Бесперебойная работа современных современных предприятий зависит от большого количества сотрудников. Но это означает, что конфиденциальная организационная информация всегда доступна сотням или тысячам нынешних или бывших сотрудников, поставщиков, партнеров или подрядчиков. Специалисты по кибербезопасности называют это «внутренней угрозой». Эти люди являются инсайдерами, потому что им разрешен доступ к информации, данным или ресурсам, которые могут быть переданы или использованы во вред организации. В этом эссе будет освещена вся тема инсайдерских угроз в области кибербезопасности, включая то, что они собой представляют, как их идентифицировать, почему они являются опасными программами и как их предотвратить.
Что такое внутренние угрозы в кибербезопасности?
Человек, работающий в вашей компании, который ставит под угрозу доступность, конфиденциальность или целостность важной информации, считается внутренней угрозой. Они могут добиться этого, непреднамеренно раскрывая личную информацию, попадаясь на обман, взламывая собственность, теряя оборудование компании или преднамеренно нарушая работу систем.
Возможная внутренняя угроза — это кто-то, кто имеет доступ к конфиденциальным данным или ресурсам. Сюда входят персонал, субподрядчики и партнеры. Если бывшие работники сохранят доступ к конфиденциальной информации после увольнения из компании, они могут представлять внутреннюю угрозу.
Типы внутренних угроз
Внутренние угрозы кибербезопасности можно классифицировать как злонамеренные действия или небрежность персонала. В этой части мы обсудим, чем они отличаются друг от друга и почему представляют угрозу.
№1. Злонамеренные инсайдеры
Злонамеренный инсайдер — это тот, кто целенаправленно получает конфиденциальную информацию или подрывает компанию. Они часто делают это для получения финансовой выгоды, либо используя украденные данные для совершения мошенничества, либо продавая их третьей стороне, например, конкурирующему бизнесу или хакерской банде.
Возмездие — еще одна движущая сила злонамеренных инсайдеров. Чаще всего это происходит с недавно уволенными людьми, которые затаили обиду на свою бывшую компанию. Человек, скорее всего, создаст проблемы, если у него все еще есть доступ к важным системам, будь то из-за того, что ключ от здания все еще находится в его распоряжении или его учетные данные для входа на рабочем месте все еще действительны.
Месть также может вдохновлять нынешних рабочих. Это часто происходит, когда они чувствуют себя недооцененными или их обходят вниманием при продвижении по службе. Они могут нарушить работу или украсть конфиденциальные данные, используя свой доступ к системам компании.
№ 2. Небрежные инсайдеры
Ошибки сотрудников, такие как потеря рабочего устройства или попадание в ловушку фишинга, могут привести к инсайдерским рискам по небрежности. Эти эпизоды можно разделить на две подкатегории. Во-первых, некоторые работники руководствуются здравым смыслом, но нарушают законы о безопасности данных из-за смягчающих обстоятельств. Например, они могли ошибаться в результате переутомления или отвлечения внимания.
Напротив, некоторые нерадивые инсайдеры постоянно нарушают закон и не проявляют особого интереса к программам повышения осведомленности персонала. Они часто используют аргумент, что политика и процессы организации чрезмерно бюрократичны или слишком неудобны, чтобы оправдывать их поведение.
Они могут даже сослаться на отсутствие утечки данных в поддержку своих утверждений. Если это так, то в какой-то момент почти наверняка произойдет утечка данных, и это скорее связано с удачей, чем с здравым смыслом.
Насколько распространены внутренние угрозы?
Внутренние угрозы являются постоянной проблемой для кибербезопасности. В отчете об инсайдерских угрозах за 2021 год от Cybersecurity Insiders почти все компании (98%) заявили, что они чувствуют себя подверженными инсайдерским атакам.
Несмотря на то, что эти явления происходят часто, интерпретировать их сложно. Во многих случаях точный источник утечки данных неизвестен, и оценить ущерб сложно. Согласно исследованию Cybersecurity Insiders, только 51% фирм смогли выявить внутренние угрозы или смогли сделать это только после того, как данные были скомпрометированы.
В то же время 89% респондентов заявили, что не считают свои возможности по отслеживанию, обнаружению и реагированию на внутренние угрозы эффективными, а 82% заявили, что им сложно оценить истинную цену атаки.
