Net Admin

Insider Threat Detection Guide: Mitigation Strategies & Tools

Insider-guide til registrering af trusler



Detektion af insidertrusler er en af ​​en række nyere udviklinger inden for cybersikkerhed. Problemet med insidertruslen er blevet så stort, at den amerikanske regering oprettede National Insider Threat Task Force (ITTF) i september 2011. Task Force's hovedopgave er at etablere en insider-trusselsdetektions- og forebyggelsespolitik for statslige organer. Du skal sikre dig, at din organisation tager lignende skridt for at forhindre insidere i at sabotere dit system eller stjæle følsomme data.

Hvad er en insidertrussel?

Alle kan forstå begrebet en trussel til et system. De fleste cybersikkerhedsværktøjer har til formål at blokere hackere og malware fra at angribe et netværk eller andre virksomhedsressourcer. En insider er en person, der er autoriseret til at bruge virksomhedens system.



Mens outsider-angreb kan omfatte mange softwarebaserede systemer, såsom fjernadgangstrojanske heste, DDoS-angreb, ransomware, spyware og vira, er insidertrusler næsten udelukkende manuelle processer . En insider kan beskadige systemet ved at slette data, fjerne programmer eller ændre systemkonfigurationer, men hovedfokus for en insidertrussel er datatyveri .

Selvom beskadigelse eller fjernelse af systemsoftware kan være et problem, er der meget få kontohavere i en virksomhed, der har evnen til at udføre disse handlinger på en meningsfuld måde. For eksempel forårsager en medarbejder, der afinstallerer produktivitetspakken fra sin egen arbejdsstation, ikke rigtig meget skade på organisationen. Virksomhedsdækkende applikationer, såsom en webserver eller databasesystemer, kan kun være det pillet ved af et meget begrænset antal personer i IT-afdelingen.



Små virksomheder er mere sårbare over for sabotage på grund af deres begrænsede antal ansatte og partnere, fordi de mindre softwarepakker, som disse virksomheder benytter, har en tendens til at have færre forskelle mellem operatører og administratorer. Alligevel, selv i små virksomheder, er fokus på insidertrusler på dataproblemer .

Hvilke insidere udgør en trussel?

Der er otte typer medarbejdere, der udgør en trussel mod en organisation:

  • Utilfreds medarbejder – En person, der føler, at hun er blevet uretfærdigt behandlet af virksomheden, forbigået til forfremmelse, nægtet overarbejdsbetaling eller udgifter, eller nærer harme over for en tilsynsførende eller sektionsleder.
  • Leaver – En person, der er blevet lokket væk af en rivaliserende virksomhed, kan blive foranlediget til at tage forretningsdata med sig til gavn for den nye arbejdsgiver.
  • Femte klummeskribent – En medarbejder, der har en politisk bias mod virksomheden og dens aktiviteter og søger at underminere virksomhedens rentabilitet eller levedygtighed.
  • Manipuleret individ – En person, der er sat under socialt eller moralsk pres for at arbejde imod virksomhedens interesser.
  • Uagtsom medarbejder – En person, der ikke har til hensigt at sabotere virksomheden eller afsløre information, men forårsager skade på grund af en uagtsom undladelse af at følge bedste praksis og sandsynligvis er indiskret med data eller systemadgangsoplysninger.
  • overforbrug – En person, der har brug for flere penge, end hun tjener, og som kan søge at tjene penge ved at sælge virksomhedsdata.
  • Tidligere ansat – En person, der har forladt virksomheden, men hvis systemadgang ikke er tilbagekaldt.
  • Whistleblower - En person, der søger at opnå moralsk belønning ved at afsløre en virksomheds forretningshemmeligheder.

Minimering af insidertrusler

Før man nærmer sig opdagelse af insider trusler , skal en organisation implementere systemkontroller, der gør datatyveri eller systemskader sværere at opnå. Minimering af potentialet for medarbejderhandlinger er den første fase af insider trusselshåndtering .

En strategi til at reducere potentialet for insidertrusler falder i to kategorier:

  • Identitets- og adgangsstyring (IAM)
  • Forebyggelse af datatab (DLP)

Disse to emner er forklaret i dybden nedenfor.

