Dine største cybersikkerhetstrusler er inne i bedriften din

bots


Vi er glade for å bringe Remodel 2022 tilbake personlig 19. juli og nesten 20. – 28. juli. Bli med AI- og dataledere for innsiktsfulle samtaler og spennende nettverksmuligheter. Registrer deg i dag!


Det gjøres mye ut av mangfoldet av eksterne sikkerhetsrisikoer og sårbarheter som bedrifter står overfor, og med rette.

Når det er sagt, kan mange organisasjoner overse deres potensielt mest skadelige trussel: deres ansatte og andre pålitelige innsidere.

Enten det er tilsiktet eller utilsiktet, innsiderisiko og innsidetrussel kommer i mange former og har skadelige konsekvenser – og i denne post-pandemiske epoken preget av økonomisk usikkerhet og arbeidsstyrkefrafall, er de på vei oppover.

En 2022 kostnad for innsidetrusselundersøkelse av Ponemon Institute [subscription required] fant at insiderledede cybersikkerhetshendelser har økt med 44 % i løpet av de siste to årene, med gjennomsnittlige årlige kostnader for kjente insiderledede hendelser opp med mer enn en tredjedel til $15,38 millioner.

Dette er skadelig på mange fronter fordi, til syvende og sist, “et selskaps intellektuelle eiendom er en kritisk ressurs,” bemerket Paul Furtado, visepresidentanalytiker i Gartner. “Formidlingen av denne informasjonen til eksterne parter eller konkurrenter kan ha en vesentlig effekt på et selskaps inntekter,” sa han, “eller kan påvirke merkevaren deres negativt.”

Eller potensielt verre.

Hva utgjør innsiderisiko og innsidetrussel?

Begrepene “insiderrisiko” og “insidertrussel” brukes ofte om hverandre, males de er forskjellige.

Innsiderisiko refererer til alle knyttet til et gitt selskaps systemer. Enten en ansatt, entreprenør eller tredjepart, hvis de har – eller har hatt – autorisert tilgang, utgjør de en risiko. De har potensial til å deal with på en måte som kan påvirke en organisasjon negativt, enten det er ondsinnet eller utilsiktet, ifølge Furtado.

“Når vi ser på innsiderisiko, ser vi på 100 % av de tilknyttede ansatte/kontraktører som har tilgang til organisasjonens knowledge,” forklarte han.

En innsidetrussel refererer i mellomtiden til intensjon – det vil si spesifikke brukere som begår isolerte handlinger og er motivert av ondsinnede mål. For eksempel en avgående ansatt som tar med seg proprietære selskapsdata når de går, eller en misfornøyd ansatt som sletter viktig eller sensitiv informasjon fra en bedriftsserver eller skykonto.

“Den beste måten å beskrive det på er at hver innsidetrussel startet som en innsiderisiko, males ikke hver innsiderisiko blir en innsidetrussel,” forklarte Furtado.

Eksempler på direkte innsidetrussel inkluderer spionasje, svindel, tyveri av delicate knowledge, bevisst ødeleggelse, skade eller hindringer (sabotasje), eller samarbeid med – eller press fra – tredjeparter.

Lekkasje av et selskaps delicate knowledge kan også svært ofte være utilsiktet – på grunn av en ulykke (sende e-post til feil mottaker), uforsiktighet eller annen uaktsomhet. På samme måte kan ansattes legitimasjon bli kompromittert på grunn av ekstern utnyttelse.

Ikke importer innsiderisikoer eller trusler

Dessuten går det begge veier, påpekte Furtado. Når et selskap ansetter en ansatt, kan alle knowledge som nyansettelser bringer med seg, skape et juridisk ansvar. For eksempel, hvis en ingeniør blir ansatt fra en konkurrent og henter inn prototypeinformasjon fra denne konkurrenten, kan deres nye arbeidsgiver bli funnet ansvarlig for å akseptere og bruke proprietære knowledge.

En dataeksponeringsrapport fra programvareselskapet Code42 for nettsikkerhet [subscription required] angir hyppigheten av slik informasjonsoverføring: 63 % av de ansatte sier at de tok med seg knowledge fra sin tidligere arbeidsgiver for å bruke i sin nåværende jobb. Tilsvarende sa 71 % av organisasjonene at de ikke var klar over hvor mye sensitiv knowledge deres avgående ansatte vanligvis tar med seg.

Til syvende og sist kommer det ned til menneskets natur, sa Carolyn Duby, felt CTO med hybrid dataprogramvareplattformselskapet Cloudera. “Uansett hvor mye teknologi som brukes for å sikre en infrastruktur, vil det alltid være risiko forbundet med måten mennesker oppfører seg på,” sa hun. “Menneskelig atferd er ofte det svakeste sikkerhetsleddet.”