Как обнаружить внутренние угрозы
Лучший способ выявить внутренние риски, независимо от того, ищете ли вы злонамеренное или небрежное поведение, — это следить за необычным поведением сотрудников.
Сотрудник может вести себя менее профессионально лично и в письменной форме, например, если он кажется несчастным на работе. Они также могут выполнять менее чем блестящую работу и демонстрировать другие акты непослушания, например, опаздывать или рано уходить на работу.
Иногда работа в неурочное время может быть признаком подозрения. Сотрудник может делать что-то, о чем он не хочет, чтобы его компания знала, если он входит в свои системы посреди ночи.
Как и в последнем примере, если трафика много, это может означать, что сотрудник копирует личные данные на личный жесткий диск, чтобы использовать их в мошеннических целях.
Однако наиболее показательным является использование сотрудником ресурсов, которые ему обычно не нужны для работы. Это означает, что они используют информацию в ненадлежащих целях, таких как мошенничество, или передают ее третьей стороне.
Как предотвратить внутренние угрозы
Вы можете защитить цифровые активы вашей компании от внутренней опасности. Как? Читай дальше.
№1. Защитите важные активы
Определите наиболее важные логические и физические активы для вашей компании. Они состоят из сетей, систем, частной информации (такой как данные клиентов, информация о сотрудниках, схемы и сложные бизнес-планы), физических активов и персонала. Определите текущее состояние защиты каждого актива, ранжируйте активы в порядке важности и осмыслите каждый ключевой актив. Естественно, максимальный уровень защиты от инсайдерских угроз должен быть обеспечен для наиболее приоритетных активов.
№ 2. Установите среднее значение нормальной активности пользователя и устройства.
Программное обеспечение для отслеживания инсайдерских угроз представлено в различных формах. Эти системы функционируют путем первоначального сбора данных из записей доступа, аутентификации, изменений учетных записей, конечных точек и виртуальных частных сетей (VPN) для централизации информации о действиях пользователей. Используйте эту информацию для моделирования поведения пользователя, связанного с определенными событиями, такими как загрузка конфиденциальной информации на портативный носитель или необычное место входа пользователя, и оценивайте риск такого поведения.
№3. Повышение осведомленности
Более трети респондентов опроса SANS 2019 года о продвинутых угрозах признали, что не имеют информации о неправомерном использовании инсайдерской информации. Развертывание инструментов, которые постоянно отслеживают поведение пользователей, а также собирают и сопоставляют данные о действиях из различных источников, имеет решающее значение. Например, вы можете использовать инструменты киберобмана, которые расставляют ловушки, чтобы заманить гнусных инсайдеров, отслеживать их поведение и определять их мотивы. Чтобы распознать или предотвратить существующие или будущие нападения, эти данные впоследствии будут переданы другим решениям для обеспечения безопасности бизнеса.
№ 4. Применение политик
Политики безопасности организации должны быть определены, задокументированы и распространены. Это также создает надлежащую основу для правоприменения, предотвращая неопределенность. Ни один сотрудник, подрядчик, поставщик или партнер не должен сомневаться в том, какое поведение соответствует политике безопасности их фирмы. Они должны знать о своем обязательстве воздерживаться от обмена конфиденциальной информацией с неуполномоченными лицами.
№ 5. Поощряйте культурные сдвиги
Хотя выявление инсайдерских рисков имеет решающее значение, разумнее и дешевле отговаривать пользователей от ненадлежащего поведения. Цель в этом отношении состоит в том, чтобы поощрить культурный сдвиг в сторону осведомленности о безопасности и цифровой трансформации. Привитие правильных ценностей может помочь предотвратить небрежность и устранить причины вредного поведения. Удовлетворенность сотрудников следует постоянно измерять и улучшать, чтобы своевременно обнаруживать сигналы недовольства. Сотрудники и другие заинтересованные лица должны часто принимать участие в программах обучения и повышения осведомленности по вопросам безопасности, которые информируют их о проблемах безопасности.
Программа внутренних угроз
Проверенный и надежный метод выявления признаков раннего предупреждения внутренних угроз, предотвращения внутренних угроз или сведения к минимуму их последствий заключается в разработке эффективной и последовательной программы внутренних угроз. Согласно специальной публикации 800-53 Национального института стандартов и технологий (NIST), программа внутренних угроз представляет собой «скоординированную группу возможностей под централизованным управлением, организованную для обнаружения и предотвращения несанкционированного раскрытия конфиденциальной информации». Часто его называют «программой управления внутренними угрозами» или «платформой».
