ВНУТРІШНІ ЗАГРОЗИ: значення, запобігання, програма та важливість

Зміст приховувати

Що таке внутрішні загрози в кібербезпеці?
Типи внутрішніх загроз
1. #1. Зловмисні інсайдери
2. #2. Недбалі інсайдери
Наскільки поширені внутрішні загрози?
Як виявити внутрішні загрози
Як запобігти внутрішнім загрозам
Програма внутрішніх загроз
Кроки для створення ефективної програми боротьби з внутрішніми загрозами
Чому внутрішні загрози такі небезпечні
Рішення для виявлення внутрішніх загроз
Яка найпоширеніша внутрішня загроза?
Які 3 основні мотиви внутрішніх загроз?
Які 3 фази внутрішньої загрози?
Які 5 найпоширеніших показників суб’єкта внутрішньої загрози?
Які три основні типи загроз?
Що не вважається внутрішньою загрозою?
1. Статті по темі
2. посилання

Безперебійна робота сучасних сучасних підприємств залежить від великої кількості працівників. Але це означає, що конфіденційна організаційна інформація завжди доступна сотням або тисячам поточних або колишніх працівників, постачальників, партнерів або підрядників. Фахівці з кібербезпеки називають це «внутрішньою загрозою». Ці люди є інсайдерами, оскільки їм дозволено доступ до інформації, даних або ресурсів, якими можна поділитися або використати для шкоди організації. У цьому есе буде розглянуто всю тему внутрішніх загроз у кібербезпеці, зокрема, що вони собою являють, як їх ідентифікувати, чому це небезпечні програми та як їм запобігти.

Що таке внутрішні загрози в кібербезпеці?

Особа, яка працює у вашій компанії, яка порушує доступність, конфіденційність або цілісність важливої інформації, вважається внутрішньою загрозою. Вони можуть досягти цього шляхом ненавмисного розкриття приватної інформації, потрапивши на обман, зламавши майно, втративши обладнання компанії або навмисно порушивши роботу систем.

Можливою внутрішньою загрозою є особа, яка має доступ до конфіденційних даних або ресурсів. Сюди входить персонал, субпідрядники та партнери. Якщо колишні працівники продовжуватимуть мати доступ до конфіденційної інформації після того, як покинуть компанію, вони можуть становити внутрішню загрозу.

Типи внутрішніх загроз

Інсайдерські загрози кібербезпеці можна класифікувати як зловмисників або недбалий персонал. У цій частині ми обговорюємо, чим вони відрізняються один від одного і чому несуть загрозу.

#1. Зловмисні інсайдери

Зловмисний інсайдер — це той, хто цілеспрямовано отримує конфіденційну інформацію або підриває компанію. Вони часто роблять це заради фінансової вигоди, або використовуючи викрадені дані для шахрайства, або продаючи їх третій стороні, наприклад, конкурентній компанії чи банді хакерів.

Відплата є ще однією рушійною силою зловмисників. Найчастіше це відбувається з нещодавно звільненими особами, які затаюють образу на свою колишню компанію. Людина, ймовірно, спричинить проблеми, якщо вона все ще має доступ до важливих систем, чи то через те, що ключ від її будівлі все ще в її розпорядженні, чи їхні облікові дані для входу на робочому місці все ще дійсні.

Помста також може надихнути нинішніх працівників. Це часто трапляється, коли вони почуваються недооціненими або їх не підвищують. Вони можуть порушити роботу або викрасти конфіденційні дані, використовуючи свій доступ до систем компанії.

#2. Недбалі інсайдери

Помилки співробітників, як-от втрата робочого пристрою або потрапили на фішинг-шахрайство, можуть призвести до недбалих внутрішніх ризиків. Ці епізоди можна розділити на дві підкатегорії. По-перше, деякі працівники мають розумний розсуд, але порушують закони про безпеку даних через пом’якшувальні обставини. Наприклад, вони могли помилитися через перевтому або відволікання.

І навпаки, деякі недбалі інсайдери постійно порушують закон і мало цікавляться програмами підвищення обізнаності персоналу. Вони часто використовують аргумент, що політика та процеси організації є надмірно бюрократичними або занадто незручними, щоб захистити їхню поведінку.

Вони можуть навіть посилатися на відсутність витоку даних як підтвердження своїх тверджень. Якщо так, то в якийсь момент майже напевно станеться витік даних, і це скоріше через удачу, ніж через судження.

Наскільки поширені внутрішні загрози?

Інсайдерські загрози є постійною проблемою кібербезпеки. У звіті Insider Threat Report від Cybersecurity Insiders за 2021 рік майже всі компанії (98%) заявили, що відчували себе підданими інсайдерським атакам.

