Trace Id is missing
Gå till huvudinnehåll
Microsoft Security

Vad är ett internt hot?

Utforska hur du skyddar din organisation mot insideraktivitet, inklusive användare med auktoriserad åtkomst som avsiktligt eller oavsiktligt kan orsaka en datasäkerhetsincident.

Internt hot har definierats

Innan insiders blir ett hot är de en risk, som definieras som potentialen för en person att använda auktoriserad åtkomst till organisationens tillgångar, antingen skadligt eller oavsiktligt på ett sätt som påverkar organisationen negativt. Åtkomst omfattar både fysisk och virtuell åtkomst, och tillgångar omfattar information, processer, system och anläggningar.

Vad är en insider?

En insider är en betrodd person som har fått åtkomst till, eller har kunskap om, företagsresurser, data eller system som inte är allmänt tillgängliga för allmänheten, inklusive:

  • Personer som har ett märke eller en annan enhet som gör det möjligt för dem att kontinuerligt komma åt företagets fysiska egendom, till exempel ett datacenter eller företagets huvudkontor.
  • Personer som har en företagsdator med nätverksåtkomst.
  • Personer som har åtkomst till ett företags företagsnätverk, molnresurser, program eller data.
  • Personer som har kunskap om ett företags strategi och kunskap om sin ekonomi.
  • Personer som skapar företagets produkter eller tjänster.

Typer av interna hot

Interna risker är svårare att identifiera än externa hot eftersom insiders redan har åtkomst till en organisations tillgångar och är bekanta med dess säkerhetsåtgärder. Att känna till typerna av interna risker hjälper organisationer att bättre skydda värdefulla tillgångar.

  • Olycka

    Ibland gör människor misstag som kan leda till potentiella säkerhetsincidenter. En affärspartner skickar till exempel ett dokument med kunddata till en kollega och inser inte att de inte har behörighet att visa den informationen. Eller så svarar en anställd på en nätfiskekampanj och oavsiktligt installerar skadlig kod.

  • Skadlig

    I en skadlig säkerhetsincident som orsakas av en insider gör en anställd eller en betrodd person avsiktligt något som de vet kommer att påverka företaget negativt. Sådana personer kan motiveras av personliga klagomål eller andra personliga skäl och kan söka ekonomisk eller personlig vinning genom sina åtgärder.

  • Försumlighet

    Försumlighet liknar en slump eftersom personen inte hade för avsikt att orsaka en datasäkerhetsincident. Skillnaden är att de medvetet bryter mot en säkerhetsprincip. Ett vanligt exempel är när en anställd tillåter någon att komma in i en byggnad utan att visa ett märke. En digital motsvarighet skulle åsidosätta en säkerhetsprincip utan att noggrant överväga för hastighet och bekvämlighet eller logga in på företagets resurser över en oskyddad trådlös anslutning.

  • Samverkan

    Vissa insidersäkerhetsincidenter är resultatet av att en betrodd person samarbetar med en cyberbrottslig organisation för att genomföra en stöld. Det här är en annan typ av skadlig insiderrisk.

Hur inträffar skadliga insiderincidenter?

Skadliga incidenter som orsakas av insiders kan inträffa på flera olika sätt utöver vanliga cyberattacker. Här är några vanliga sätt som insiders kan orsaka säkerhetsincidenter på:

  • Våld

    Insiders kan använda våld eller hot om våld för att skrämma andra anställda eller uttrycka sig missnöjda med en organisation. Våld kan ha formen av verbala trakasserier, sexuella trakasserier, trakasserier, angrepp eller andra hot.

  • Spionage

    Kontaktuppgifter avser bruket att stjäla affärshemligheter, konfidentiell information eller immateriell egendom som tillhör en organisation i syfte att ge en fördel till en konkurrent eller någon annan part. En organisation kan till exempel infiltreras av en obehörig insider som samlar in ekonomisk information eller produktskisser för att få en konkurrensfördel på marknadsplatsen.

  • Sabotage

    En insider kan vara missnöjd med en organisation och känna sig motiverad att skada organisationens fysiska egendom, data eller digitala system. Det kan finnas flera olika sätt att förstöra utrustning eller kompromettera konfidentiell information.

  • Bedrägeri

    Insiders kan utföra bedrägliga aktiviteter för personlig vinning. Till exempel kan en obehörig insider använda ett företags kreditkort för personligt bruk eller skicka falska eller falska utgiftsanspråk.

