Insider Threat Management (ITM)-Software ist eine Benutzeraktivitätsüberwachungssoftware, die Unternehmen dabei hilft, interne Benutzer daran zu hindern, böswillige oder fahrlässige Handlungen innerhalb von Systemen vorzunehmen, wie z.B. das Zugreifen auf, Kopieren, Entfernen, Manipulieren oder Zerstören von Unternehmensdaten oder anderen Vermögenswerten ohne Erlaubnis. Unternehmen verwenden ITM-Software, um die Aktionen interner Systembenutzer auf ihren Endpunkten zu überwachen und aufzuzeichnen, wie aktuelle und ehemalige Mitarbeiter, Auftragnehmer, Geschäftspartner und andere berechtigte Personen, um Unternehmenswerte wie Kundendaten oder geistiges Eigentum zu schützen. ITM-Software wird von IT- oder Sicherheitsexperten verwendet. ITM-Software spielt eine entscheidende Rolle in der gesamten Sicherheitsstrategie eines Unternehmens, da Sicherheitstools, die sich auf externe Bedrohungen für Systeme oder Netzwerke konzentrieren, oft nicht in der Lage sind, die nuancierten Bedrohungen interner, berechtigter Benutzer zu erkennen.
ITM-Software integriert sich oft mit Identity and Access Management (IAM)-Software-Tools, um interne Benutzerdaten abzurufen. ITM-Tools integrieren sich auch häufig mit Security Information and Event Management (SIEM)-Software-Tools und anderen Bedrohungsanalysesystemen, um Sicherheitsoperationen an einem einzigen Ort zu zentralisieren. Viele ITM-Softwarelösungen haben Funktionen, die sich mit Privileged Access Management (PAM)-Software, Data Loss Prevention (DLP)-Software und User and Entity Behavior Analytics (UEBA)-Software überschneiden, jedoch haben diese Tools unterschiedliche Verwendungszwecke. PAM wird verwendet, um die Aktionen privilegierter Benutzer zu überwachen. DLP-Tools erkennen Lecks sensibler Daten. UEBA-Software verwendet maschinelles Lernen, um Anomalien im Vergleich zur Benchmark-Nutzung zu erkennen; dies unterscheidet sich von ITM-Software, die Endpunktsensoren und kontextuelle Benutzerdaten nutzt, um Risiken durch Insider-Bedrohungen aufzudecken.
Um sich für die Aufnahme in die Kategorie Insider Threat Management zu qualifizieren, muss ein Produkt:
Benutzerendpunkte überwachen und Warnungen auslösen, wenn Insider-Bedrohungshandlungen vorgenommen werden
Datenbewegungen zu externen USBs oder externen Laufwerken oder hochgeladen in Cloud-Speicher oder E-Mails, übermäßige Druckernutzung und Kopier-/Ausschneide-/Einfüge-Tastatureingaben auf Benutzerendpunkten erkennen
Sitzungsvideoaufzeichnungen, Bildschirmaufnahmen und Tastenanschlagsprotokollierung als Beweis für böswillige oder fahrlässige Handlungen bereitstellen
