Exabeam: Insider threats, 3 bekende gevallen en 4 preventieve maatregelen.

Exabeam biedt oplossingen voor security intelligence en beheer om organisaties te helpen hun meest waardevolle informatie te beschermen. Het Exabeam Security Intelligence Platform combineert op unieke wijze onbeperkte gegevensverzameling, machine learning voor geavanceerde analyses en geautomatiseerde incident respons in een geïntegreerde set van producten.

Wat zijn Insider Threats?

Bedreigingen van binnenuit zijn beveiligingsrisico’s die hun oorsprong vinden in de organisatie. De dreiger is niet noodzakelijkerwijs een huidige werknemer of functionaris in de organisatie. Bedreigingen van binnenuit kunnen consultants, voormalige werknemers, zakenpartners of bestuursleden zijn.

Er is een breed scala aan bedreigingen van binnenuit, elk met zijn eigen gevolgen voor de beoogde organisatie. Dit artikel gaat in op belangrijke voorbeelden van echte bedreigingen van binnenuit en licht verschillende technieken en technologieën toe die kunnen helpen bij de bescherming van organisaties.

Voorbeelden van bedreigingen met voorkennis:

Waymo

Waymo is een bedrijf gewijd aan de ontwikkeling van autonome auto’s, oorspronkelijk opgericht door Google. In 2016 verliet Anthony Levandowski, een lead engineer, Waymo. Hij begon zijn eigen bedrijf voor zelfrijdende auto’s, Otto genaamd.

Enkele maanden na de lancering van Otto nam Uber het bedrijf over. Wat Uber vooral overnam waren bedrijfsgeheimen, die Levandowski stal van Google. Sommige van de gestolen informatie omvatte marketinginformatie en video’s van testritten, terwijl andere bestanden vertrouwelijke PDF’s, stukjes broncode en zelfs schema’s en tekeningen van simulaties, Light Identification Detection and Ranging (LIDAR)-technologieën en radars bevatten.

Uit een onderzoek bleek dat Levandowski niet gelukkig was toen hij bij Google werkte, en dat zijn acties met voorbedachten rade waren. In 2015 begon Levandowski te praten over een vertrek bij Google. Hij rekruteerde ook collega’s en nodigde hen uit om voor zijn startup te werken. Toen Uber begon met de overname van Otto, ontdekten leidinggevenden van Google de waarheid.

Ongeveer een maand voordat Levandowski ontslag nam, verbond hij zijn laptop met een belangrijke server. Op deze server werd intellectueel eigendom van Google opgeslagen. Levandowski downloadde ongeveer 14.000 bestanden en kopieerde de bestanden naar een externe schijf. Om alle sporen van zijn acties uit te wissen, verwijderde hij alles.

Waymo spendeerde 1,1 miljard dollar, tussen 2009-2015, aan de ontwikkeling van hun technologie. Uiteindelijk bewees Waymo dat hun bedrijfsgeheimen waren gestolen. Ze kregen 245 miljoen dollar in aandelen Uber, als compensatie voor de diefstal. Daarnaast stemde Uber ermee in de gestolen bedrijfsgeheimen niet te gebruiken voor Uber hardware en software.

Capital One

Capital One is een bankholding. Ook zij werden geconfronteerd met een insider threat afkomstig van een externe leverancier. Ten tijde van de inbreuk maakte Capital One gebruik van de clouddiensten van Amazon Web Service (AWS). Een voormalige software engineer van AWS hackte Capital One via een door haar ontdekte kwetsbaarheid.

De hacker ontdekte een verkeerd geconfigureerde web application firewall en gebruikte deze om toegang te krijgen tot de rekeningen en creditcard applicaties van meer dan 100 miljoen Capital One klanten. Uiteindelijk heeft het bedrijf het lek gedicht en aangekondigd dat “er geen creditcardnummers of inloggegevens zijn gecompromitteerd”.

De hacker die toegang kreeg tot de gegevens van Capital One schepte op over haar prestaties. Ze deelde haar hacktechniek met collega’s op Slack, een online chatdienst. Ze publiceerde de informatie ook op GitHub, onder haar echte naam, en pochte op sociale media.

Psychologen noemen dit soort gedrag van insider threat “leakage” omdat de insider threat hun plannen en acties lekt. Uiteindelijk werd de hacker gearresteerd. Ze werd beschuldigd van computerfraude en misbruik. Helaas schat Capital One de kosten van de inbreuk op 150 miljoen dollar.

Boeing

Boeing is een veteraan lucht- en ruimtevaartbedrijf dat een van de langste aanvallen met voorkennis onderging. Gedurende verschillende decennia, van 1979 tot 2006 toen de insider threat werd gepakt, stal de dader informatie van Boeing en Rockwell.

De bedreiging met voorkennis was in dit geval een werknemer van Boeing. De echte werkgever van deze speler was echter de Chinese inlichtingendienst, die hem de opdracht gaf informatie te verwerven die China zou helpen zijn ruimteactiviteiten te verbeteren.

Naast gegevens over ruimteprogramma’s stal de insider threat ook informatie over militaire productie. De omvang van de diefstal blijft tot op heden onbekend.

Preventie van bedreigingen van binnenuit:

Automatiseren van het wissen van gegevens

Om aanvallen door insiders te voorkomen, moeten organisaties het automatisch wissen van gegevens implementeren, zodra werknemers de organisatie verlaten. Gewoonlijk worden Active Directories van voormalige werknemers verwijderd wanneer zij vertrekken. Niet alle organisaties vergeten echter de gegevens te wissen die werknemers op hun eigen apparaten hebben opgeslagen.

