Рискове от вътрешна заплаха и как да ги открием чрез наблюдение на служители

Противно на външните заплахи, като хакери, влизащи отвън, вътрешните заплахи се създават от хора във вашата организация. Те могат да бъдат ваши служители, мениджъри, партньори или изпълнители – всеки, който има законен достъп до поверителните данни, системи и помещения и използва този достъп по начини, които вредят на вашия бизнес.

Вътрешните заплахи се появяват в много форми, всяка от които изисква малко по-различни методи за откриване. Можем да ги категоризираме широко като злонамерени вътрешни лица, небрежни вътрешни лица и компрометирани вътрешни лица.

Когато мислим за вътрешни заплахи, този тип обикновено ни идва на ум първо. Злонамерени вътрешни лица умишлено нанасят щети от отмъщение, след като са били пропуснати за повишение или изправени пред дисциплинарни действия, идеологически причини или дори забавление. Въпреки това, абсолютното мнозинство от злонамерените вътрешни инциденти – 89% – са водени от лична финансова изгода. Вътрешните лица могат:

• Крадете чувствителни клиентски данни, търговски тайни или финансова информация, за да продавате на конкуренти или за лична изгода.

• Саботирайте компанията, като изтривате критични файлове, нарушавате системите или инсталирате зловреден софтуер.

• Манипулирайте финансови записи, създавайте измамни акаунти или присвоявайте с цел лично обогатяване.

• Крадат патентовани проекти, формули или друга интелектуална собственост, за да ги продадат на конкуренти или да започнат собствен бизнес.

Злонамерените вътрешни лица не са суперагенти под прикритие. Те могат да бъдат вашият недоволен системен администратор, който, чувствайки се подценен, изтрива критични клиентски бази данни, преди да напусне компанията. Или търговски представител, който систематично експортира данни, за да ги продаде на конкуренти, за да покрие сметките за трупане. Злонамерените вътрешни лица са обикновени служители, които умишлено вредят на организацията. И все пак те са отговорни за 25% от инцидентите с вътрешни заплахи.

Не всички вътрешни лица са водени от злоба. Небрежните служители не искат умишлено да навредят на организацията, но техните неволни грешки и небрежно поведение могат да причинят толкова щети, колкото и злонамерени действия. Удивителните 88% от всички инциденти с нарушаване на данните са причинени или значително влошени от грешки на служителите. Небрежните вътрешни лица често нямат осведоменост или обучение да разпознаят заплахата или просто са безразсъдни. Следните им действия могат да доведат до сериозни пробиви в сигурността:

• щракане върху връзки във фишинг имейли, несъзнателно изтегляне на зловреден софтуер на фирмени устройства;

• използване на лесно отгатваеми пароли или повторно използване на пароли в множество акаунти;

• съхраняване на чувствителни данни на незащитени места;

• споделяне на поверителна информация чрез некриптирани канали;

• заобикаляне на установени протоколи за сигурност, деактивиране на софтуер за сигурност или игнориране на политики за сигурност поради удобство или липса на разбиране;

• изпращане на чувствителна информация до грешен получател по погрешка;

• неволно освобождаване или публикуване на лична информация и други човешки грешки.

Пример за небрежен вътрешен човек може да бъде служител в задълженията, получаващ привидно легитимен имейл. Имейлът изисква актуализиране на банкови данни за доставчик. Служителят не проверява внимателно имейла на подателя, не кликва върху връзката, не въвежда идентификационните данни на фалшива страница за вход и несъзнателно предоставя на хакерите достъп до финансовата система на компанията.

В резултат на небрежност акаунтът на служител може да бъде компрометиран от външни участници. Крадецът на идентификационни данни придобива законните идентификационни данни за вход на служител чрез фишинг, злонамерен софтуер или други методи. След това нападателят действа като този служител, като краде поверителни данни или участва в други злонамерени дейности. Кражбата на идентификационни данни е причина за 20% от инцидентите с вътрешна заплаха.

И така, как да открием вътрешни заплахи и да ги предотвратим? Както бе споменато по-рано, традиционните методи за сигурност са ефективни срещу външни атаки, но често са слепи за вътрешните опасности. Това е мястото, където наблюдението на служителите влиза в действие.

Ако наблюдението на служителите се прилага стратегически и етично, това позволява на организациите да видят работните процеси, поведението и комуникациите на персонала. По този начин специалистите по сигурността могат да идентифицират аномално поведение, нарушения на правилата и признаци на злонамерени намерения, които иначе биха могли да останат незабелязани.

