Insider Threat

Insider Threat

Insider threat neemt een steeds belangrijkere plek in binnen security teams, en vanwege een goede reden. Ondanks zware investeringen in perimeter beveiliging is cyber criminaliteit nog steeds sterk in opkomst. Daar de workforce in organisaties steeds dynamischer en op steeds meer plekken werkt zijn security teams van mening dat de bestaande middelen voor inzicht niet meer afdoende zijn. Met deze ontwikkelingen in het achterhoofd komt de nieuwe focus steeds meer te liggen op het vinden van nieuwe technologieën om elke gebruiker veilig te houden.


Neem voor meer informatie over Insider Threat contact op met onze security consultants via +31 (0) 345 506 105, stuur een e-mail naar info@isoc24.com of vul ons contactformulier in door op onderstaande button te klikken.

De klassieke definitie van de ‘insider threat’ beschrijft de verdachte entiteit met als doel het stelen van data of het saboteren van systemen. De meeste security teams realiseren zich steeds meer dat deze definitie moet worden herzien. Insider Threat omvat op dit moment de volgende drie onderdelen:

  • De verdachte ‘insider’; verdachte insiders zijn bewust uit op het stelen van data van hun werkgever;
  • De ‘infiltrator’; infiltrators zijn aanvallers van buitenaf die ongeautoriseerde toegang verkrijgen tot de interne systemen;
  • De ‘onwetende’ insider; Dit is een gebruiker met de juiste bedoelingen die de organisatie per ongeluk in gevaar brengt.

De bovenstaande gevallen zijn individueel natuurlijk geheel verschillend. Elke ‘insider’ heeft verschillende motivaties en intenties. Alle drie hebben ze één ding gemeen. Uiteindelijk brengen zij stuk voor stuk de onderneming in gevaar door de acties van een interne ‘actor’. Het is belangrijk om bewust te zijn van hoe breed de term ‘insider threat’ kan zijn aangezien het kennen van de verschillen tussen deze typen ‘insiders’ bepaalt welke flexibele adaptieve oplossing moet worden ingezet. Onwetende insiders vormen veruit het grootste risico voor een organisatie. Dit zijn vaak typisch hardwerkende medewerkers met goede bedoelingen, maar die niet het vermogen of de kennis hebben om te beseffen hoe waardevol de data waarmee ze werken eigenlijk is en welk risico de organisatie loopt als deze data bij kwaadwillenden terecht komt.

Er is geen zogeheten ‘one-size-fits-all’ oplossing die bescherming biedt tegen insider threats – zeker gezien een insider threat dreiging zich op zoveel verschillende manieren kan manifesteren, van de traditionele kwaadaardige indringer of eenvoudige menselijke fouten en nalatigheid tot indringers van buitenaf en dieven die inloggegevens stelen.

Toch zijn er veel fabrikanten van oplossingen opgestaan in de afgelopen jaren die roepen dat zij insider threats kunnen stoppen. Het merendeel van deze oplossingen hebben weinig met elkaar gemeen. Elk maken ze gebruik van een aanpak en technologie die veel van elkaar verschilt.

Veel van deze oplossingen kunnen worden onderverdeeld in diverse verschillende categorieën, zijnde:

  • Endpoint Detection en Response (EDR) / Endpoint Protection Platforms (EPP) - Endpoint-gebaseerde oplossingen die endpoint activiteit monitoren en alerts afgeven op basis van indicatoren van inbreuk (IOC’s), grotendeels met het doel om virussen en malware te stoppen;
  • Cloud Access Security Brokers (CASB) - Netwerk-gebaseerde oplossingen die policies opleggen door de toegang te monitoren naar cloud-gebaseerde resources;
  • Data Loss Prevention (DLP) - Endpoint-gebaseerde oplossingen die afhankelijk zijn van regels en classificatie van data om op te kunnen leggen hoe gebruikers met data werken (zoals bijvoorbeeld door het blokkeren van bepaalde bestanden of bestandslocaties door verschillende soorten gebruikers, etc)
  • Legacy Employee Monitoring – Middelen waarmee de activiteit van gebruikers wordt opgenomen, vaak met geavanceerde en zware functies zoals het continu opnemen van de scherm activiteit, het loggen van toetsaanslagen en het maken van screenshots.

Binnen het portfolio van iSOC24 bevindt zich de InTERCEPT oplossing van DTEX. Deze oplossing valt in geen van bovenstaande categorieën. Het is het enige insider threat protection platform dat vanaf de basis is opgebouwd om insider threats te kunnen detecteren, begrijpen en onderzoeken. DTEX doet dit met behulp van het inzetten van gedragsanalyse van de gebruikers.

Het Workforce Cyber Security systeem van DTEX monitort de activiteit van de gebruiker vanuit het endpoint gezien in de vorm van metadata om te komen tot een volledige audit trail en gebruikt vervolgens machine learning en bewezen gedragsanalyse om meldingen te verzorgen ingeval van abnormaal gedrag van gebruikers en identiteiten.

Binnen een landschap met veel fabrikanten die hun oplossingen op compleet verschillende manieren hebben opgebouwd en die allemaal zeggen hetzelfde probleem het hoofd te kunnen bieden is het om een daadwerkelijk goed insider threat systeem te implementeren vitaal om te begrijpen wat elk van deze oplossingen te bieden heeft en wat er niet beschikbaar is. Daarna is het zaak om de ontbrekende functionaliteit te onderzoeken en verder aan te pakken.

De sleutel ligt in het kiezen van een specifiek ontwikkelde oplossing, die vanaf de basis is opgebouwd met maar één doel in het achterhoofd: het in kaart brengen van de insider threats. Om een goed passende oplossing te vinden moet er een duidelijk beeld zijn over wat de ene oplossing van de andere oplossing onderscheidt. Het antwoord op deze vraag ligt in de volgende vijf gebieden:

  • Inzicht;
  • Intelligence;
  • Schaalbaarheid;
  • Flexibiliteit;
  • Privacy.

Neem voor meer informatie over Insider Threat contact op met onze security consultants via +31 (0) 345 506 105, stuur een e-mail naar info@isoc24.com of vul ons contactformulier in door op onderstaande button te klikken.