Administrer insidertrusler: Å vite hvor risikoen er

For ofte ser vi insiderrisiko som et homogent trussellandskap; ansatte med tilgang gjør dårlige ting, og det er virksomhetspåvirkning. Selv om denne beskrivelsen er noe nøyaktig, gir den ikke nok informasjon å håndtere risiko. Det vi trenger er et dypere blikk på hvilke typer trusler som eksisterer, forretningsrollene som er involvert og tegnene som vanligvis eksisterer når en ansatt, leverandør, etc. ikke overholder retningslinjer, lov eller etikk. Bevæpnet med denne informasjonen, kan organisasjoner implementere administrative, tekniske og fysiske kontroller for å dempe innsiderisikoen.

I denne åpningsartikkelen ser vi på de tre kategoriene insidertrusler som definert i CERT Guide to Insider Threats: How to Prevent, Detect and Respond to Information Technology Crimes (Cappelli, More, & Trzeciak) og på The CERT Insider Threat Senter. I del 2 vil vi diskutere anbefalte metoder for å oppdage, inneholde og svare på insidertrusler som er planlagt, pågår eller fullført.

Innside trussel definert

Å definere insidertrusler krever forståelse av hvem og hva som er involvert. De tre primære kategoriene av tilhørende angrep er tyveri av åndsverk, svindel og skade på informasjonsressurser. I hver kategori forteller CERT-forskning oss at en spesifikk forretningsrolle vanligvis er ansvarlig. Se tabell A.

Tabell A

Tyveri av åndsverk

Intellektuell eiendom (IP) er enhver "skapelse av sinn" opprettet eller eid av en organisasjon. For våre formål inkluderer eksempler

  • Ingeniørdesign / tegninger
  • Programvare laget internt
  • Forretningshemmeligheter

I mange situasjoner mener skaperne av IP (ingeniører, programvareutviklere, etc.) at de har eierrettigheter. I andre er økonomisk gevinst eller profesjonell fremgang driveren for tyveri. Tippepunktet fra god til useriøs ansatt skjer vanligvis når skaperne ikke får anerkjennelse for arbeidet sitt, eller når de ikke oppfatter seg som tilstrekkelig kompensert og verdsatt. CERT lister opp flere mål for IP-tyveri, inkludert

  • Å starte en ny virksomhet
  • Gi et konkurransefortrinn for en ny arbeidsgiver
  • Gi det til et fremmed land (spesielt et land som en ansatt har kulturelle, politiske eller etniske bånd med)

Fordi folk som har tilgang til IP, mest sannsynlig stjeler IP, kan deteksjon være vanskelig. Imidlertid er nøye oppmerksomhet mot vanlige IP-fjerningsveier det første trinnet i å redusere risikoen for IP-tap, inkludert

  • Firmas e-post
  • Ekstern nettverkstilgang
  • Lagring på bærbare datamaskiner og andre mobile lagringsenheter
  • Filoverføringstjenester (f.eks. FTP eller SFTP)

Bedrageri

Bedrageri er tyveri av finansielle eiendeler. Ansattesvindel er mye mer vanlig enn de fleste organisasjoner tror. I en artikkel på CFOOnline.com, skriver Tracy L. Coenen, "Eksperter anslår at det i gjennomsnitt koster selskaper 3% til 5% av omsetningen hvert år." For eksempel en lønningskontor som oppretter en falsk ansatt, betaler den ansatte og deretter samler inn og innløser sjekken, begår svindel. Andre typer svindel inkluderer misbruk av utgiftskontoer eller betaling til leverandører når de ikke leverer tjenester eller produkter. Folk dypt i gjeld uten håp om å grave seg ut pleier å toppe listen over insidertrusler i denne kategorien.

Bedrageri oppstår når tre betingelser er oppfylt, som vist i figur A. Press er vanligvis et tilsynelatende overveldende økonomisk behov. Mulighetene består av sårbarheter i en organisasjons prosesser, sikkerhet osv. Som lar en presset ansatt stjele med liten sjanse for å oppdage. Rasjonalisering skjer når en ansatt overbeviser seg om at behovet hans er større enn etiske eller moralske bekymringer. En ansatt kan også rasjonalisere tyveri basert på hvordan hun oppfatter ledelsesbehandling eller utakknemlighet for forretningsverdien hun har gitt. Å fjerne den ene siden av trekanten eliminerer eller reduserer risikoen for svindel betydelig eller betydelig.