Нека проучим основните функции за наблюдение на служителите за откриване на вътрешни заплахи и как те могат да разкрият злонамерени участници.

Предотвратяването на загуба на данни (DLP) е усъвършенстван набор от функции за защита на чувствителна информация от неоторизиран достъп или предаване. Той открива и помага за управлението на потенциални пробиви на данни, ексфилтрация, злоупотреба и случайно разкриване.

DLP системите идентифицират чувствителна информация в организацията и действат като дигитален страж. Те проследяват движението на поверителна информация, маркират неупълномощени опити за прехвърляне, копиране на външни устройства или облачно хранилище или я отпечатват. DLP системите също имат механизми за предупреждение, за да уведомят специалистите по сигурността и мениджърите за инцидента.

Внимателното проследяване на чувствителни данни позволява на DLP решенията да откриват както злонамерени, така и небрежни вътрешни заплахи.

Инструментите за анализ на поведението на потребителите и субектите (UEBA) използват усъвършенствани техники за анализ, включително AI и машинно обучение, за откриване на необичайно поведение и потенциални заплахи за сигурността в мрежата на организацията. Първо, UEBA анализира дейността на потребителите (служители, клиенти и изпълнители) и субектите (приложения, устройства и сървъри), за да установи базови модели на нормална дейност. След това системата непрекъснато наблюдава поведението на потребителите и субектите и го сравнява с установените базови линии. Ако открие някакви отклонения от нормата, ги маркира като потенциални заплахи за сигурността. На всяка аномалия се присвоява рисков резултат, който се увеличава с по-подозрително поведение. Когато рисковите резултати надхвърлят предварително зададени прагове, системата предупреждава специалиста по сигурността или мениджъра за разследване и потенциални действия.

UEBA е изключително ефективна срещу вътрешни заплахи, компрометирани акаунти и други методи за атака, които могат да заобиколят традиционните инструменти за сигурност. Неговата ефективност се крие в способността му да открива заплахи, които не съответстват на предварително дефинирани модели на атака. В същото време UEBA показва по-нисък процент на фалшиви положителни резултати, тъй като разбира нормалните модели на поведение.

Проследяването на активността на служителите през работния ден разкрива какви уебсайтове и приложения използват. По този начин организациите могат да открият достъп до неупълномощени или високорискови уебсайтове или прекомерно време на несвързани с работа сайтове (което може да е знак за неангажираност или злонамерено планиране в някои случаи). Проследяването на приложения може също да разкрие неоторизирани софтуерни инсталации, които могат да представляват риск за сигурността.

В случаите на нарушения на данните мониторингът на активността помага да се намери отговорният за инцидента и да се предоставят необходимите доказателства. Един от нашите клиенти наскоро сподели своята история за това как CleverControl им помогна да разкрият вътрешен човек, който продава техните данни на конкуренти. Можете да прочетете за това вътрешна заплаха случай повече в нашия блог.

Наблюдението на комуникацията дава представа за съдържанието и моделите на комуникация на служителите. Системата непрекъснато следи различни канали за комуникация, включително имейл, видеоконференции, споделяне на файлове, инструменти за сътрудничество и платформи за незабавни съобщения. Усъвършенствани алгоритми и AI анализират комуникационни модели и съдържание и сканират събраните данни за предупредителни знаци. Тези знаци могат да бъдат подозрителен език или ключови думи, свързани с изтичане на данни, саботаж или тайно споразумение. Когато системата открие подозрителни дейности, тя задейства автоматичен отговор или уведомява специалиста по сигурността за незабавни действия.

Комуникационният мониторинг значително повишава способността на компанията да устои на вътрешни заплахи; обаче трябва да се прилага отговорно.

Вътрешните заплахи остават сериозен проблем за всички организации от всякакъв размер. Те могат да бъдат под различни форми, от злонамерени намерения до обикновена небрежност и небрежност. Вътрешните заплахи са толкова опасни, защото са извършени от доверени служители от периметъра на сигурността и следователно са много по-трудни за откриване и предотвратяване. Мониторингът на служителите е добро решение за откриване и предотвратяване на вътрешни рискове. Неговата DLP, UEBA, комуникация и функционалност за наблюдение на активността е необходимият набор от инструменти за всяка организация, която иска своевременно да открие и предотврати пробиви в сигурността.