  • Stöld

    Insiders kan stjäla en organisations tillgångar, känsliga data eller immateriella rättigheter för personlig vinning. Till exempel kan en avgående anställd som motiveras av personlig vinning exfiltrera konfidentiell information för sin framtida arbetsgivare, eller en leverantör som anlitas av en organisation för att utföra specifika uppgifter kan stjäla känsliga data för sina egna förmåner.

Sju indikatorer för interna hot

Både människor och teknik spelar en roll när det gäller att identifiera interna risker. Nyckeln är att upprätta en baslinje för vad som är normalt så att det blir lättare att identifiera ovanliga aktiviteter.

  • Ändringar av användaraktivitet

    Medarbetare, chefer och partner kan ha den bästa positionen för att veta om någon har blivit en risk för organisationen. Till exempel kan en riskfylld insider som är berättigad att orsaka en datasäkerhetsincident få plötsliga attitydändringar som ett ovanligt tecken.

  • Avvikande dataexfiltrering

    Anställda har ofta åtkomst till och delar konfidentiella data på jobbet. Men när en användare plötsligt delar eller laddar ned en ovanlig mängd känsliga data jämfört med deras tidigare aktiviteter eller peer-datorer i en liknande roll, kan det tyda på en potentiell datasäkerhetsincident.

  • En sekvens med relaterade riskfyllda aktiviteter

    En enskild användaråtgärd, till exempel att ladda ned konfidentiella data, kanske inte är en potentiell risk på egen hand, men en serie åtgärder kan tyda på potentiella datasäkerhetsrisker. Anta till exempel att en användare har bytt namn på konfidentiella filer så att de ser mindre känsliga ut, har laddat ned dem från molnlagringen, sparat dem på en bärbar enhet och tagit bort dem från molnlagringen. I det här fallet kan det tyda på att användaren potentiellt försökte exfiltrera känsliga data när identifieringen skulle undvikas.

  • Dataexfiltrering för avgående medarbetare

    Dataexfiltreringen ökar ofta vid sidan av uppsägningar och kan vara avsiktlig eller oavsiktlig. En oavsiktlig incident kan se ut som en avgående anställd oavsiktligt kopierar känsliga data för att registrera sina prestationer i sin roll, medan en skadlig incident kan se ut som att medvetet ladda ned känsliga data för personlig vinning eller hjälpa dem i deras nästa position. När uppsägningshändelser sammanträffar med andra ovanliga aktiviteter kan det tyda på en datasäkerhetsincident.

  • Onormal systemåtkomst

    Potentiella interna risker kan börja med att användare får åtkomst till resurser som de vanligtvis inte behöver för sitt jobb. Användare som normalt bara har åtkomst till marknadsföringsrelaterade system börjar till exempel plötsligt komma åt ekonomisystem flera gånger om dagen.

  • Trakasserier och trakasserier

    Ett av de tidiga tecknen på insiderrisker kan vara en användare som uttrycker hotande, trakasserande eller diskriminerande kommunikation. Det orsakar inte bara skada för en företagskultur, utan kan också leda till andra potentiella incidenter.

  • Eskalering av privilegier

    Organisationer skyddar och styr vanligtvis värdefulla resurser genom att tilldela privilegierad åtkomst och roller till begränsad personal. Om en anställd försöker eskalera sina privilegier utan en tydlig affärsmotivering kan det vara ett tecken på potentiell insiderrisk.

Exempel på insiderhot

Incidenter med insiderhot som datastöld, spionage eller sabotage har inträffat i organisationer av alla storlekar under åren. Några exempel:

  • Stjäla affärshemligheter och sälja dem till ett annat företag.
  • Hacka dig in i ett företags molninfrastruktur och ta bort tusentals kundkonton.
  • Använda affärshemligheter för att starta ett nytt företag.

Vikten av holistisk hantering av interna risker

Ett holistiskt program för hantering av interna risker som prioriterar relationer mellan anställda och arbetsgivare och integrerar sekretesskontroller kan minska antalet potentiella insidersäkerhetsincidenter och leda till snabbare identifiering. En ny studie utförd av Microsoft visade att företag med ett holistiskt program för hantering av interna risker var 33 procent mer benägna att snabbt upptäcka insiderrisker, och 16 procent mer sannolikt har snabba åtgärder än företag med en mer fragmenterad metod.1

Så här skyddar du mot interna hot

Organisationer kan hantera interna risker på ett holistiskt sätt genom att fokusera på processer, personer, verktyg och utbildning. Använd följande metodtips för att utveckla ett program för hantering av interna risker som bygger förtroende hos anställda och hjälper dig att stärka din säkerhet:

