Rizika vnitřních hrozeb a jejich odhalování prostřednictvím monitorování zaměstnanců

Na rozdíl od vnějších hrozeb, jako jsou hackeři pronikající zvenčí, interní hrozby představují osoby uvnitř organizace. Mohou to být vaši zaměstnanci, manažeři, partneři nebo dodavatelé - kdokoli, kdo má oprávněný přístup k důvěrným datům, systémům a prostorám a využívá tento přístup způsobem, který poškozuje vaši firmu.

Vnitřní hrozby se objevují v mnoha podobách a každá z nich vyžaduje trochu jiné metody detekce. Můžeme je obecně rozdělit na škodlivé insidery, nedbalé insidery a kompromitované insidery.

Když přemýšlíme o vnitřních hrozbách, obvykle nás tento typ napadne jako první. Zlomyslní insidery záměrně způsobují škody z pomsty poté, co byli odmítnuti při povýšení nebo čelili disciplinárnímu řízení, z ideologických důvodů nebo dokonce ze zábavy. Naprostá většina incidentů se škodlivým zasvěcením - 89 % - je však vedena osobním finančním prospěchem. Insider může:

• Krádež citlivých údajů o zákaznících, obchodních tajemství nebo finančních informací za účelem prodeje konkurenci nebo osobního prospěchu.

• Sabotovat společnost mazáním kritických souborů, narušováním systémů nebo instalací malwaru.

• Manipulovat s finančními záznamy, vytvářet podvodné účty nebo zpronevěřovat peníze za účelem osobního obohacení.

• Krást patentované návrhy, vzorce nebo jiné duševní vlastnictví, aby je mohli prodat konkurenci nebo založit vlastní firmu.

Zlomyslní insidery nejsou superagenti v utajení. Může jít o nespokojeného správce systému, který se cítí nedoceněný a před odchodem ze společnosti smaže kritické databáze zákazníků. Nebo obchodní zástupce, který systematicky vyváží data, aby je prodal konkurenci a pokryl tak hromadící se účty. Zlomyslní insideři jsou řadoví zaměstnanci, kteří úmyslně poškozují organizaci. Přesto jsou zodpovědní za 25 % případů vnitřních hrozeb.

Ne všichni zasvěcenci jsou vedeni zlým úmyslem. Nedbalí zaměstnanci nechtějí organizaci poškodit úmyslně, ale jejich neúmyslné chyby a nedbalé chování mohou způsobit stejné škody jako zlovolné jednání. Překvapivých 88 % všech případů narušení dat je způsobeno nebo výrazně zhoršeno chybami zaměstnanců. Nedbalým zasvěceným pracovníkům často chybí povědomí nebo školení, aby rozpoznali hrozbu, nebo jsou prostě jen neopatrní. Jejich následující jednání může vést k závažným narušením bezpečnosti:

• kliknutí na odkazy ve phishingových e-mailech a nevědomé stažení malwaru do firemních zařízení;

• používání snadno uhodnutelných hesel nebo opakované používání hesel pro více účtů;

• ukládání citlivých dat na nezabezpečených místech;

• sdílení důvěrných informací prostřednictvím nešifrovaných kanálů;

• obcházení zavedených bezpečnostních protokolů, vypínání bezpečnostního softwaru nebo ignorování bezpečnostních zásad z pohodlnosti či nepochopení;

• omylem odeslat citlivé informace nesprávnému příjemci;

• neúmyslné uvolnění nebo zveřejnění osobních údajů a další lidské chyby.

Příkladem nedbalého zasvěcence může být zaměstnanec v účtárně, který obdrží zdánlivě legitimní e-mail. V e-mailu je požadována aktualizace bankovních údajů dodavatele. Zaměstnanec e-mail odesílatele důkladně nezkontroluje, klikne na odkaz, zadá přihlašovací údaje na falešné přihlašovací stránce a nevědomky tak umožní hackerům přístup do finančního systému společnosti.

V důsledku nedbalosti může dojít ke kompromitaci účtu zaměstnance externími subjekty. Zloděj pověření získá legitimní přihlašovací údaje zaměstnance pomocí phishingu, malwaru nebo jiných metod. Útočník pak vystupuje jako tento zaměstnanec a krade důvěrná data nebo provádí jiné škodlivé činnosti. Krádeže pověření jsou příčinou 20 % incidentů souvisejících s vnitřními hrozbami.

Jak tedy odhalit vnitřní hrozby a zabránit jim? Jak již bylo zmíněno, tradiční bezpečnostní metody jsou účinné proti vnějším útokům, ale často nevidí vnitřní nebezpečí. Právě zde přichází na řadu monitorování zaměstnanců.

Pokud je monitorování zaměstnanců prováděno strategicky a eticky, umožňuje organizacím nahlédnout do pracovních procesů, chování a komunikace zaměstnanců. Bezpečnostní specialisté tak mohou identifikovat anomální chování, porušování zásad a známky nekalých úmyslů, které by jinak zůstaly nepovšimnuty.

