De ‘trusted insider’ is groot beveiligingsrisico

De ‘trusted insider’ is altijd een beveiligingsrisico geweest. Of het nu een directeur is met toegang tot gevoelige informatie of een beheerder met rechten voor een heel netwerk. Onderzoek wijst echter uit dat dit risico de afgelopen twee jaar enorm is gegroeid: het aantal incidenten door nalatige medewerkers steeg met 26 procent, en het aantal interne incidenten door kwaadaardige opzet zelfs met 53 procent.

Uit het jaarlijkse CyberArk Advanced Threat Landscape-onderzoek kwam naar voren dat ook security-managers niet vrijgesteld kunnen worden van risicovol gedrag. 85 procent gaf aan dat zij zich zorgen maken zelf verantwoordelijk te zijn voor het blootstellen van de organisatie aan cybercrime.

Kwaad kunnen

Dat kwaadwillenden ook echt kwaad kunnen is bekend. Bedrijven moeten zich echter ook zorgen maken over de menselijke fouten of goede bedoelingen die verkeerd uitpakken. De meest voorkomende problemen zijn verkeerde systeem­configuraties, slecht patch-beheer, het gebruik van standaard instellingen en wachtwoorden, verloren apparatuur en het versturen van gegevens naar een verkeerd mailadres. Meestal betreft het verkeerd menselijk handelen. Soms is een reply-all al genoeg. In andere gevallen betreft het echter ook slecht beleid of beheer. Configuraties en patch-management zijn uiteraard goed door middel van beleidsprocessen vast te leggen.

Fouten zijn nooit volledig te voorkomen, maar als 64 procent van de organisaties aangeeft dat nalatigheid de oorzaak van de meeste incidenten is, dan is er noodzaak tot verbetering. Vaak zit het probleem in te veel bevoegdheden. Een wildgroei aan accounts met (lokale) beheerrechten en te weinig toezicht op privileged accounts ligt aan de basis van veel security-issues.

Minste weerstand

Aanvallers zijn op zoek naar de weg van de minste weerstand. En de weg naar slechte security is geplaveid met goede voornemens. De meeste werknemers werken uiteraard hard en hebben het beste voor met het bedrijf. Maar soms kan juist die ijver voor problemen zorgen: extra tooltjes om iets voor elkaar te krijgen, inloggen vanaf onbeveiligde netwerken om werk af te maken; allemaal goed bedoeld, maar het biedt aanvallers een makkelijke ingang. Security wordt nog te vaak gezien als lastige beperking. Zonder cultuuromslag blijft het voor beheerders enorm lastig dit via gedrag in goede banen te leiden.

De eerste stap daarin is bewustwording en training. Iedereen moet de risico’s inzien, het beleid snappen en de tegenmaatregelen accepteren. Gelijktijdig is het echter zaak de juiste beveiliging in stelling te brengen, aanvallen zo snel als mogelijk af te weren en continue analyse door te voeren.

Beveiliging wordt pas echt effectief door de aandacht op de dreiging te leggen in plaats van op het individu. Dit betekent als eerste onnodige toegangsrechten beperken. Er zijn allerlei redenen voor interne risico’s, onbewust of met opzet. Alleen met de juiste, strikte beleidsregels kunnen bedrijven zich hiertegen beschermen.

Marnix Kraaij is werkzaam bij CyberArk