Leveraging Physical Access Data: Detecting Malicious Insider Activities During Employee Offboarding

Thy, Jeppe Evensen; Knutsen, Ludwig

Thy, Jeppe Evensen; Knutsen, Ludwig

Bachelor thesis

View/Open

no.ntnu:inspera:300877113:360135215.pdf (8.990Mb)

no.ntnu:inspera:300877113:360135215.zip (5.100Mb)

URI

https://hdl.handle.net/11250/3204626

Date

2025

Metadata

Show full item record

Collections

Institutt for informasjonssikkerhet og kommunikasjonsteknologi [2809]

Abstract

Denne oppgaven undersøker hvordan logger fra fysiske adgangskontrollsystemer kan benyttes til å avdekke innsidetrusler i oppsigelsesperioden. Ansatte som forlater virksomheten kan utgjøre en sikkerhetsrisiko, både på grunn av manglende avvikling av tilgangsrettigheter og mulige ondsinnede motiver. Tradisjonelle tilnærminger til trusseldeteksjon fokuserer i stor grad på det digitale domenet og overser ofte fysisk aktivitet, til tross for at slike kombinerte angrepsflater er relevante i praksis. Gjennom en kombinasjon av litteraturstudie, scenariomodellering og generering av syntetiske data, viser oppgaven hvordan hendelseslogger fra fysiske adgangskontrollsystemer kan struktureres og integreres i plattformer for sikkerhetsinformasjon og hendelseshåndtering, for eksempel Splunk. Det ble utviklet fem realistiske trusselscenarier med tilhørende deteksjonsstrategier basert på korrelasjon mellom fysisk og digital loggdata. Oppgaven foreslår en loggstruktur for fysiske adgangskontrollsystemer og skisserer metoder for å identifisere avvikende mønstre gjennom simulering. Hovedfunnene indikerer at integrering av fysiske tilgangslogger i eksisterende overvåkingssystemer kan forbedre evnen til å oppdage trusler i oppsigelsesperioden, særlig når slike data kombineres med informasjon om digital aktivitet og ansattstatus. Samtidig fremheves utfordringer knyttet til standardisering av loggformater og personvernhensyn. Oppgaven argumenterer for en helhetlig sikkerhetsstrategi der fysisk og digital tilgang ses i sammenheng for å styrke virksomhetens evne til å forebygge og respondere på innsidetrusler.

This thesis explores how physical access control logs can help detect insider threats during the offboarding of employees. Departing employees pose risks due to lingering access rights and possible malicious intent. Traditional detection methods often ignore the physical domain, leaving gaps in environments where both physical and digital threats are relevant. The thesis shows how physical access control logs can be structured for use in security platforms like Splunk, using insights from literature and scenario modelling. Five realistic threat scenarios were developed with corresponding detection strategies based on log data. The thesis proposes a structure for access control event records and outlines associated methods for identifying suspicious patterns through simulation. The main findings show that integrating physical access data into security monitoring systems may enhance threat detection during employee offboarding, particularly when such data is correlated with digital activity and offboarding status, revealing behavioural anomalies that coincide with privileged system events. While challenges such as harmonising log formats and addressing employee privacy persist, the thesis argues for a unified approach to physical and digital security logs.

Publisher

NTNU