Medvirkende faktorer

Mens innsiderisiko og innsidetrusler har utgjort betydelige problemer for bedrifter i noen tid nå – og dette lenge før dagens digitale tidsalder – har de naked blitt mer utbredt midt i den såkalte «digitale revolusjonen». Information blir akkumulert mer og mer for hver dag, og det er uvurderlig for bedrifter – males samtidig øker det deres sårbarhet.

Dette har blitt forverret naked det siste året eller så midt i COVID-19-pandemien og den påfølgende Nice Resignation (eller “Huge Stop” eller “Nice Reshuffle”), et fenomen som startet i USA og siden har blitt globalt.

Det er mye rapportert at den største utvandringen av ansatte som er registrert skjedde i 2021. Naked i november 2021 sa nesten 4,5 millioner mennesker i USA frivillig opp, og satte en månedlig rekord gjennom tidene.

Denne mobiliteten av mennesker har blandet seg med det brå skiftet – i noen tilfeller over natten – til fjernarbeid. Alt dette har skapt “en perfekt storm for delicate knowledge å forlate organisasjoner,” sa Furtado.

I mange tilfeller var organisasjoner ikke forberedt på å flytte til en ekstern arbeidsstyrke i den skalaen de måtte, påpekte han. Sammen med dette er sikkerhetssynligheten som tilbys i kontormiljøer sterkt redusert i en verden av eksterne arbeidsmiljøer.

“Å føle seg komfortabel i sine egne rom og vite at de ikke har noen som ser over skulderen eller sitter ved siden av dem, kan (ansatte) føle seg bemyndiget til å “utforske” nettverket deres på jakt etter sensitiv informasjon, sa Furtado.

Duby var enig: «Når du jobber eksternt, er du mindre tilkoblet, ikke sant? Det er mindre tilsyn.»

Det kan også hende at ansatte rett og slett ønsker å gjøre arbeidslivet enklere – og dermed uforvarende sette organisasjonen sin i fare – ved å laste ned delicate knowledge til enheter som ikke er bedrifter eller apper som ikke er godkjent av bedrifter.

En lignende medvirkende faktor er økningen i BYOD (ta med egne enheter). I følge Tech Professional Analysis praktiserer 59 % av organisasjonene BYOD. Og ifølge Microsoft-undersøkelser bruker 67 % av de ansatte sine egne enheter på jobben.

Eksperter påpeker at dette naked har utvidet angrepsområdet for nettkriminelle, samtidig som det har skapt en mengde datasiloer som er langt utenfor en organisasjons kontroll.

Så er det den generelle uttørkingen av svindelmuligheter andre steder. For eksempel anslås milliarder av greenback å ha blitt stjålet fra hjelpeprogrammer midt i COVID-19. Males med pandemien avtakende og regjeringer som slår ned på svindlere, “begynner folks som høster avlingen i COVID-land nå å rette oppmerksomheten mot andre områder,” sa Duby.

Grunnleggende retningslinjer og prosedyrer

Ingen selskaper er immune mot innsidetrussel – så det er viktig at de gjør så mye de kan for å beskytte seg selv, advarer eksperter.

Det første, mest grunnleggende, males viktige beskyttelseslaget er utviklingen av et formelt innsiderisikostyringsprogram, sa Furtado. Dette bør tydelig etablere og skissere retningslinjer og regler rundt knowledge, datahåndtering og hva ansatte, kontraktører og andre innsidere kan – og enda viktigere, ikke kan – gjøre med knowledge. Og, like viktig, bør det være clear og kommunisert til alle i organisasjonen.

“Dette er ikke noe som bør forhastes,” understreket Furtado. “Du har ikke luksusen av å ta dette feil – den adverse virkningen av et dårlig drevet innsiderisikoprogram kan være ødeleggende for kulturen i en organisasjon og faktisk forårsake større risiko når folks forlater.”

Andre eksperter foreslår å utføre regelmessig trussel- og risikoanalyse, gi kontinuerlig opplæring og observere modeller av “null tillit” eller “have to know”-grunnlag.

Å etablere strenge, grundige offboarding-løsninger er også avgjørende for å redusere risikoen for innsidetrusler og datainnbrudd, ifølge Jony Fischbein, CISO med Test Level Software program Applied sciences. Som en del av dette bør logger sjekkes grundig før en ansatt slutter for å sikre at ingen knowledge er overført til en ekstern kilde. Videre bør selskaper fortsette å regelmessig overvåke kontoer for å sikre in any respect tidligere gitt tilgang er tilbakekalt, sa han.

