Den typiske organisasjonen mister 5% av sin omsetning til bedrageri av sine egne ansatte hvert år, med de fleste tyverier begått av betrodde ansatte i konsernledelsen, drift, regnskap , salg, kundeservice eller innkjøp, ifølge Association of Certified Fraud sensorer (ACFE). Denne typen ondsinnet atferd med "privilegerte brukere" som har fått bred tilgang til selskapets data eiendeler har fanget oppmerksomheten til CIOs over hele landet
Det er ikke noe mysterium hvorfor. Insider brudd kan skade et selskaps omdømme, fortrinn og bunnlinjen, som strekker seg inn milliarder av dollar. Til tross for økt bevissthet og alvorlighetsgraden av risiko, en fersk Ponemon undersøkelse av 693 IT-profesjonelle, på oppdrag fra Raytheon avslørt bare 40% av IT-budsjettene har dedikerte midler til å bekjempe insider trusler.
En årsak til manglende finansiering er IT-sikkerhet budsjetter er i stor grad rettet mot å forsvare seg mot eksterne trusler, som er større i antall, men ikke nødvendigvis så ødeleggende i alvorlighetsgrad og skade på en organisasjon. Det ironiske i dette er markert i samme undersøkelse: 45% sier det er sannsynlig at sosiale ingeniører fra utenfor organisasjonen vil målrette privilegerte brukere å få sine rettigheter. Dette understreker at "insider" betyr ikke en person må være fysisk basert i en organisasjon, og at privilegerte brukere bør virkelig være fokus når vi snakker om innsidehandel trusler.
Så hvem er priviligert bruker?
I enhver bedrift, er priviligert bruker en ansatt med myndighet til å få tilgang til mer enn vanlige bedriftens data eller gjøre endringer i bedriftens nettverk. Bedrifter trenger privilegerte brukere fordi de har tilgang til kildekoden, filsystemer og andre eiendeler som tillater dem å oppgradere systemene eller gjøre andre tekniske endringer.
Fordi de har større tilgang til nettverket og er begrenset av færre kontroller , privilegerte brukere kan få tilgang til flere av sine selskaper intellektuelle eiendom, for eksempel bedriftens data eller konfidensiell informasjon om produktet. De har ofte muligheten til enkelt å komme seg rundt kontrollene som begrenser andre ikke-privilegerte brukere og de noen ganger misbruker hva som bør være midlertidige tilgangsrettigheter til å utføre oppgaver.
Et eksempel illustrerer problemet: Bob er logget på med vanlig nettverkstilgangsrettigheter, men mottar en helpdesk billett som krever ham til å logge ut og inn igjen som en systemadministrator. Når oppgaven er utført, forblir Bob logget inn som systemadministrator med utvidede rettigheter, utsette nettverket til en mye større sikkerhetsproblem hvis han skulle bli utsatt for et cyberattack.
En måte å takle det er ved fokus på Privilegert User Monitoring og Access (PUMA), som er avhengig av å overvåke menneskelig atferd å bestemme sammenheng med atferd og folks hensikt samt automatiserte verktøy som video replay for å holde et øye med privilegerte brukerens aktiviteter. Overvåking menneskelig atferd er spesielt viktig med privilegerte brukere fordi de ofte har kunnskap til å dekke sine spor, en prestasjon som blir mye vanskeligere med video replay og andre teknologier som kan ha en avskrekkende effekt av deres tilstedeværelse. Hvis privilegerte brukere vet du overvåker deres aktivitet, er det mindre sannsynlig å oppføre seg dårlig
I kjernen av den privilegerte brukeren problem er denne motsetningen. Med større tilgang til bedriftens PC eiendeler kommer større sikkerhetsrisiko . Den priviligert bruker kan være et selskap sikkerhet håndhever men også dens største sikkerhetsrisiko.
Sagt på en annen måte, hvis en privilegert bruker ønsker å gjøre dårlige ting, gjør deres forhøyet tilgang til bedriftens nettverk det lettere for dem. Men selv en velmenende priviligert bruker utgjør høy risiko. Når en systemadministrator eller nettverk ingeniør med forhøyede tilgang klikker på en ondsinnet lenke, på grunn av deres større tilgang til nettverket, er det langt mer sannsynlig å gjøre hele selskapet skade enn om en kontorsjef uten forhøyede tilgang klikker på den samme linken.
priviligert bruker trusselen viser ingen tegn til avtagende, delvis på grunn av økonomiske presset som har tvunget bedrifter til å prøve og gjøre mer med mindre staber, som fører til stressa ansatte som er sannsynlig å være mer uforsiktig om deres bruk av forhøyede tilgangsrettigheter. Og i dagens miljø selskaper har et større ansvar for å rapportere data tap av alle størrelser, så datatyveri ved privilegerte brukere på innsiden tiltrekker stor oppmerksomhet med betydelige negative konsekvenser for selskapets omdømme og aksjekurs.
Det legges opp til en realisering av selskaper som den største cyberthreat til sin organisasjon ikke kan være fra en ekstern angrep. Den mest alvorlige trusselen kan være fra en uvitende "privilegert bruker" kollega rett ned i hallen.
Begrensende risikoen
respondentene oppga at de to største utfordringene selskapene står overfor når adressering insider trusler har nok kontekstuell informasjon fra sikkerhetsverktøy (69%) og sikkerhetsverktøy som gir for mange falske positiver (56%). Endepunkt overvåking og revisjon verktøy tillater synlighet og kontekst, lindre disse utfordringene.
I tillegg den beste tilnærming til å dempe priviligert bruker misbruk er å utvikle en helhetlig og lagdelt strategi som implementerer gode løsninger, innebærer prosess og teknologi, og de fleste viktigere, innebærer en bedre forståelse av menneskelig atferd. Det er en vanlig myte blant IT-ledere som revisjon priviligert bruker aktivitet er for vanskelig og komplisert.
Sannheten er at priviligert bruker revisjon trenger ikke å være en komplisert teknisk utfordring hvis revisjon og overvåking prosessen er fleksibel , policy-basert, og gir ugjendrivelige henvisning til en bestemt priviligert bruker. Kunnskapen alene at en organisasjon bruker revisjon og overvåking teknologi er en stor avskrekkende mot priviligert bruker misbruk. Mange studier har blitt gjort for å bidra til å identifisere beste praksis for å dempe risikoen for privilegerte bruker trusler.
Mens det er en rekke verktøy som adresserer ulike aspekter ved priviligert bruker sikkerhet, det er ingen enkel teknologi som fullt demper problem. Gartner identifiserer løsninger som brukes for privilegert kontoadministrasjon (PAM) som et sett med teknologier som muliggjør bedrifter for å løse disse spesifikke behov:
Din bedrift trenger sine privilegerte brukere - kanskje den mest verdifulle spillere i enhver organisasjon. Men disse er de samme menneskene som også kan bli en super trussel hvis ikke riktig overvåket. Organisasjoner kan beskytte seg mot priviligert bruker trusler ved å implementere beste praksis og implementere en fleksibel policy-basert overvåking løsning som sikrer enterprise-wide synlighet i privilegerte brukerens aktiviteter. Nøkkelen til å dempe privilegium brukeren overgrep er evnen til å avgjøre kontekst og hensikt, som bare kan oppnås ved å overvåke menneskelig atferd.
Michael Crouse er direktør for Insider Threat strategier på Raytheon.