Программа инсайдерских угроз часто состоит из шагов по выявлению внутренних рисков, их устранению, смягчению их последствий и повышению осведомленности об инсайдерских угрозах внутри организации. Но сначала давайте посмотрим, почему стоит инвестировать свое время и деньги в такую программу, прежде чем углубляться в компоненты программы защиты от внутренних угроз и рекомендации по ее внедрению.
Шаги по созданию эффективной программы борьбы с внутренними угрозами
Мы разработали этот контрольный список из 10 шагов, чтобы помочь вам получить максимальную отдачу от вашей программы предотвращения инсайдерских угроз. Вот 10 методов, которые вы можете использовать, чтобы защитить свой бизнес от внутренних угроз.
№1. Подготовьтесь к созданию программы по борьбе с инсайдерскими рисками.
Успешное создание программы внутренних угроз требует подготовки, что также сэкономит вам массу времени и работы в долгосрочной перспективе. Соберите как можно больше данных о текущих мерах кибербезопасности, стандартах соответствия и заинтересованных сторонах на этом этапе и решите, какие результаты вы хотите получить от программы.
№ 2. Сделайте анализ рисков.
В основе программы предотвращения внутренних угроз лежит определение того, какие активы вы считаете конфиденциальными. Эти активы, такие как информация о клиентах и сотрудниках, технологические секреты, интеллектуальная собственность, прототипы и т. д., могут быть как материальными, так и нематериальными. Лучший способ найти такие активы и потенциальные опасности для них — провести оценку рисков внешних или внутренних угроз.
№3. Определить, сколько средств требуется для разработки программы.
Чтобы создать успешную программу защиты от внутренних угроз, требуется время и усилия. Прежде чем вы начнете, важно понять, что для реализации такого рода программ требуется нечто большее, чем просто отдел кибербезопасности.
№ 4. Заручитесь поддержкой высшего руководства.
На этом этапе вы можете использовать данные, полученные на предыдущих этапах, чтобы заручиться поддержкой ключевых заинтересованных сторон для реализации программы. Генеральный директор, финансовый директор, директор по информационной безопасности и директор по персоналу часто входят в список важных заинтересованных сторон.
№ 5. Соберите команду для реагирования на внутренние угрозы
Группа работников, отвечающих за все этапы управления угрозами, от обнаружения до устранения, известна как «группа реагирования на внутренние угрозы». Вопреки распространенному мнению, эта команда не должна состоять только из ИТ-специалистов.
№ 6. Определите лучшие способы обнаружения внутренних угроз.
Наиболее важным аспектом вашей защиты от внутренних угроз является раннее обнаружение, поскольку оно позволяет быстро действовать и снижает стоимость ремонта. Вот почему программное обеспечение для соответствия требованиям PCI DSS, HIPAA и NIST 800-171 часто включает компонент обнаружения угроз.
№ 7. Создавайте планы реагирования на инциденты.
Ваша группа реагирования должна отработать типичные сценарии инсайдерской атаки, чтобы быстро реагировать на обнаруженную опасность. Наиболее важным аспектом стратегии реагирования на внутренние угрозы является то, что она должна быть практичной и простой в реализации.
№8. Планируйте расследование и устранение инцидентов.
Спланируйте свой процесс для изучения проблем кибербезопасности, а также возможных корректирующих мер для снижения инсайдерских рисков.
№ 9. Информируйте свой персонал.
Темы учебных курсов будут варьироваться в зависимости от угроз безопасности, ресурсов и методов, используемых определенной фирмой. Оценка успешности тренинга по информированию об угрозах является последним шагом. Вы можете сделать это, проводя собеседования с сотрудниками, создавая тесты или моделируя инсайдерскую атаку, чтобы наблюдать за реакцией ваших сотрудников.
№10. Регулярно пересматривайте свою программу.
Создание программы внутренних угроз — это непрерывный процесс. Чтобы ваша программа была эффективной, внутренние угрозы должны измениться и стать более изощренными и опасными.
Почему внутренние угрозы так опасны
Согласно отчету SANS о продвинутых угрозах, были обнаружены серьезные пробелы в защите от внутренних угроз. Эти пробелы вызваны отсутствием исходных данных о нормальном поведении пользователей, а также плохим управлением контролем доступа к привилегированным учетным записям пользователей, которые являются основными целями для атак методом грубой силы и социальной инженерии, таких как фишинг.