  • Prioritera medarbetarnas förtroende och sekretess

    Att skapa förtroende bland anställda börjar med att prioritera deras integritet. För att främja en känsla av bekvämlighet med deras program för hantering av interna risker bör du överväga att implementera en process för godkännande på flera nivåer för att initiera insiderundersökningar. Dessutom är det viktigt att granska aktiviteterna för dem som utför undersökningar för att säkerställa att de inte överskrider sina gränser. Implementering av rollbaserade åtkomstkontroller för att begränsa vem i säkerhetsteamet som har åtkomst till undersökningsdata kan också bidra till att upprätthålla sekretessen. Anonymisering av användarnamn under undersökningar kan ytterligare skydda anställdas’ integritet. Överväg slutligen att ta bort användarflaggor efter en viss tidsperiod om en undersökning inte fortsätter.

  • Använd positiva överväganden

    Även om många program för interna risker förlitar sig på negativa begränsningar, till exempel principer och verktyg som begränsar riskfyllda anställdas aktiviteter, är det viktigt att balansera dessa mått med en förebyggande metod. Positiva förbättringar, till exempel medarbetarnas ideella händelser, noggrann registrering, pågående datasäkerhetsutbildning och utbildning, uppåtgående feedback och program för balans mellan arbete och fritid kan bidra till att minska sannolikheten för insiderhändelser. Genom att engagera medarbetarna på ett produktivt och proaktivt sätt tar positiva mottagare itu med riskkällan och främjar en säkerhetskultur inom organisationen.

  • Få ett företagsomfattande buy-in

    IT- och säkerhetsteam kan ha det primära ansvaret för att hantera interna risker, men det är viktigt att engagera hela företaget i det här arbetet. Avdelningar som personal, efterlevnad och juridiska funktioner spelar en viktig roll när det gäller att definiera principer, kommunicera med intressenter och fatta beslut under en undersökning. För att utveckla ett mer omfattande och effektivt program för hantering av interna risker bör organisationer söka inköp och engagemang från alla delar av företaget.

  • Använda integrerade och omfattande säkerhetslösningar

    Att effektivt skydda organisationen mot interna risker kräver mer än att bara implementera de bästa säkerhetsverktygen. det kräver integrerade lösningar som ger synlighet och skydd för hela företaget. När lösningarna för datasäkerhet, identitets- och åtkomsthantering, utökad identifiering och svar (XDR) och säkerhetsinformation och händelsehantering (SIEM) är integrerade kan säkerhetsteam effektivt identifiera och förhindra insiderincidenter.

  • Implementera effektiv utbildning

    Anställda har en viktig roll när det gäller att förhindra säkerhetsincidenter, vilket gör dem till den första försvarslinjen. För att skydda företagets tillgångar krävs köp av anställda, vilket i sin tur förbättrar organisationens övergripande säkerhet. En av de mest effektiva metoderna för att skapa det här inköpet är via utbildning för anställda. Genom att utbilda anställda kan du minska antalet oavsiktliga insiderhändelser. Det är viktigt att förklara hur insiderhändelser kan påverka både företaget och dess anställda. Dessutom är det viktigt att kommunicera dataskyddsprinciper och lära anställda hur de kan undvika potentiellt läckande data.

  • Använda maskininlärning och AI

    Säkerhetsrisker på dagens moderna arbetsplats är dynamiska med olika, ständigt föränderliga faktorer som kan göra dem svåra att identifiera och reagera på. Men genom att använda maskininlärning och AI kan organisationer identifiera och minska interna risker i maskinhastighet, vilket möjliggör anpassningsbar och personcentrerad säkerhet. Den här avancerade tekniken hjälper organisationer att förstå hur användare interagerar med data, beräknar och tilldelar risknivåer och automatiskt anpassar lämpliga säkerhetskontroller. Med dessa verktyg kan organisationer effektivisera processen med att identifiera potentiella risker och prioritera sina begränsade resurser för att hantera högriskinsikter. Detta sparar värdefull tid för säkerhetsteam och säkerställer bättre datasäkerhet.

Lösningar för hantering av interna risker

Det kan vara svårt att försvara sig mot insiderhot, eftersom det är naturligt att lita på dem som arbetar för och med organisationen. Att snabbt identifiera de mest kritiska interna riskerna och prioritera resurser för att undersöka och minimera dem är avgörande för att minska effekten av potentiella incidenter och överträdelser. Som tur är kan många verktyg för cybersäkerhet som förhindrar externa hot också identifiera interna hot.