Figur A

Fraud Triangle Utviklet av Donald Cressey

Bedrageri forekommer på mange kanaler, og involvering kan strekke seg utover ansatte til eksterne kriminelle individer eller organisasjoner. Igjen søker ansatte som bruker svindel vanligvis økonomisk gevinst. Metoder inkluderer

  • Selger stjålet informasjon
  • Endre informasjon for å realisere økonomiske gevinster for deg selv eller andre
  • Motta betaling for å legge til, endre eller slette informasjon

De fleste ansatte som begår svindel unngår komplekse teknologiske veier. For eksempel krever de to siste eksemplene over bare endring av en database uten fjerning av data. Når data fjernes, blir de ofte lastet ned til en hjemme-datamaskin, kopiert til mobil lagring, fakset eller sendt e-post.

Skader på informasjonsressursene

Skader på informasjonsressurser er vanligvis et forsøk på å bryte en eller flere forretningsprosesser, og dermed resultere i betydelig skade på virksomheten. I de fleste tilfeller er det bare noen med administratoradgang som kan oppnå disse målene. For eksempel kan en programmerer plante en logikkbombe som ødelegger en database, skader serverprogramvaren uopprettelig, eller får et program til å utføre på uventede måter. I tillegg til logiske bomber, er rekonfigurering av nettverksenheter på måter som forårsaker betydelig tap av produktivitet en uhyggelig ondsinnet handling som ofte er vanskelig å sanere.

Administratorer ønsker ikke alltid å gjøre seg kjent med en stor, synlig hendelse. Snarere gir oppretting av ekstra administratorkontoer ofte en angriper langsiktig tilgang for små, men kostbare treff mot en nåværende eller tidligere arbeidsgiver. Organisasjoner uten riktig loggstyring vil ha en veldig vanskelig tid å tildele ansvar når den useriøse kontoen til slutt blir identifisert.

sammensvergelser

Ansatte har ikke alltid tilgang til alt som trengs for tyveri eller systemskade. Mange organisasjoner løfter barrierer med atskillelse av plikter som håndheves med rollebasert tilgangskontroll. Initiativrike insidertrusler omkranser disse kontrollene ved å bruke samarbeid.

Hva er samvirke?

Peter Vajda skriver, "Samvirke tar tak når to (eller flere) individer koopererer sine verdier og etikk for å støtte deres egne - og andres - misgjerninger." Stikkordet er støtte . Mens en ingeniør, for eksempel, kan ha full tilgang til alle relevante komponenter i IP-en han eller hun har tenkt å stjele, kan det hende at ikke en lønns- eller kundeansvarlig kontorist. Følgelig kan den som planlegger tyveri rekruttere nøkkelansatte med tilgang til informasjon eller prosesser som ellers ikke er tilgjengelig.

Det er vanligvis de mest pålitelige ansatte som begår disse forbrytelsene. Samvirke øker risikoen for gjerningsmennene, men det reduserer også mulighetene for å oppdage tyveri. Omgåelse av pliktseparasjon via samvirkeomkretser en nøkkelkontroll. I følge CERT-forskning er det ikke uvanlig at flere individer (inkludert utenforstående) deltar i langsiktig svindel.

Sannsynlighet for samarbeid

Ledere liker å tro at de ansatte vil oppføre seg med integritet, men samarbeid er en vanlig årsak til insiderrisiko. I følge en nyhetsbrevartikkel om svindel som ble lagt ut på EFP Rotenberg-nettstedet, utgjør "samvirke så mye som 40 prosent av svindel, med et medianktap på omtrent $ 485 000 - nesten fem ganger det som er begått av forbrytelser utført av en enkeltperson." Mengden tap fra svindel forbundet med samvirke løfter den tilhørende risikoen betydelig til nivåer som trenger nøye oppmerksomhet av sikkerhetsteam og ledelse.

Det siste ordet

Insidertrusler kan potensielt koste organisasjoner mye hvert år gjennom tap av IP, svindel og skade på informasjonsressursene. Hver trusselkategori involverer stort sett en spesifikk rolle eller et sett med forretningsroller og forskjellige angrepsvektorer. I del 2 skal vi utforske anerkjennelse av ansatte og implementering av kontroller for å dempe innsidemuligheter.

© Copyright 2020 | mobilegn.com