Identitets- og adgangsstyring

Identitetsstyring involverer oprettelse af brugerkonti, som derefter kan anvendes på ressourcer. Administration af brugerkonti er en effektiv afskrækkelse mod insidertrusler, hvis den implementeres grundigt.

Identitetsstyring opgaver omfatter oprettelse af niveauer og typer af brugere. Dette kræver definition af forskellige typer adgang, der kræves af forskellige forretningsroller. Den generelle brugerpopulation bør falde ind under én kategori. Denne kategori kan opdeles yderligere efter afdeling. Så vil økonomiafdelingens brugere og HR-medarbejdere have brug for adgang til forskellige softwarepakker, f.eks.

Ved at definere kravene til forskellige stillingsbetegnelser kan systemadministratoren nå frem til et sæt brugerprofiler. Hver profil vil blive defineret af den software, der brugergruppe behov, de hardwareressourcer, de skal have adgang til for at arbejde, og de datalagre, som gruppen skal have adgang til. Profiler vil blive yderligere forfinet af adgangsniveauet til data, som hver enkelt har brug for – skrivebeskyttet eller redigeringsrettigheder.

Brugerprofiler som omfatter højere tilladelsesniveauer, bør tildeles et meget begrænset antal brugere. Teknikerprofiler bør være stærkt begrænsede og de tekniker profiler som nyder fulde superbrugerprivilegier, bør kun tildeles nogle få medlemmer af organisationen.

Forebyggelse af datatab

Foranstaltninger til forebyggelse af datatab er vigtigere for en begrænset type data. Virksomheder gemmer kun data, fordi det er nyttigt. Nogle datatyper er dog vigtigere end andre. Hvis din branche er underlagt juridiske begrænsninger i forhold til offentliggørelse af data eller industristandarder, som f.eks PCI-DSS eller HIPAA , skal du fokusere din højeste indsats for at forebygge datatab på de typer data, der er specificeret i de standarder, som din virksomhed er forpligtet til at følge.

Forebyggelse af datatab involverer lokalisering af alle lagre af følsomme data og placere ekstra sporings- og beskyttelsesforanstaltninger på disse steder. Da alle data, som virksomheden opbevarer, er vigtige, skal alle dataadgangshændelser spores.

Insider trusselhåndtering

Insider trusselhåndtering er processen med at kombinere identitets- og adgangsstyring med forebyggelse af datatab .

Der er intet system, der kan give dig en 100 procent garanti for, at du aldrig vil blive udsat for en insidertrussel. Selvom dit IT-system er det strammest mulige, vil du stadig møde truslen fra pen og papir. Ud over effektive it-kontroller af insidertrusler skal du også gøre det implementere fysisk adgangskontrol i dine lokaler, personaleprofilering og personlig medarbejderovervågning.

Du kan forfine din insider-trusselshåndteringsstrategi ved at implementere transaktionsovervågning.

Bruger- og enhedsadfærdsanalyse

Automatiserede overvågningssystemer kan nemt spore enhver hændelse, der opstår i it-systemet. Det er imidlertid vanskeligt at identificere, hvilken begivenhed der er en sikkerhedstrussel. Heldigvis kaldte et kompetenceområde bruger- og enhedsadfærdsanalyse (UEBA) hjælper med den opgave.

UEBA er et kunstig intelligens-værktøj og er en avanceret type maskinlæring. Et UEBA-system registrerer hver transaktion, der forekommer, især dem, der involverer adgang til data. Over tid definerer UEBA-systemet en standard for normal adfærd . Når UEBA-systemet har fungeret længe nok til at lave et rimeligt skøn over standardadfærd, er det lettere at få øje på mistænkelig adfærd.

Du kan ikke give en instruktion til en computer om at bede den holde øje med mistænkelig aktivitet, fordi det er næsten umuligt at definere, hvad der er, og hvad der ikke er ' mistænksom .' UEBA fokuserer på at finde ud af hvad regelmæssig adfærd ser ud og laver så en alarm, når noget, der afviger fra den standard opstår. Dette værktøj gør det muligt for systemsikkerhedsspecialister at fokusere på sandsynlige insidertrusler i stedet for at prøve at se hver enkelt transaktion.