“Det er her mange organisasjoner har en tendens til å falle ned, spesielt når de er mer fokusert på det nye talentet som kommer inn i stedet for talentet de gir slipp,” skrev Fischbein i et blogginnlegg på nettstedet World Financial Discussion board . “Det er et av de sjeldne tilfellene innen cybersikkerhet der det å se tilbake er like viktig, om ikke mer, enn å se fremover.”

Kunstig intelligens og atferdsendring

Signaturbasert deteksjon er flott for allerede kjente trusler. Males en atferdsbasert, AI-drevet tilnærming kan tilpasse seg nye trusler ved å se etter anomalier som endringer i oppførselen til en server eller endepunktenhet, sa Duby.

Denne tilnærmingen kan gjøre det mulig for bedrifter å utvikle «god cybersikkerhetshygiene»-praksis, for eksempel å evaluere systemlogger for å identifisere feilkonfigurasjoner før de blir sårbarheter i produksjonsmiljøer, eller å avdekke anomalier som for eksempel at ansatte har tilgang til systemer som ingen av deres jevnaldrende gjør.

For å forstå alle deres systemer og applikasjoner og hvem som har tilgang til hva og hvorfor, bør de alltid holde et øye med flyten av knowledge, datamønstre og brukeratferd, sa Duby. Og geografisk distribuerte organisasjoner – spesielt de med eksterne arbeidsmodeller – må være i stand til å håndtere politiske forskjeller på tvers av ulike group, regioner og spesifikke lokasjoner.

“Dette krever mer enn teknologiendringer,” sa hun. “Det krever en ny sikkerhetskultur.”

Spesielt når du jobber hjemmefra på personlige enheter, er det avgjørende at ansatte får opplæring i å unngå en rekke enkle sikkerhetsbrudd. For eksempel, en ansatt som er på en videosamtale flankert av en tavle som inneholder proprietær informasjon, logger på jobb fra en delt enhet og glemmer å logge ut, eller “ikke skjermer en bærbar PC fra nysgjerrige øyne på en kafé,” sa Duby.

“Å skape en sikkerhetskultur betyr å bygge passende opplærings- og bevissthetskampanjer inn i daglige interaksjoner,” understreket Duby.

En “menneskesentrisk” tilnærming

Males når de bekjemper innsiderisiko og innsidetrussel, kan selskaper ha en tendens til å overse det åpenbare: grunnleggende menneskelige og ledelsesmessige ferdigheter.

Bedrifter må ha en “menneskeorientert tilnærming for å holde tritt med ansatte, vite hvordan de har det, hva de trenger – for i dag er ting tøffe, ikke sant?” sa Duby. “Du må kjenne menneskene i organisasjonen din og unngå disse tingene.”

Som hun sa det handler det om å gjøre rett ved ansatte, lytte til dem, forstå og hjelpe dem, sørge for at de føler seg knyttet og forstått. Dette bør også kombineres med en kultur for åpen og ærlig kommunikasjon.

Dette er “god, grunnleggende ledelse,” sa hun. “Ærlig talt, det koker naked ned til det grunnleggende om of us ferdigheter.”

Og selv om det burde være gitt, “når du kommer til en stor bedrift, kan det være veldig vanskelig.”

Hun understreket det faktum at omfattende opplæring og en-til-en-engasjementer ikke bør komme i type av «gjentatte dommedagsmeldinger som arbeidere til slutt tuner ut».

I stedet bør de være en integrert del av en bedrifts inkluderings- og velværeaktiviteter. “Fordi ved å bli bedre kjent med dine ansatte, kan du identifisere potensielt risikabel atferd og adressere dem før lekkasjer oppstår,” sa Duby.

Til syvende og sist, selv om organisasjoner praktiserer god sikkerhetshygiene, vil innsiderisiko og innsidetrussel – og metodene som de utføres med vilje eller utilsiktet – fortsette å utvikle seg og bli stadig mer komplekse. Dette krever at bedriftene er ekstra på vakt.

“Jeg tror historien ikke er fullstendig skrevet her,” sa Duby. “Fordi vi akkurat begynner å se effektene av pandemien og den retailer resignasjonen.”

VentureBeats oppdrag skal være et digitalt bytorg for tekniske beslutningstakere for å få kunnskap om transformativ bedriftsteknologi og transaksjoner. Lær mer om medlemskap.

admin

Leave a Reply

Your email address will not be published.