- Информационная бюллетень по безопасности, Кибербезопасность

Инсайдерские угрозы: как остановить самый распространенный и угрожающий риск для безопасности

Инсайдерские угрозы продолжают «всплывать» в новостях. Осенью 2018 года старшему ученому из Genentech было предъявлено обвинение в краже коммерческой тайны, которую планировалось передать конкурирующей фирме на Тайване, и в том же году Lagacy Health объявила, что пострадала от взлома данных, из-за чего медицинские записи 38000 пациентов были получены через фишинговую атаку через одного из сотрудников.

В то время как мы можем отвлекаться на вымогателей криптовалюты, внутренние угрозы представляют собой гораздо большую проблему. И хотя они продолжаются годами, существуют способы снижения риска и реагирования.

Что такое внутренняя угроза?

Внутренняя угроза — это злонамеренная деятельность против организации, исходящая от людей внутри нее. Обычные подозреваемые — это сотрудники или подрядчики, имеющие доступ к сети, приложениям или базам данных организации.

Являются ли внутренние угрозы всегда воровством?

Действия, которые могут негативно повлиять на организацию, попадают в категорию угроз изнутри. К ним относятся саботаж, мошенничество и шпионаж. Как правило, инсайдеры осуществляют свои планы путем злоупотребления правами доступа — как физического, так и удаленного.

Типы инсайдеров, которые являются угрозами

Организации, которые стремятся остановить угрозы со стороны инсайдеров, должны понимать три различных типа инсайдеров и их мотивы. Поскольку все они очень разные, предотвращение их также различно.

Злонамеренный инсайдер — сотрудник или подрядчик, который сознательно стремится украсть информацию или сорвать операции.

У этого типа людей обычно есть два мотива: кража информации для продажи или продвижение по службе. Эти атаки могут включать в себя кражу интеллектуальной собственности, когда они передают ее конкурирующей организации для нанесения вреда своей собственной. Или они ищут способ наказать своего работодателя.

Халатный инсайдер — работник, который не выполняет надлежащие АйТи-процедуры, считается нерадивым инсайдером.

Это может быть так же просто, как тот, кто покидает свой компьютер без выхода из системы, или тот, кто не меняет пароли по умолчанию.

Скомпрометированный инсайдер — работник, чей компьютер был заражен вредоносным ПО, является наиболее распространенным примером.

Эти сотрудники обычно заражаются фишинг-мошенничеством или переходом по ссылкам, которые вызывают скрытую загрузку вредоносных программ. Скомпрометированные устройства могут использоваться в качестве «домашней базы» для киберпреступников. Оттуда они могут сканировать файловые ресурсы, повышать привилегии и многое другое.

Как сотрудники могут быть скомпрометированы

Вот как сотрудник может стать скомпрометированным инсайдером:

Фишинг — коиберепрестуление, при котором целевой человек связывается по электронной почте или в текстовом сообщении с кем-то, выдавая себя за законное учреждение, чтобы побудить человека предоставить конфиденциальные данные.

Вредоносное ПО — киберпреступность, когда компьютер заражен вредоносным программным обеспечением — вредоносное ПО — проникает в ваш компьютер. Цель вредоносного ПО как и в случае скомпрометированного инсайдера — украсть конфиденциальную информацию или учетные данные пользователей.

Кража учетных данных — киберпреступность, направленная на кражу имен пользователей и паролей. Кража учетных данных может быть осуществлена различными способами, в том числе с помощью упомянутых выше — фишинг и заражение вредоносным ПО.

Пасс-хэш — более продвинутая форма кражи учетных данных, когда хэшированные — зашифрованные или передаваемые, учетные данные для аутентификации, перехватываются с одного компьютера и используются для получения доступа к другим компьютерам в сети.

Обнаружение внутренних угроз

Проактивность и наблюдение за поведением пользователей могут позволить организациям поймать потенциальных злоумышлеников, прежде чем они совершат операции.

Признаки риска включают

  • Интерес работника к вопросам, выходящим за рамки его обязанностей
  • Отсутствие в рабочие часы без предупреждения
  • Чрезмерный негативный комментарий отзыв об организации
  • Лица, у которых есть признаки злоупотребления наркотиками или алкоголем, финансовые трудности, азартные игры и плохое психическое здоровье

Группы кадровой и IT-безопасности должны проявлять бдительность после значительных организационных событий, таких как увольнение или если сотрудник полагает, что он получит повышение по службе и в результате не получит. Наиболее важным является координация между отделом труда и IT-безопасностью вокруг этих событий.

АйТи-безопасность должна следить за тем, как пользователи ведут себя в Интернете в любом из указанных выше сценариев. Сотрудники и подрядчики могут демонстрировать поведение в Интернете, которое предупреждает команду безопасности. В случае скомпрометированных пользователей, вероятно, будут обнаружены необычное поведение.

Как подготовиться к внутренним угрозами

Есть много вещей, которые организация может сделать для борьбы с внутренними угрозами, включая:

Обучение своих сотрудников. Проводить регулярные антифишинговые тренировки. Наиболее эффективный метод состоит в том, чтобы организация отправляла фишинговые электронные письма своим пользователям и фокусировала обучение на тех пользователях. которые не распознают электронную почту как попытку фишинга. Организации также должны обучать сотрудников распознавать рискованное поведение среди своих коллег и сообщать об этом в отдел кадров или АйТи-безопасности.

Координировать IT-безопасность и управление персоналом. Нет недостатка в историях о командах информационной безопасности, которые были уволены из-за увольнений других. Координация между руководителем службой информационной безопасности и руководителем отдела кадров может помочь в стабильности информационной среды. Отдел кадром может сообщить АйТи-безопасности об определенных сотрудниках, которые были переданы для продвижения по службе и не получили повышение, и поместить их в список наблюдения.

Создайте команду для поиска угроз. Вместо того чтобы реагировать на инциденты после их обнаружения, поиск угроз использует упреждающий подход. Специалисты по АйТи-безопасности ищут контрольные знаки, перечисленные выше, чтобы предотвратить сбои до того, как они произойдут.

Использовать поведенческую аналитику пользователей. Аналитика поведения пользователя (UBA), также известная как аналитика поведения пользователя и объекта (UEBA), это отслеживание, сбор и анализ данных пользователя и машины. Используя различные аналитические методы, UBA определяет нормальное поведение и аномальное поведение. Обычно это делается путем сбора данных в течение определенного периода времени, чтобы понять, как выглядит нормальное поведение пользователя, а затем поиск путем сравнении поведения которое не соответствует этому шаблону. UBA часто может обнаружить необычное поведение в Интернете — злоупотребление учетными данными, необычные шаблоны доступа, загрузка больших объемов данных — это явные признаки внутренних угроз. UBA может обнаружить это необычное поведение среди скомпрометированных инсайдеров задолго до того, как преступники получили доступ к критическим системам.

Благодаря лучшему пониманию различных типов инсайдеров и поведения, которое они демонстрируют, организации могут быть лучше подготовлены к борьбе с этими угрозами. Комбинация обучения, организационного выравнивания и технологии — правильный подход.

Об авторе pozh

Многолетний опыт в области систем безопасности заставляет меня следить за последними новостями и я готов делиться ими с Вами. Спасибо за внимание.
Читать все записи автора pozh

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *