbar och konsekvent än människor. Medan säkerhetspolitiken är en nödvändig komponent i en organisations cybersäkerhetsplan, kan människor inte programmeras för att följa dem perfekt hela tiden.
Den som har tillbringat tillräckligt med tid i en byggnad med en åtkomstdörr för nyckelkort kan se sårbarheten för det mänskliga förtroendet som spelas direkt: Två personer närmar sig åtkomstdörren som tvingas av nyckelkortet samtidigt, Person A släpper dörrnyckeln med sitt nyckelkort. – vad händer sen?
I säkerhetscentrisk utopi är det helt orealistiskt:
- Person A passerar genom dörren och väntar på att den stängs helt och se till att Person B stannar på motsatt sida av dörren under hela processen.
- Person B värderar sitt ansvar att tålmodigt vänta utanför dörren för att helt stänga och återanvända nyckeln.
- När dörren nu är stängd och låst säkert, släpper person B nu nyckeln med sitt nyckelkort och passerar genom den och fortsätter först efter att verifieringen av dörren har stängts med nyckeln återmonterad.
Trots att ovanstående scenario är tekniskt sett den säkraste processen, är det långt ifrån realistiskt.
Detta är vad som vanligtvis händer i den verkliga världen:
- Person A låser upp dörren och fortsätter sin livliga väg, kanske halvhjärtat tittar på vad Person B beslutar att göra, kanske inte; eller
- Person A låser upp dörren och börjar öppna dörren för Person B med minimal paus.
Det betyder inte att organisationens cybersäkerhetsbehov är värda en dystopisk omprogrammerad människa för att utrota pro-socialt beteende som att hålla dörren öppen för andra. Effektiv mildring av försumliga insiderhot kräver bara en realistisk förståelse för att politiken ensam inte är tillräcklig för cybersäkerhet – organisationer måste också ta hänsyn till mänskligt beteende.
Socialteknik & phishing
Cybersecurity är ofta mycket fokuserat på externa hot som hackare som försöker få tillgång till värdefulla data och system från utsidan på distans, men med kraften i social engineering kan en organisations största hot faktiskt komma inifrån.
Social engineering är en form av bedrag som används av onda aktörer för att utnyttja det förtroende som anställda har i kollegor och andra. Även om externa hot verkligen måste åtgärdas, är de inte det enda hotet mot en organisations cybersäkerhet. Anställda inuti kan oavsiktligt bli sårbarheter genom att vara lite alltför hjälpsamma när kollegor som verkar vara pålitliga eller kända leverantörer börjar be om resurser, information eller hjälp som ligger utanför deras vanliga arbetsområde.
Anledningen till att social teknik är så effektiv hos anställda är att även om människor är oförutsägbara som den teknik de ansvarar för att skydda, vet de redan psykologiska vanor som gör det lättare för dem att kringgå än idealet.
Detta kan ses i fallet med Kevin Mitnick, som lyckades få tillgång till utvecklingsservern som ägs av Digital Equipment Corporation genom att bara ringa dem och låtsas vara den huvudsakliga utvecklaren som behövde en lösenordsändring. Medan Kevins sociala verkställande åtgärder genomfördes 1979 och naturligtvis blev organisationen mer medveten om denna praxis, så litet som att agera som om deras egna kunde orsaka att främlingar ignoreras av anställda om de inte är flitiga.
Socialteknik kan ta många andra former också, inklusive lura eller kompromissa med betrodda konton som ett sätt att lura anställda att ladda ner farliga filer eller besöka farliga länkar i phishing-attacker.
Dåliga vanor
Förutom direkt utnyttjande, kan anställda orsaka sårbarhet genom att engagera sig i dåliga vanor. Källan till deras dåliga vanor kan komma från ren okunnighet orsakad av brist på kontinuerlig utbildning, organisationer prioriterar inte cybersäkerhet i sin arbetsplatskultur eller försummar att ignorera rollen som deras beteende för att upprätthålla organisatorisk säkerhet.
- Dåliga anställdas vanor inkluderar:
- Lås inte sina arbetsstationer när de inte används, vilket ger förbipasserande möjlighet att använda sina uppgifter oupptäckta.
- Gillar inte phishing-e-postmeddelanden (klicka på länkar till skadliga webbplatser, ladda ner skadlig programvara från tydligen oskyldiga filer).
- Lämna känslig information felaktigt tillgänglig (lämnar anteckningar på sin arbetsstation, lämnar obevakade tryckta dokument i skrivarfacket, etc.).
Hur man arbetar med anställda för att minska hot mot cybersäkerhet
Anställda är en viktig vektor för cyberområdeshot men ges rätt kombination av empowerment, utbildning och resurser som de kan använda tillsammans med den befintliga cybersäkerhetsinfrastrukturen i organisationen för att vara en viktig tillgång för hotreducering.
En organisation som ger anställda möjlighet att bli cybersecurity-supportrar på sina arbetsplatser kommer att ha värdefulla tillgångar för att proaktivt minska hotet om cybersecurity. Organisationer kan stärka sina anställda genom pågående utbildning i cybersäkerhet, ge anställda en tydlig väg att rapportera säkerhetsproblem till sina chefer och genom att öppet erkänna den viktiga roll som deras anställda har för att upprätthålla organisatorisk säkerhet.
Är de anställda den svagaste länken i organisationens kamp mot cybersäkerhetshot? Det behöver inte – med rätt blandning av policyer, processer, produkter och procedurer kan människor i en organisation vara deras största tillgångar.
Inlägget är en anställd som har den svagaste länken i en organisation som bekämpar hot mot cybersäkerhet? först visades i ValueWalk.