Prozkoumejme klíčové funkce monitorování zaměstnanců pro detekci vnitřních hrozeb a způsob, jakým mohou odhalit škodlivé aktéry.

Prevence ztráty dat (DLP) je sofistikovaný soubor funkcí na ochranu citlivých informací před neoprávněným přístupem nebo přenosem. Zjišťuje a pomáhá řídit potenciální narušení bezpečnosti dat, exfiltraci, zneužití a náhodné odhalení.

Systémy DLP identifikují citlivé informace v organizaci a fungují jako digitální strážce. Sledují pohyb důvěrných informací, označují neautorizované pokusy o jejich přenos, kopírování do externích zařízení nebo cloudových úložišť či tisk. Systémy DLP mají také výstražné mechanismy, které upozorňují bezpečnostní specialisty a manažery na incident.

Pečlivé sledování citlivých dat umožňuje řešením DLP odhalit jak škodlivé, tak nedbalostní vnitřní hrozby.

Nástroje pro analýzu chování uživatelů a entit (UEBA) využívají pokročilé analytické techniky, včetně umělé inteligence a strojového učení, k odhalování anomálního chování a potenciálních bezpečnostních hrozeb v síti organizace. UEBA nejprve analyzuje aktivitu uživatelů (zaměstnanců, zákazníků a dodavatelů) a entit (aplikací, zařízení a serverů), aby stanovila základní vzorce běžné činnosti. Poté systém průběžně sleduje chování uživatelů a entit a porovnává je se stanovenými základními hodnotami. Pokud zjistí jakékoli odchylky od normy, označí je jako potenciální bezpečnostní hrozby. Každé anomálii je přiřazeno rizikové skóre, které se s rostoucím podezřelým chováním zvyšuje. Pokud rizikové skóre překročí předem definované prahové hodnoty, systém upozorní bezpečnostního specialistu nebo manažera, aby provedl šetření a případná opatření.

UEBA je mimořádně účinná proti vnitřním hrozbám, kompromitovaným účtům a dalším metodám útoku, které mohou obejít tradiční bezpečnostní nástroje. Její účinnost spočívá ve schopnosti odhalit hrozby, které neodpovídají předem definovaným vzorům útoků. UEBA zároveň vykazuje nižší míru falešně pozitivních detekcí, protože rozumí běžným vzorcům chování.

Sledování aktivity zaměstnanců během pracovního dne odhalí, jaké webové stránky a aplikace používají. Organizace tak mohou odhalit přístup na neautorizované nebo rizikové webové stránky nebo nadměrné množství času stráveného na stránkách, které nesouvisejí s prací (což může být v některých případech známkou neangažovanosti nebo záměrného plánování). Sledování aplikací může také odhalit neoprávněné instalace softwaru, které mohou představovat bezpečnostní riziko.

V případech narušení bezpečnosti dat pomáhá monitorování aktivit najít osobu odpovědnou za incident a poskytnout potřebné důkazy. Jeden z našich klientů se nedávno podělil o svůj příběh o tom, jak jim společnost CleverControl pomohla odhalit insidera, který prodával jejich data konkurenci. Můžete si o tom přečíst hrozba ze strany zasvěcených osob více na našem blogu.

Monitorování komunikace poskytuje přehled o obsahu a vzorcích komunikace zaměstnanců. Systém nepřetržitě monitoruje různé komunikační kanály, včetně e-mailu, videokonferencí, sdílení souborů, nástrojů pro spolupráci a platforem pro rychlé zasílání zpráv. Pokročilé algoritmy a umělá inteligence analyzují komunikační vzorce a obsah a prohledávají shromážděná data a hledají varovné signály. Těmito příznaky může být podezřelý jazyk nebo klíčová slova související s únikem dat, sabotáží nebo tajnými dohodami. Když systém zjistí podezřelé aktivity, spustí automatickou reakci nebo upozorní bezpečnostního specialistu, aby okamžitě jednal.

Monitorování komunikace významně zvyšuje schopnost společnosti odolávat vnitřním hrozbám, musí však být prováděno zodpovědně.

Hrozby ze strany zasvěcených osob jsou i nadále významným problémem pro všechny organizace všech velikostí. Mohou mít různé podoby, od zlého úmyslu až po prostou nedbalost a neopatrnost. Vnitřní hrozby jsou tak nebezpečné, protože je páchají důvěryhodní zaměstnanci zevnitř bezpečnostního perimetru, a proto je mnohem obtížnější je odhalit a zabránit jim. Dobrým řešením pro odhalení a prevenci vnitřních hrozeb je monitorování zaměstnanců. Jeho funkce DLP, UEBA, komunikace a monitorování aktivit jsou nezbytnou sadou nástrojů pro každou organizaci, která chce včas odhalit narušení bezpečnosti a předcházet mu.