Microsoft Purview erbjuder informationsskydd, hantering av interna risker och dataförlustskydd (DLP) funktioner som hjälper dig att få insyn i data, identifiera kritiska insiderrisker som kan leda till potentiella datasäkerhetsincidenter och effektivt förhindra dataförlust.

Microsoft Entra ID  hjälper dig att hantera vem som kan komma åt vad och kan varna dig om någons inloggnings- och åtkomstaktivitet är riskfylld.

Microsoft Defender 365 är en XDR-lösning som hjälper dig att skydda dina moln, appar, slutpunkter och e-post från obehöriga aktiviteter. Statliga organisationer som Cybersäkerhet och Infrastruktursäkerhet Agency ger också vägledning för att utveckla ett program för hantering av interna hot.

Genom att använda dessa verktyg och använda expertvägledning kan organisationer bättre hantera interna risker och skydda sina kritiska tillgångar.

Mer information om Microsoft Security

Microsoft Purview

Skaffa styrnings-, skydds- och efterlevnadslösningar för din organisations data.

Hantering av interna risker i Microsoft Purview

Identifiera och minska interna risker med maskininlärningsmodeller som är redo att användas.

Adaptivt skydd i Microsoft Purview

Skydda data med en intelligent och personcentrerad metod.

Skapa ett holistiskt program för hantering av interna risker

Lär dig mer om fem element som hjälper företag att få starkare datasäkerhet samtidigt som de skyddar användarförtroendet.

Dataförlustskydd i Microsoft Purview

Förhindra obehörig delning, överföring eller användning av data mellan appar, enheter och lokala miljöer.

Microsoft Purview-kommunikationsefterlevnad

Uppfyll regelefterlevnadsskyldigheter och åtgärda potentiella överträdelser av affärsbeteende.

Microsoft Hotskydd

Skydda enheter, appar, e-post, identiteter, data och molnarbetsbelastningar med enhetligt skydd mot hot.

Microsoft Entra ID

Skydda åtkomsten till resurser och data med stark autentisering och riskbaserade principer för anpassningsbar åtkomst.

Vanliga frågor och svar

  • Det finns fyra typer av interna hot. Ett oavsiktligt insiderhot är risken att någon som arbetar för eller hos ett företag gör ett misstag som potentiellt komprometterar organisationen, dess data eller personer. En försumlig insiderrisk är när någon avsiktligt bryter mot en säkerhetsprincip men inte innebär skada. Ett skadligt hot är när någon avsiktligt stjäl data, förstör organisationen eller beter sig våldsamt. En annan form av skadligt hot är att en insider samarbetar med någon utanför organisationen för att orsaka skada.

  • Hantering av interna risker är viktigt eftersom den här typen av incidenter kan skada en organisation och dess personer mycket. Med rätt principer och lösningar på plats kan organisationer gå före potentiella insiderhot och skydda organisationens värdefulla tillgångar.

  • Det finns flera möjliga tecken på en insiderrisk, inklusive plötsliga förändringar i användaraktiviteter, en sammankopplad sekvens av riskfyllda aktiviteter, försök att komma åt resurser som inte behövs för deras jobb, försök att eskalera privilegier, onormal dataexfiltrering, avgående anställda som exfiltrerar data och hot eller trakasserier.

  • Det kan vara svårt att förhindra insiderhändelser eftersom riskfyllda aktiviteter som kan leda till säkerhetsincidenter utförs av betrodda personer som har relationer i organisationen och auktoriserad åtkomst. Ett holistiskt program för hantering av interna risker som prioriterar relationer mellan anställda och arbetsgivare och integrerar sekretesskontroller kan minska antalet insidersäkerhetsincidenter och leda till snabbare identifiering. Förutom integritetskontroller och fokus på arbetarmoral, kan regelbunden utbildning, företagsomfattande inköp och integrerade säkerhetsverktyg hjälpa till att minska din risk.

  • Ett skadligt insiderhot är möjligheten att en betrodd person avsiktligt skadar organisationen och de personer som arbetar där. Detta skiljer sig från oavsiktliga interna risker som uppstår när någon oavsiktligt komprometterar företaget eller bryter mot en säkerhetsregel men inte innebär någon skada för företaget.

[1] “Hur kan holistiskt hjälpa en organisation? Fördelarna med ett holistiskt program för hantering av interna risker,” i Skapa ett holistiskt program för hantering av interna risker: 5 element som hjälper företag att ha starkare dataskydd och säkerhet samtidigt som man skyddar användarförtroendet, Microsoft Security 2022, p. 41.

Följ Microsoft Security