Hændelseslogning

Da intet system er 100 procent idiotsikkert, er det en god idé at håbe på det bedste, men planlægge det værste. Du er nødt til at etablere systemer, der gør dig i stand til det undersøge insidertrusler når de er opstået. Selvom du sætter meget strenge kontroller på plads, kan nogen bare komme uden om dem en dag.

At logge alt, hvad der sker, genererer en stor mængde data. Imidlertid , opbevaring er meget billig i disse dage, så omkostningerne ved at opbevare alle disse logmeddelelser er minimale. Hvis registreringer af alle hændelser er på lager, kan de søges efter indikatorer for et angreb. Hvis du nogensinde opdager, at en insider forsøger at stjæle data eller du finder ud af, at et datatab netop har fundet sted. Du er nødt til at søge gennem logfiler for at se på al den tidligere aktivitet af denne bruger, fordi det er usandsynligt, at du lige tilfældigvis fangede hende ved hendes første forsøg.

Hvis du skal vise overholdelse til en datasikkerhedsstandard er hændelseslogning et krav og ikke en mulighed.

Triage

Triage involverer at fokusere din indsats på den mest sandsynlige kilde til en trussel. UEBA og automatiseret aktivitetssporing hjælpe dig med at identificere sandsynlige ondsindede brugerkonti. Når disse kandidater er identificeret, bør du nøje undersøge deres aktiviteter. Du kan ikke fyre nogen på mistanke om ondsindet aktivitet; du har brug for bevis.

Dokument kontrol

Dokumenter og diaspræsentationer indeholder ikke kun data, men de er en nøglemetode til at dele virksomhedsstrategier. Elektroniske filer er nemme at kopiere og sende ud i e-mails eller tage ud af bygningen på en memory stick.

Det første lag af beskyttelse mod datatyveri gennem dokumenter er at scanne alle udgående e-mails til fastgørelse og blok USB-stik på arbejdsstationer.

Ikke alle e-mail-vedhæftede filer er forsøg på datatyveri – det er en accepteret forretningspraksis at udsende tilbud, ordrer, fakturaer, forslag, salgsargumenter og kvitteringer som vedhæftede filer. Derfor skal udgående scanning af vedhæftede filer være sofistikeret.

Den videre forsvarslinje for dokumentkontrol ligger hos fingeraftryk . Hvis nøgledokumenter lækkes, burde det være lettere at spore den insideransvarlige, hvis alle dokumentadgangs- og distributionssystemer markerer hver kopi med en identifikator.

Kontrol af dataudstrømning

Under systemer til forebyggelse af datatab, følsomme data er lokaliseret og sporet med strammere kontroller. Disse kontroller bør være særligt opmærksomme på ethvert forsøg på at sende disse datatyper vedhæftet en e-mail eller kopiere dem til en memory stick. Dette gælder triage til databevægelsessporing.

Aktivitetsovervågning

Alle de ovennævnte insider-trusselshåndteringsstrategier er afhængige af aktivitetssporing. Der skal anvendes analytiske værktøjer hændelseslogning systemer til at samle en række handlinger, der kan bidrage til en hændelse med datatab. Dette skyldes, at datatyveri typisk involverer flere trin. Hvert af disse trin kunne isoleret set virke uskadeligt. Det er først, når disse begivenheder hænger sammen, at tyveriet bliver tydeligt.

Alle de ovennævnte elementer bidrager til en effektiv aktivitetsovervågningsstrategi . Kontrol af brugerkonti implementeret gennem en identitets- og adgangsstyringsstrategi begrænser de konti, der skal overvåges grundigt. Teknikker til forebyggelse af datatab, der identificerer lagrene af følsomme data, lader aktivitetsmonitorer vide, hvilke dele af systemet de skal fokusere på.

Så hvis en brugerkonto med høje tilladelsesrettigheder får adgang til et lager med følsomme data, har du en aktivitet, der skal spores nøje. Hvad den brugerkonto gør næste er meget vigtigt. Du ønsker ikke at låse adgangen til følsomme data fuldstændigt, fordi disse data gemmes til reference, og uden dem ville mange af din virksomheds afdelinger ophøre med at fungere. Du ønsker heller ikke at blokere disse superbrugerkonti - de blev oprettet af grund.