Незважаючи на те, що такі випадки трапляються часто, інтерпретувати їх складно. У багатьох випадках точне джерело витоку даних невідоме, і важко оцінити шкоду. Згідно з дослідженням Cybersecurity Insiders, лише 51% компаній змогли виявити інсайдерські загрози або вони змогли це зробити лише після того, як дані були скомпрометовані.

Тим часом 89% респондентів сказали, що не вважають свою здатність відстежувати, виявляти та реагувати на внутрішні загрози ефективними, а 82% сказали, що важко оцінити справжню вартість нападу.

Як виявити внутрішні загрози

Найкращий спосіб виявити внутрішні ризики, незалежно від того, шукаєте ви зловмисну чи недбалу поведінку, — це стежити за незвичною поведінкою співробітників.
Співробітник може поводитися менш професійно особисто та в письмовій формі, якщо, наприклад, він виглядає незадоволеним на роботі. Вони також можуть виконувати менш ніж зіркову роботу та демонструвати інші акти непокори, такі як пізнє прибуття або ранній відхід на роботу.

Робота в неробочий час іноді може бути ознакою підозр. Співробітник може робити щось, про що він не хоче, щоб його компанія знала, якщо він увійшов у свої системи посеред ночі.
Подібно до останнього прикладу, якщо є великий трафік, це може означати, що працівник копіює особисті дані на особистий жорсткий диск, щоб вони могли використовувати їх шахрайським шляхом.

Але найбільш показовим є використання працівниками ресурсів, які їм зазвичай не потрібні для роботи. Це означає, що вони використовують інформацію для неналежних цілей, наприклад для шахрайства, або передають її третім особам.

Як запобігти внутрішнім загрозам

Ви можете захистити цифрові активи вашої компанії від внутрішньої небезпеки. як? Читайте далі.

#1. Захистіть важливі активи

Визначте найважливіші логічні та фізичні активи вашої компанії. Вони складаються з мереж, систем, приватної інформації (наприклад, даних клієнтів, інформації про співробітників, схем і складних бізнес-планів), фізичних активів і персоналу. Визначте поточний стан захисту кожного активу, оцініть активи в порядку важливості та зрозумійте кожен ключовий актив. Природно, максимальний рівень захисту від інсайдерської загрози повинен бути забезпечений для активів з найвищим пріоритетом.

#2. Встановіть середнє значення нормальної активності користувача та пристрою.

Програмне забезпечення для відстеження інсайдерських загроз існує в різних формах. Ці системи функціонують шляхом початкового збору даних із записів доступу, автентифікації, змін облікового запису, кінцевої точки та віртуальної приватної мережі (VPN), щоб централізувати інформацію про дії користувачів. Використовуйте цю інформацію для моделювання поведінки користувача, пов’язаної з певними подіями, такими як завантаження приватної інформації на портативний носій або незвичайне місце входу користувача, і оцінюйте ризик такої поведінки.

#3. Підвищення обізнаності

Понад третина респондентів опитування SANS щодо передових загроз у 2019 році визнали, що не знають про зловживання інсайдерами. Розгортання інструментів, які постійно відстежують поведінку користувачів, а також компіляція та кореляція даних про діяльність із різних джерел є надзвичайно важливими. Наприклад, ви можете використовувати інструменти кіберобману, які встановлюють пастки, щоб заманити нечестивих інсайдерів, стежити за їхньою поведінкою та виявляти їхні мотиви. Щоб розпізнати або запобігти наявним або майбутнім нападам, ці дані згодом будуть надані іншим рішенням безпеки бізнесу.

#4. Застосування політики

Політика безпеки організації повинна бути визначена, задокументована та спільна. Це також створює належну основу для забезпечення виконання, запобігаючи невизначеності. Жоден працівник, підрядник, постачальник або партнер не повинен бути впевненим у тому, яка поведінка відповідає політиці безпеки їхньої фірми. Вони повинні знати про свій обов’язок утримуватися від надання конфіденційної інформації неавторизованим особам.

#5. Заохочуйте культурні зміни

Хоча виявлення внутрішніх ризиків має вирішальне значення, розумніше та дешевше перешкоджати користувачам від неналежної поведінки. Мета в цьому відношенні полягає в тому, щоб заохотити культурний зсув у бік усвідомлення безпеки та цифрової трансформації. Прищеплення належних цінностей може допомогти запобігти необережності та усунути причини шкідливої поведінки. Задоволеність працівників слід постійно вимірювати та покращувати, щоб виявити ранні попереджувальні сигнали невдоволення. Співробітники та інші зацікавлені сторони повинні часто брати участь у тренінгах з безпеки та програмах підвищення обізнаності, які інформують їх про проблеми безпеки.