Werknemers kunnen de gegevens op hun apparaten gebruiken om toegang te krijgen tot de middelen van de organisatie of gebruik te maken van bedrijfskritische informatie en bedrijfsgeheimen. Hoewel het mogelijk is om dit proces handmatig uit te voeren, kan dit tijd kosten, waarin een aanval door insider threat kan plaatsvinden. Het automatiseren van processen voor het wissen van gegevens kan ervoor zorgen dat bedreigingen van binnenuit geen toegang meer hebben tot bedrijfsgegevens.

Samenwerking tussen afdelingen

Om ervoor te zorgen dat werknemers niet meer privileges krijgen dan ze nodig hebben om hun taken en verantwoordelijkheden uit te voeren, moeten verschillende afdelingen in de organisatie samenwerken. De afdelingen HR, IT en beveiliging moeten regelmatig bijeenkomen om de privileges in de hele organisatie te beoordelen en vast te stellen.

Op die manier kan HR de IT- en beveiligingsteams informeren wanneer werknemers vertrekken, en kan het beveiligingsteam onmiddellijk privileges intrekken. HR kan IT ook informeren over ontslagen, werknemers met prestatiebeoordelingen en werknemers die een ontslagbrief hebben ingediend. Hierdoor kan IT nauwlettend toezicht houden op werknemers in gevoelige situaties, die een hoger risico lopen op een insider threat.

Auditing, monitoring en alarmering

Hoe meer zichtbaarheid de organisatie heeft, hoe beter zij is toegerust om gegevens en middelen te beschermen tegen uitbuiting door insider threats. Door praktijken en hulpmiddelen voor continue monitoring en auditing te implementeren en mechanismen voor real-time waarschuwing toe te voegen, kunnen organisaties toezicht houden op activiteiten en leren over verdacht gedrag voordat het uitmondt in een inbreuk.

Bewakingssystemen kunnen het gedrag van gebruikers analyseren, verdachte activiteiten vaststellen en vervolgens beheerders waarschuwen en/of reactieprocessen in gang zetten. Continue en proactieve controle kan ervoor zorgen dat organisaties weten hoe hun gegevens worden gebruikt, en zo nodig wijzigingen doorvoeren voordat de risico’s escaleren.

Gerelateerde inhoud: lees onze gids over indicatoren voor bedreigingen van binnenuit

Bewustzijnstraining implementeren

Niet alle bedreigingen van binnenuit zijn kwaadaardig. In feite worden veel organisaties gekraakt omdat werknemers onzorgvuldig of onwetend zijn. Deze insider threats worden vaak misleid door kwaadwillende actoren, maar ze kunnen ook een kwetsbaarheid creëren zonder dat ze worden uitgelokt.

Wanneer werknemers bijvoorbeeld bestanden downloaden van onbekende bronnen, kunnen zij onbedoeld kwetsbaarheden introduceren. Niet alle organisaties hebben beleid met betrekking tot correct beveiligingsgedrag, en dan zijn werknemers zich niet bewust van de bedreigingen.

Het implementeren van een beveiligingsbewustzijnstraining kan helpen voorkomen dat werknemers ongewild een bedreiging van binnenuit worden. Hoe beter medewerkers geïnformeerd zijn, hoe beter zij in staat zijn de gegevens en activa van de organisatie te beveiligen. Beveiliging wordt dan een culturele en gezamenlijke onderneming, en werknemers kunnen zelfs kwetsbaarheden identificeren, zoals phishing-zwendel, voordat het risico escaleert tot een inbreuk.

Bescherming tegen insider bedreigingen met Exabeam

Exabeam is een SIEM-platform dat gemakkelijk te implementeren en te gebruiken is en geavanceerde functionaliteit bevat volgens het herziene SIEM-model van Gartner:

• Advanced Analytics and Forensic Analysis – dreigingsidentificatie met gedragsanalyse op basis van machine learning, dynamisch groeperen van peers en entiteiten om verdachte personen te identificeren, en detectie van laterale bewegingen.
• Gegevensverkenning, rapportage en retentie – onbeperkte retentie van loggegevens met vaste prijzen, gebruikmakend van moderne data lake-technologie, met contextbewuste log-parsing waarmee beveiligingsanalisten snel kunnen vinden wat ze nodig hebben.
• Threat Hunting – stelt analisten in staat actief op zoek te gaan naar bedreigingen. Biedt een point-and-click threat hunting-interface, waarmee regels en query’s kunnen worden opgesteld in natuurlijke taal, zonder SQL- of NLP-verwerking.
• Incident Response en SOC Automation – een gecentraliseerde aanpak van incident response, waarbij gegevens van honderden tools worden verzameld en een reactie op verschillende soorten incidenten wordt georkestreerd, via security playbooks. Exabeam kan onderzoeken, indamming en mitigatie workflows automatiseren.

De UEBA-oplossing (User and entity behavior analytics) van Exabeam detecteert afwijkend gedrag en zijwaartse bewegingen binnen uw organisatie, wat vooral belangrijk is voor het detecteren van bedreigingen van binnenuit. Het creëert automatisch tijdlijnen voor aanvallen, waardoor het gemakkelijker en sneller wordt om insiders te detecteren die op meerdere systemen en gebruikersaccounts actief zijn.

Mocht u meer informatie willen kunt u contact opnemen via info@exclusive-networks.nl of bel naar +31 (0)499 462121