Aktivitetsovervågning anvendelser triage at udløse en monitor, når der opstår adgang til følsomme data, slå en alarm, når en efterfølgende handling falder uden for det normale arbejdsadfærdsmønster (etableret af UEBA), og anvender kontrol og efterforskningsprocedurer der scanner hændelseslogfiler.

Insider-trusselshåndteringsværktøjer

Du har en masse data at beskytte og en masse aktiviteter at se. Naturligvis kan du ikke gøre alt det manuelt. Heldigvis kan hele din insider trusselhåndteringsstrategi implementeres med blot nogle få specialiserede værktøjer . Her er to værktøjer, der viser, hvordan to specialiseringsområder kan dække alle de opgaver, du skal udføre i dit system til registrering af insidertrusler.

Disse er ikke de eneste værktøjer inden for deres områder, men vi anser dem for at være de bedste.

Endpoint Protector af CoSoSys (ADGANG GRATIS DEMO)

Endpoint Protector Mobile Device Management

Endpoint Protectorer en forebyggelse af datatab system, der er hostet i skyen. Insider-trusselforsvar er en nøgletjeneste i dette sikkerhedssystem. Endpoint Protector-tjenesten implementerer tre strategier til at blokere insidertrusler: sporing af enhedsaktivitet, klassificering af datafølsomhed og overvågning af applikationsbrug.

Endpoint Protector-systemet overvåger kørende enheder Windows , macOS , og Linux . Den kontrollerer USB-slots for at se filoverførselsaktiviteter, og den kan blokere kopieringen af ​​visse filer. Graderingen af ​​hvilke filer der kræver særlige kontroller stammer fra en dataklassificering system. Så indstiller du sikkerhedspolitikker relateret til forskellige dataklassifikationer.

Systemet til oprettelse af sikkerhedspolitik kan skelne mellem forretningsafdelinger, brugergrupper eller brugerstatusser. Således vil visse personer i en specifik afdeling få lov til at overføre en filkategori, mens andre brugere samtidig blokeret fra at udføre sådanne handlinger.

Applikationskontrollerne i Endpoint Protector overvåger aktiviteter, der udføres i Microsoft Outlook , Skype , og Dropbox . Tjenesten kan også overvåge de data, der sendes til printere. Således patruljeres alle kanaler til videregivelse af data – memory sticks, e-mails, chat-apps, printere og filoverførsler.

Endpoint Protector tilbydes som en SaaS system. Du kan vælge at få pakken som en service på AWS , GCP , eller Azure servere. Det er også muligt at anskaffe softwaren til Endpoint Protector og installere den på dit eget system som en virtuelt apparat .

Fordele:

  • Kan forhindre insidertrusler gennem en række funktioner
  • Brugerdefinerede sikkerhedspolitikker kan være baseret på brugeren i stedet for maskinen
  • Vurderer automatisk risiko baseret på sårbarheder fundet på slutpunktet
  • Kan advare om ukorrekt filadgang eller insidertrusler (fungerer som en DLP-løsning)
  • Forhindrer datatyveri og BadUSB-angreb gennem enhedskontrolindstillinger

Ulemper:

  • Vil gerne se en prøveversion tilgængelig til test

Du kan anmode om adgang til den gratis demo for at vurdere tjenesten uden risiko.

Endpoint Protector Access GRATIS demo

SolarWinds Security Event Manager (GRATIS PRØVE)

Solarwinds security event manager

Det Security Event Manager fra SolarWinds er en kategori af sikkerhedssoftware kaldet SIEM . Den indsamler og søger gennem logbeskeder for at lede efter trusler – både indtrængen og insidertrusler.

Log-beskeder genereres konstant, og læsning af dem giver en kilde til live aktivitetsdata . Security Event Manager indsamler logmeddelelser fra alle dele af systemet og sætter dem i et fælles format. Dette gør det muligt for SIEM at søge gennem logfiler, der leder efter begivenhedskorrelationer – mønstre af forskellige hændelser, der kombineres for at indikere et sikkerhedsbrud.