Програма внутрішніх загроз

Перевіреним і надійним методом раннього виявлення ознак внутрішньої загрози, запобігання внутрішнім загрозам або мінімізації їх наслідків є розробка ефективної та послідовної програми внутрішніх загроз. Відповідно до спеціальної публікації 800-53 Національного інституту стандартів і технологій (NIST), програма інсайдерських загроз — це «скоординована група можливостей під централізованим управлінням, яка організована для виявлення та запобігання несанкціонованому розкриттю конфіденційної інформації». Його часто називають «програмою управління загрозами від інсайдерів» або «фреймворком».

Програма внутрішньої загрози часто складається з кроків для виявлення внутрішніх ризиків, їх усунення, пом’якшення їх впливу та підвищення обізнаності про внутрішні загрози всередині організації. Але спочатку давайте подивимося, чому варто інвестувати свій час і гроші в таку програму, перш ніж детальніше заглиблюватися в компоненти програми внутрішніх загроз і найкращі методи її впровадження.

Кроки для створення ефективної програми боротьби з внутрішніми загрозами

Ми розробили цей контрольний список із 10 кроків, щоб допомогти вам отримати максимальну віддачу від вашої програми внутрішніх загроз. Ось 10 методів, якими ви можете скористатися, щоб захистити свій бізнес від внутрішніх загроз.

#1. Підготуватися до створення програми боротьби з інсайдерськими ризиками.

Для успішного створення програми внутрішніх загроз потрібна підготовка, яка також заощадить вам масу часу та роботи в довгостроковій перспективі. Зберіть якомога більше даних про поточні заходи кібербезпеки, стандарти відповідності та зацікавлених сторін під час цього кроку та вирішіть, які результати ви хочете отримати від програми.

#2. Зробіть аналіз ризиків.

Основою програми захисту від інсайдерських загроз є визначення того, які активи ви вважаєте конфіденційними. Ці активи, як-от інформація про клієнтів і співробітників, технологічні комерційні секрети, інтелектуальна власність, прототипи тощо, можуть бути як матеріальними, так і нематеріальними. Найкращий спосіб виявити такі активи та потенційну небезпеку для них — провести зовнішню або внутрішню оцінку ризику загрози.

#3. Визначте, скільки фінансування необхідно для розробки програми.

Для створення успішної програми внутрішніх загроз потрібні час і зусилля. Перш ніж почати, дуже важливо усвідомити, що впровадження такого роду програм потребує не лише відділу кібербезпеки.

#4. Заручіться підтримкою вищого керівництва.

На цьому етапі ви можете використовувати дані, отримані на попередніх етапах, щоб заручитися підтримкою ключових зацікавлених сторін для впровадження програми в дію. Генеральний директор, фінансовий директор, CISO та CHRO часто входять до списку важливих зацікавлених сторін.

#5. Зберіть команду для реагування на внутрішні загрози

Команда працівників, відповідальних за всі етапи управління загрозами, від виявлення до усунення, відома як «команда внутрішнього реагування на загрози». Всупереч поширеній думці, ця команда не повинна складатися лише з ІТ-фахівців.

#6. Визначте найкращі способи виявлення внутрішніх загроз.

Найважливішим аспектом вашого захисту від внутрішніх загроз є раннє виявлення, оскільки це дає змогу швидко діяти та знижує вартість ремонту. Ось чому програмне забезпечення для відповідності стандартам PCI DSS, HIPAA та NIST 800-171 часто містить компонент виявлення загроз.

#7. Створіть плани реагування на інциденти.

Ваша група реагування повинна відпрацьовувати типові сценарії внутрішньої атаки, щоб швидко реагувати на розпізнану небезпеку. Найважливішим аспектом стратегії реагування на внутрішні загрози є те, що вона має бути практичною та простою у виконанні.

#8. Плануйте розслідування та усунення інцидентів.

Сплануйте свій процес для вивчення проблем кібербезпеки, а також можливих коригувальних заходів для зменшення внутрішніх ризиків.

#9. Повідомте свій персонал.

Теми навчального курсу будуть відрізнятися залежно від загроз безпеці, ресурсів і методів, які використовує певна фірма. Оцінка успішності тренінгу з усвідомлення внутрішніх загроз є останнім кроком. Ви можете зробити це, проводячи співбесіди з працівниками, створюючи тести або симулюючи інсайдерську атаку, щоб спостерігати за реакцією ваших співробітників.

