Инсайдерские угрозы продолжают «всплывать» в новостях. Осенью 2018 года старшему ученому из Genentech было предъявлено обвинение в краже коммерческой тайны, которую планировалось передать конкурирующей фирме на Тайване, и в том же году Lagacy Health объявила, что пострадала от взлома данных, из-за чего медицинские записи 38000 пациентов были получены через фишинговую атаку через одного из сотрудников.
В то время как мы можем отвлекаться на вымогателей криптовалюты, внутренние угрозы представляют собой гораздо большую проблему. И хотя они продолжаются годами, существуют способы снижения риска и реагирования.
Что такое внутренняя угроза?
Внутренняя угроза — это злонамеренная деятельность против организации, исходящая от людей внутри нее. Обычные подозреваемые — это сотрудники или подрядчики, имеющие доступ к сети, приложениям или базам данных организации.
Являются ли внутренние угрозы всегда воровством?
Действия, которые могут негативно повлиять на организацию, попадают в категорию угроз изнутри. К ним относятся саботаж, мошенничество и шпионаж. Как правило, инсайдеры осуществляют свои планы путем злоупотребления правами доступа — как физического, так и удаленного.
Типы инсайдеров, которые являются угрозами
Организации, которые стремятся остановить угрозы со стороны инсайдеров, должны понимать три различных типа инсайдеров и их мотивы. Поскольку все они очень разные, предотвращение их также различно.
Злонамеренный инсайдер — сотрудник или подрядчик, который сознательно стремится украсть информацию или сорвать операции.
У этого типа людей обычно есть два мотива: кража информации для продажи или продвижение по службе. Эти атаки могут включать в себя кражу интеллектуальной собственности, когда они передают ее конкурирующей организации для нанесения вреда своей собственной. Или они ищут способ наказать своего работодателя.
Халатный инсайдер — работник, который не выполняет надлежащие АйТи-процедуры, считается нерадивым инсайдером.
Это может быть так же просто, как тот, кто покидает свой компьютер без выхода из системы, или тот, кто не меняет пароли по умолчанию.
Скомпрометированный инсайдер — работник, чей компьютер был заражен вредоносным ПО, является наиболее распространенным примером.
Эти сотрудники обычно заражаются фишинг-мошенничеством или переходом по ссылкам, которые вызывают скрытую загрузку вредоносных программ. Скомпрометированные устройства могут использоваться в качестве «домашней базы» для киберпреступников. Оттуда они могут сканировать файловые ресурсы, повышать привилегии и многое другое.
Как сотрудники могут быть скомпрометированы
Вот как сотрудник может стать скомпрометированным инсайдером:
Фишинг — коиберепрестуление, при котором целевой человек связывается по электронной почте или в текстовом сообщении с кем-то, выдавая себя за законное учреждение, чтобы побудить человека предоставить конфиденциальные данные.
Вредоносное ПО — киберпреступность, когда компьютер заражен вредоносным программным обеспечением — вредоносное ПО — проникает в ваш компьютер. Цель вредоносного ПО как и в случае скомпрометированного инсайдера — украсть конфиденциальную информацию или учетные данные пользователей.
Кража учетных данных — киберпреступность, направленная на кражу имен пользователей и паролей. Кража учетных данных может быть осуществлена различными способами, в том числе с помощью упомянутых выше — фишинг и заражение вредоносным ПО.
Пасс-хэш — более продвинутая форма кражи учетных данных, когда хэшированные — зашифрованные или передаваемые, учетные данные для аутентификации, перехватываются с одного компьютера и используются для получения доступа к другим компьютерам в сети.
Обнаружение внутренних угроз
Проактивность и наблюдение за поведением пользователей могут позволить организациям поймать потенциальных злоумышлеников, прежде чем они совершат операции.
Признаки риска включают
- Интерес работника к вопросам, выходящим за рамки его обязанностей
- Отсутствие в рабочие часы без предупреждения
- Чрезмерный негативный комментарий отзыв об организации
- Лица, у которых есть признаки злоупотребления наркотиками или алкоголем, финансовые трудности, азартные игры и плохое психическое здоровье
Группы кадровой и IT-безопасности должны проявлять бдительность после значительных организационных событий, таких как увольнение или если сотрудник полагает, что он получит повышение по службе и в результате не получит. Наиболее важным является координация между отделом труда и IT-безопасностью вокруг этих событий.
АйТи-безопасность должна следить за тем, как пользователи ведут себя в Интернете в любом из указанных выше сценариев. Сотрудники и подрядчики могут демонстрировать поведение в Интернете, которое предупреждает команду безопасности. В случае скомпрометированных пользователей, вероятно, будут обнаружены необычное поведение.
Как подготовиться к внутренним угрозами
Есть много вещей, которые организация может сделать для борьбы с внутренними угрозами, включая:
Обучение своих сотрудников. Проводить регулярные антифишинговые тренировки. Наиболее эффективный метод состоит в том, чтобы организация отправляла фишинговые электронные письма своим пользователям и фокусировала обучение на тех пользователях. которые не распознают электронную почту как попытку фишинга. Организации также должны обучать сотрудников распознавать рискованное поведение среди своих коллег и сообщать об этом в отдел кадров или АйТи-безопасности.
Координировать IT-безопасность и управление персоналом. Нет недостатка в историях о командах информационной безопасности, которые были уволены из-за увольнений других. Координация между руководителем службой информационной безопасности и руководителем отдела кадров может помочь в стабильности информационной среды. Отдел кадром может сообщить АйТи-безопасности об определенных сотрудниках, которые были переданы для продвижения по службе и не получили повышение, и поместить их в список наблюдения.
Создайте команду для поиска угроз. Вместо того чтобы реагировать на инциденты после их обнаружения, поиск угроз использует упреждающий подход. Специалисты по АйТи-безопасности ищут контрольные знаки, перечисленные выше, чтобы предотвратить сбои до того, как они произойдут.
Использовать поведенческую аналитику пользователей. Аналитика поведения пользователя (UBA), также известная как аналитика поведения пользователя и объекта (UEBA), это отслеживание, сбор и анализ данных пользователя и машины. Используя различные аналитические методы, UBA определяет нормальное поведение и аномальное поведение. Обычно это делается путем сбора данных в течение определенного периода времени, чтобы понять, как выглядит нормальное поведение пользователя, а затем поиск путем сравнении поведения которое не соответствует этому шаблону. UBA часто может обнаружить необычное поведение в Интернете — злоупотребление учетными данными, необычные шаблоны доступа, загрузка больших объемов данных — это явные признаки внутренних угроз. UBA может обнаружить это необычное поведение среди скомпрометированных инсайдеров задолго до того, как преступники получили доступ к критическим системам.
Благодаря лучшему пониманию различных типов инсайдеров и поведения, которое они демонстрируют, организации могут быть лучше подготовлены к борьбе с этими угрозами. Комбинация обучения, организационного выравнивания и технологии — правильный подход.