Лучшие команды безопасности по-прежнему испытывают трудности с выявлением внутренних угроз. По определению инсайдеры имеют законный доступ к активам и информации компании. Трудно отличить законную деятельность от вредоносного поведения.
Управление доступом на основе ролей является неадекватным контролем, поскольку инсайдеры часто знают, где хранятся конфиденциальные данные, и могут иметь законные требования доступа, что усугубляет проблему.
Таким образом, утечка данных, вызванная внутренними силами, обходится значительно дороже, чем утечка, совершенная внешними злоумышленниками. Исследователи обнаружили, что средняя стоимость записи о злонамеренной или криминальной атаке составляла 166 долларов по сравнению со 132 долларами за системные ошибки и 133 долларами за человеческие ошибки, согласно отчету Института Понемона о стоимости утечки данных за 2019 год.
Вы можете понять, почему создание программы внутренних угроз является разумным вложением, если учесть, что внутренние угрозы являются причиной примерно трети утечек данных (Verizon) и 60 процентов кибератак (IBM).
Решения для обнаружения внутренних угроз
Поскольку они скрыты от типичных решений безопасности, таких как брандмауэры и системы обнаружения вторжений, которые сосредоточены на внешних угрозах, внутренние угрозы может быть труднее обнаружить или предотвратить, чем внешние атаки. Принятые меры безопасности не могли заметить необычное поведение, если злоумышленник воспользовался авторизованным входом в систему. Кроме того, если злоумышленники-инсайдеры знакомы с протоколами безопасности организации, они могут легче избежать обнаружения.
Вместо того чтобы полагаться на одно решение, вам следует разнообразить свою стратегию обнаружения внутренних угроз, чтобы защитить все свои активы. Эффективная система обнаружения внутренних угроз объединяет несколько методов, позволяющих не только контролировать внутреннюю активность, но и отсеивать ложные срабатывания из большого количества предупреждений.
Приложения для машинного обучения (ML) можно использовать для оценки потока данных и ранжирования наиболее важных предупреждений. Чтобы помочь в выявлении, анализе и уведомлении группы безопасности о любых потенциальных внутренних рисках, вы можете использовать технологии цифровой криминалистики и аналитики, такие как User and Event Behavior Analytics (UEBA).
В то время как мониторинг активности базы данных может помочь выявить нарушения политик, аналитика поведения пользователей может создать основу для типичных действий по доступу к данным.
Какая самая распространенная внутренняя угроза?
Наиболее типичные внутренние угрозы
- Чрезмерный привилегированный доступ
- Злоупотребление привилегиями
- SQL-инъекция
- Слабый контрольный след
- Несоответствия базы данных
- Фишинг-атаки
Каковы 3 основных мотива внутренних угроз?
- Злонамеренный: преследование финансовой выгоды или возмездия за правонарушение.
- Небрежный: небрежный или невежественный
- Компромисс: не подозревая об опасности, которую они представляют
Каковы 3 фазы внутренней угрозы?
Ключевыми шагами по смягчению внутренних угроз являются определение, обнаружение, идентификация, оценка и управление.
Каковы 5 главных признаков субъекта внутренней угрозы?
- Типы внутренних угроз
- Неадекватная подготовка
- Неэффективные процессы.
- Неудовлетворенность работой.
- Финансовые трудности.
Каковы три основных типа угроз?
Природные угрозы (например, землетрясения), угрозы физической безопасности (например, перебои в подаче электроэнергии, разрушающие оборудование) и человеческие угрозы (например, злоумышленники-черные шляпы, которые могут быть внутренними или внешними) — это три наиболее широкие категории.
Что не считается внутренней угрозой?
Атака не считается внутренней угрозой, если она исходит из ненадежного, неопознанного внешнего источника. Для выявления любых аномальных привычек трафика необходимы расширенные системы мониторинга и регистрации для защиты от внутренних атак.
Статьи по теме
- ИНФОРМАЦИЯ О КИБЕРУГРОЗАХ: значение, инструменты, аналитика и зарплата
- ИНСАЙДЕРСКАЯ ТОРГОВЛЯ: значение, примеры и акции
- Программы и идеи лояльности клиентов (+Программы с самым высоким рейтингом в 2023 г.)
- Что такое судебная бухгалтерия: обзор и как это работает
Рекомендации