#10. Регулярно переглядайте свою програму.

Створення програми інсайдерської загрози є безперервним процесом. Щоб ваша програма була ефективною, внутрішні загрози мають змінитися та стати більш витонченими та небезпечними.

Чому внутрішні загрози такі небезпечні

Згідно зі звітом SANS про передові загрози, виявлено серйозні прогалини в захисті від внутрішніх загроз. Ці прогалини спричинені відсутністю базових даних про звичайну поведінку користувачів, а також поганим керуванням контролем доступу привілейованих облікових записів користувачів, які є основними цілями для атак грубої сили та соціальної інженерії, таких як фішинг.
Найкращі служби безпеки все ще мають труднощі з виявленням внутрішніх загроз. За визначенням, інсайдери мають законний доступ до активів та інформації компанії. Важко відрізнити законну діяльність від шкідливої поведінки.

Керування доступом на основі ролей є неадекватним контролем, оскільки інсайдери часто знають, де зберігаються конфіденційні дані, і можуть мати законні вимоги щодо доступу, що посилює проблему.

Таким чином, втрата даних, спричинена інсайдерами, є значно дорожчою, ніж втрата зовнішніх загроз. Дослідники виявили, що середня вартість одного запису для зловмисної або злочинної атаки становила 166 доларів у порівнянні з 132 доларами за системні помилки та 133 доларами за людські помилки, згідно зі звітом Ponemon Institute про вартість витоку даних за 2019 рік.

Ви можете зрозуміти, чому створення програми захисту від інсайдерських загроз є розумною інвестицією, якщо врахувати, що інсайдерські загрози спричиняють приблизно третину витоків даних (Verizon) і 60 відсотків кібератак (IBM).

Рішення для виявлення внутрішніх загроз

Оскільки вони приховані від типових рішень безпеки, таких як брандмауери та системи виявлення вторгнень, які зосереджуються на зовнішніх загрозах, внутрішні загрози може бути важче виявити або запобігти, ніж зовнішні атаки. Заходи безпеки не могли помітити незвичну поведінку, якщо зловмисник скористався авторизованим входом. Крім того, якщо зловмисники знайомі з протоколами безпеки організації, вони можуть легше уникнути виявлення.

Замість того, щоб покладатися на єдине рішення, вам слід диверсифікувати стратегію виявлення внутрішніх загроз, щоб захистити всі свої активи. Ефективна система виявлення інсайдерської загрози об’єднує декілька методів не лише для моніторингу внутрішньої активності, але й для відсіювання помилкових спрацьовувань із великої кількості попереджень.

Програми для машинного навчання (ML) можна використовувати для оцінки потоку даних і ранжування найважливіших сповіщень. Щоб допомогти виявити, проаналізувати та повідомити групу безпеки про будь-які потенційні внутрішні ризики, ви можете використовувати технології цифрової криміналістики та аналітики, такі як User and Event Behavior Analytics (UEBA).

У той час як моніторинг активності бази даних може допомогти виявити порушення політики, аналітика поведінки користувачів може створити основу для типових дій доступу до даних.

Яка найпоширеніша внутрішня загроза?

Найбільш типові інсайдерські загрози

Надмірний привілейований доступ
Зловживання привілеями
SQL-ін'єкція
Слабкий аудиторський слід
Невідповідності бази даних
Фішинг атаки

Які 3 основні мотиви внутрішніх загроз?

Зловмисний: переслідування фінансової вигоди або пошук відплати за злочин
Недбалий: необережний або необізнаний
Компроміс: не усвідомлюючи небезпеки, яку вони становлять

Які 3 фази внутрішньої загрози?

Ключовими кроками для пом’якшення внутрішніх загроз є визначення, виявлення, ідентифікація, оцінка та управління.

Які 5 найпоширеніших показників суб’єкта внутрішньої загрози?

Види інсайдерських загроз
Неадекватна підготовка
Неефективні процеси.
Невдоволення роботою.
Фінансові труднощі.

Які три основні типи загроз?

Природні загрози (наприклад, землетруси), фізичні загрози безпеці (наприклад, відключення електроенергії, що руйнує обладнання) і людські загрози (наприклад, зловмисники, які можуть бути внутрішніми або зовнішніми) — це три найбільш широкі категорії.

Що не вважається внутрішньою загрозою?

Атака не вважається внутрішньою загрозою, якщо вона походить із ненадійного, неідентифікованого зовнішнього джерела. Для виявлення будь-яких ненормальних звичок трафіку потрібні вдосконалені системи моніторингу та журналювання для захисту від інсайдерських атак.