Cyberincidenter som, avsiktligt eller ej, utförs av betrodda aktörer ökar kraftigt. Precis som med alla cyberattacker är åtkomst- och behörighetshantering en stor del av problemet. Den ekonomiska avmattningen har betydelse eftersom den leder till budgetminskningar, uppsägningar och allmän osäkerhet på arbetsmarknaden, vilket i sin tur leder till färre utbildningstillfällen och oroliga eller missnöjda medarbetare.
Insiderhoten är särskilt svåra att hantera eftersom de involverar medarbetare som, för att kunna utföra sitt jobb, ofta har tillgång till kritiska applikationer och känsliga data från hela organisationen. Detta samtidigt som de flesta säkerhetslösningarna ju fokuserar på att upptäcka när obehöriga personer har tillgång till nätverket.
För att effektivt kunna hantera insiderhoten måste företag se till att skydda det centrala identitetssystemet, identifiera de sårbarheter som insiders skulle kunna missbruka, automatiskt åtgärda riskabla förändringar i nätverket, identifiera attackvägar till kritiska tillgångar och stänga de bakdörrar som insiders kan ha lämnat öppna i samband med intrång. Det är extra viktigt för företag som befinner sig mitt i stora omställningar, exempelvis de som håller på att konsolidera affärskontor eller planerar uppsägningar. De behöver kunna vidta åtgärder mot misstänkta aktiviteter från högriskanvändare – till exempel anställda som kan vara på väg att lämna företaget eller befinner sig i riskzonen för en kommande uppsägning.
Insiderhoten ökar – igen
Även om externa hot får den största uppmärksamheten i media, så ökar även insiderhoten. Enligt Ponemon Institutes 2022 Cost of Insider Threats Global Report drabbas 67 % av företagen av 21 till 40 insiderincidenter per år – upp från 60 % 2020 – med en genomsnittlig kostnad på nära 5 miljoner kronor per incident. Insiderhot är notoriskt svåra att eliminera helt: Det tar drabbade i genomsnitt 85 dagar att stoppa en insiderrelaterad incident.
Obehöriga ligger bakom interna säkerhetsincidenter
Alla som har tillstånd att komma åt kritiska tillgångar kan potentiellt missbruka situationen, antingen av misstag eller avsiktligt. Misstag och slarv kan leda till skador på flera sätt, exempelvis av en slutanvändare som lämnar sin dator olåst eller en administratör som slarvar med säkerhetspolicyer för medarbetare som slutar. En insider kan agera för ekonomisk vinning eller för att hämnas. En säkerhetsstrategi som i första hand tar itu med varje fas av cyberattackens livscykel är avgörande för att skydda organisationer.
Den kraftiga ökningen av interna incidenter är en varning till organisationer som ännu inte har implementerat en heltäckande lösning för identifiering och identitetsskydd. Anställda, entreprenörer, leverantörer och partners kan orsaka stor skada på organisationer, antingen på grund av slarv eller av illvilja. Att skydda mot insiderhot kräver en omfattande strategi som tar hänsyn med varje fas av attackens livscykel.
Identitetsbaserade säkerhetsåtgärder för att skydda sig mot insiderhot
Active Directory (AD) och Azure Active Directory är de centrala identitetssystemen för 90 % av företagen. Organisationer behöver AD-specifika lösningar för att skydda kritiska identitetstjänster före, under och efter en attack.
- Före attack: Upptäck säkerhetsbrister som kan bana väg för åtkomst, som kan missbrukas av betrodda aktörer (till exempel konton med utgångna lösenord och inaktiva konton), förhindra vissa ändringar av medarbetare som sägs upp för att motverka intrång av missnöjda anställda, och säkra alla attackvägar till kritiska tillgångar.
- Under attack: Övervaka och sök kontinuerligt efter indikatorer på intrång (IOC), spåra riskfyllda ändringar av lokal AD och Azure AD, samt se till att automatiskt kunna återställa specifika ändringar som kan signalera en attack – till exempel oförklarade tillägg till domänadministratörerna grupp.
- Efter attack— Få åtkomst till forensiskt användbara data efter intrångupptäckt, såsom attacktekniker som används, samt stäng bakdörrar till AD och Azure AD
Med de här säkerhetsåtgärderna finns bra möjligheter att skydda Active Directory, och därmed kärnan i företagets system.
Av: Igor Baikalov, Chief Scientist på Semperis