SEM bruger UEBA at etablere en basislinje for normal adfærd, mod hvilken man kan identificere anomalier. Når en potentiel insidertrusselshændelse detekteres, udløser SEM en advarsel og henleder opmærksomheden på den pågældende brugerkonto. Alle logposter gemmes for at aktivere historisk analyse . Så når en brugerkonto er identificeret som vist mistænkelig adfærd , kan alle aktiviteter fra den pågældende bruger indtil det tidspunkt tilbagekaldes.

Security Event Manager er i stand til at implementere hændelsesreaktion handlinger automatisk. Den kan suspendere en konto, skubbe en memory stick ud, blokere alle udgående e-mails fra en bruger og logge denne bruger af systemet. Muligheden for at udløse automatiske svar er op til systemadministratoren - en alternativ tilgang ville være at lade systemet alarmere og derefter overlade svaret til en beslutningstager, når yderligere analyse er blevet udført.

Fordele:

  • Enterprise fokuseret SIEM med en bred vifte af integrationer
  • Enkel logfiltrering, ingen grund til at lære et brugerdefineret forespørgselssprog
  • Dusinvis af skabeloner giver administratorer mulighed for at begynde at bruge SEM med lidt opsætning eller tilpasning
  • Nem at bruge og tilpasse brugergrænsefladen
  • Det historiske analyseværktøj hjælper med at finde anomal adfærd og afvigere i netværket

Ulemper:

  • SEM Er et avanceret SIEM-produkt bygget til professionelle, der kræver tid til fuldt ud at lære platformen

SolarWinds Security Event Manager installeres på Windows Server og den er tilgængelig på en 30-dages gratis prøveperiode.

SolarWinds Security Event Manager Download 30-dages GRATIS prøveversion

Teramind DLP

Teramind skærmbillede

Teramind DLP er en forebyggelse af datatab system, der har skabeloner til at tilpasse sine operationer i henhold til specifikke datasikkerhedsstandarder. Dette er et fremragende værktøj til beskyttelse af insidertrusler til virksomheder, der skal overholde PCI DSS , HIPAA , ISO 27001 , og GDPR standarder.

Som navnet antyder, fokuserer Teramind DLP på at beskytte data. Den er ideel til at blokere ubudne gæster og insidertrusler. Værktøjet starter sin service med at søge rundt i it-systemet efter alle datalagre. Det søger derefter gennem hver dataplacering efter specifikke typer af data og kategoriserer dem. Dette gør det muligt for tjenesten at fokusere på specifikke data, især de typer informationer, som en given datasikkerhedsstandard sigter mod at beskytte.

Søgningen efter følsomme data fortsætter gennem hele systemets levetid. Alle hændelser relateret til identificerede følsomme data er spores og logges . Mens datalagrene overvåges, analyserer systemet også alle brugerkonti . Det gennemfører UEBA for at få et samlet overblik over normal aktivitet, så den derefter kan identificere unormal adfærd. Naturligvis genererer usædvanlige aktiviteter, der berører følsomme data, en advarsel.

Udover data og brugerovervågning kontrollerer tjenesten dataoverførsler over netværket, i e-mails og på memory sticks. Enhver uautoriseret aktivitet bliver blokeret. Systemet indeholder også efterforskningsværktøjer til historisk dataanalyse og responsmetoder plus overvågningssystemer, såsom en tastetrykslogger, der kan anvendes på mistænkelige brugerkonti.

Teramind DLP forhindrer datatab, overvåger for datatyverihændelser og undersøger derefter hændelser, efter de er sket. Dette er et komplet databeskyttelsessystem til insider trusselshåndtering .

Fordele:

  • Meget visuel rapportering og overvågning i realtid
  • Bygget med overholdelse i tankerne og tilbyder forudkonfigurerede rapporter
  • Går ud over filovervågning med muligheder for aktiv sessionsovervågning og keylogging
  • Er meget omfattende – ideel til komplekse netværk og virksomheder

Ulemper:

  • Platformen forsøger at gøre det hele, hvilket kan være overvældende for dem, der kun ønsker at bruge værktøjer til registrering af insidertrusler
  • Denne platform har en stejlere indlæringskurve sammenlignet med konkurrerende produkter
^