Herinner je je de eerste of laatste keer dat je ontdekte dat een gebruiker gevoelige informatie met de verkeerde mensen had gedeeld?
Bedrijven besteden grote hoeveelheden middelen en geld aan het opzetten van een luchtdicht DLP-beleid om bedrijfsgegevens te detecteren en te beschermen en te voorkomen dat deze in de verkeerde handen komen, hetzij opzettelijk of per ongeluk. Maar hoe goed de technologie ook is, of hoe waakzaam het beveiligingsteam is, er is altijd een wildcard – eindgebruikers.
Een bedrijf kan vaak detecteren of controleren wanneer een buitenstaander (niet-werknemer) fysiek of elektronisch toegang probeert te krijgen tot bedrijfsgegevens en probeert bedrijfseigendommen te stelen. De dief die moeilijker te detecteren is en die de meeste schade kan veroorzaken, is de insider – de werknemer met legitieme toegang. En of deze insider nu alleen steelt voor persoonlijk gewin of die insider een “spion” is, iemand die bedrijfsinformatie of producten steelt om een andere organisatie of een ander land ten goede te komen.
Figuur 1: Statistieken van het Insider Threat 2018-rapport
Uit de bovenstaande gegevens kunnen we zien dat insiderbedreigingen een echte zorg voor de meeste organisaties worden en dat actieve maatregelen worden genomen om het risico dat inherent is aan deze bedreigingen te beperken.
In dit artikel bespreken we hoe normale gebruikers gevoelige gegevens kunnen blootstellen door documenten verkeerd te classificeren, hoe kwaadwillende gebruikers kunnen profiteren van de codering om gegevens te exfilteren en hoe de nieuwe mogelijkheid van Microsoft Cloud App Security om inhoud te scannen in gecodeerde bestanden, evenals het bredere Microsoft Information Protection-aanbod organisaties kan helpen deze risico’s te beperken.
De onschuldige fout
Terwijl medewerkers op de moderne werkplek steeds meer technologisch onderlegd worden en nieuwe tools vinden om hun productiviteit te verbeteren, zijn ze zich niet altijd bewust van de veiligheidsimplicaties van hun acties.
Veel van onze klanten maken gebruik van Microsoft Information Protection- oplossingen om hun gegevens te classificeren, labelen en beschermen. Om de impact op eindgebruikers en hun vermogen om productief te zijn te minimaliseren, kiezen deze organisaties er vaak voor om hun gebruikers in staat te stellen zelf documenten te labelen, door automatische suggesties te bieden, maar niet automatisch te labelen of documenten te beschermen.
Een gebruiker kan per ongeluk een document labelen met zeer vertrouwelijke informatie met een label met een lage gevoeligheid dat minimale toegangsbeperkingen toepast. Aangezien het bestand al is gelabeld, wordt het niet gescand door de DLP-oplossing, maar is het mogelijk nog steeds toegankelijk voor onbevoegde personen.
De kwaadaardige insider
Een grotere bedreiging met een veel groter potentieel voor schade, is de boosaardige insider. Een kwaadwillende insider die actief bezig is met het exfiltreren van gevoelige informatie van de organisatie, of dit nu is voor persoonlijk gewin, bedrijfsspionage of andere redenen.
Deze kwaadwillende gebruiker kan misbruik maken van de mogelijkheid om bestanden te labelen om een bestand doelgericht te classificeren met een lage gevoeligheid, terwijl uiterst gevoelige gegevens extern worden gedeeld. Net als in het “onschuldige fout”-scenario zal dit het bestand toestaan om het scannen van de DLP-oplossing te passeren.
Hoe gaat Microsoft Cloud App Security met deze risico’s om?
Microsoft Cloud App Security heeft een breed scala aan hulpmiddelen voor het omgaan met insider-bedreigingen. Deze omvatten foutmeldingen van gebruikersgedrag, afwijkende gedrag detecties in de cloud en de nieuwe mogelijkheid om inhoud van versleutelde documenten te scannen.
Gebruikers anomalie detectie
Microsoft Cloud App Security wordt geleverd met een breed scala aan kant-en-klare anomaly-detectiebeleidslijnen die standaard worden geactiveerd zodra het product is ingeschakeld. Deze detecties kijken naar de activiteiten die gebruikers in goedgekeurde apps uitvoeren en definiëren een baseline voor gebruik, waarbij gebruik wordt gemaakt van UEBA-mogelijkheden om eventuele abnormale gedragingen in de toekomst automatisch te identificeren.
Een voorbeeld van dit soort detecties, gericht op insiderbedreigingen, is ‘Ongebruikelijke bestandsdownloadactiviteit per gebruiker’. Deze detectie zal een waarschuwing creëren wanneer een gebruiker bestandsdownloads uitvoert die verschillen van hun gebruikelijke patroon – een mogelijke indicator van een poging tot data-exfiltratie.
Cloud anomalie detectie
Naast de anomaly-detecties van gebruikers voor goedgekeurde apps, biedt Cloud App Security ook detecties om verdacht gedrag van gebruikers in niet-goedgekeurde applicaties te identificeren. Deze detecties zijn gebaseerd op de gegevens die we ontvangen en analyseren als onderdeel van onze Cloud Discovery -mogelijkheden.
Een voorbeeld van een dergelijke detectie is ‘Gegevensexfiltratie naar niet-goedgekeurde apps’ , waarin wordt gekeken naar de hoeveelheid gegevens die door gebruikers worden geüpload naar niet-goedgekeurde apps – een van de meest voorkomende scenario’s voor exfiltratie van insiderbedreigingen.
Inhoudscontrole van versleutelde bestanden
Recent is de mogelijkheid vrijgegeven voor een admin om MCAS in staat te stellen de inhoud van bestanden te scannen die worden beschermd door Azure Information Protection. Nadat deze functionaliteit is ingeschakeld, kan de beheerder MCAS-bestandsbeleid definiëren om de inhoud van versleutelde bestanden te inspecteren en een waarschuwing genereren of een actie ondernemen op basis van het gecontroleerde bestand.
Deze functionaliteit zorgt ervoor dat bestanden worden afgehandeld op basis van hun werkelijke inhoud, zelfs als ze verkeerd zijn gelabeld. Op deze manier wordt voorkomen dat gevoelige gegevens de organisatie verlaten – zowel bij vergissing als bij ontwerp.
Figuur 2: Beleidsinstelling om Microsoft Cloud App Security in staat te stellen bestanden te scannen die zijn beveiligd met AIP
Menselijke fouten en kwaadwillende bedoelingen zullen voor altijd deel uitmaken van de levenscycli van organisaties. Hoewel ze niet volledig geëlimineerd kunnen worden, is het doel IT- en beveiligingsbeheerders in staat te stellen dit risico tot een minimum te beperken. Met onze geavanceerde mogelijkheden en unieke reeks inzichten helpen Microsoft Cloud App Security en het bredere Microsoft Information Protection-aanbod organisaties om hun gevoelige informatie te beschermen – waar het zich ook bevindt of reist.
Aan de slag met Microsoft Cloud App Security
Wilt u aan de slag gaan met Microsoft Cloud App Security of heeft u nog geen Microsoft Cloud App-beveiliging? Neem contact op met onze specialisten en start vandaag nog met je reis naar een veiligere omgeving!
