Bennfentes fenyegetések kockázatai és azok felderítése az alkalmazottak megfigyelésével

A külső fenyegetésekkel ellentétben, mint például a kívülről betörő hackerek, a belső fenyegetéseket a szervezeten belüli személyek jelentik. Ezek lehetnek az Ön alkalmazottai, vezetői, partnerei vagy vállalkozói - bárki, aki jogszerű hozzáféréssel rendelkezik a bizalmas adatokhoz, rendszerekhez és helyiségekhez, és ezt a hozzáférést olyan módon használja fel, amely kárt okoz az Ön vállalkozásának.

A bennfentes fenyegetések számos formában jelennek meg, amelyek mindegyike némileg eltérő felderítési módszereket igényel. Nagyjából rosszindulatú bennfentesek, hanyag bennfentesek és kompromittált bennfentesek kategóriájába sorolhatjuk őket.

Amikor a belső fenyegetésekre gondolunk, általában ez a típus jut eszünkbe először. A rosszindulatú bennfentesek szándékosan okoznak kárt bosszúból, miután előléptették őket, vagy fegyelmi büntetés fenyegeti őket, ideológiai okokból, vagy akár szórakozásból. A rosszindulatú bennfentes incidensek abszolút többségét - 89%-át - azonban a személyes pénzügyi haszonszerzés vezérli. A bennfentesek:

• érzékeny ügyféladatok, üzleti titkok vagy pénzügyi információk ellopása, hogy azokat versenytársaknak vagy személyes haszonszerzés céljából eladják.

• Szabotálja a vállalatot kritikus fájlok törlésével, a rendszerek megzavarásával vagy rosszindulatú programok telepítésével.

• Pénzügyi nyilvántartások manipulálása, csalárd számlák létrehozása vagy sikkasztás személyes meggazdagodás céljából.

• Védett terveket, recepteket vagy más szellemi tulajdont lopnak el, hogy eladják a versenytársaknak vagy saját vállalkozásba kezdjenek.

A rosszindulatú bennfentesek nem beépített szuperügynökök. Ők lehetnek az elégedetlen rendszergazdák, akik úgy érzik, hogy nem értékelik őket eléggé, ezért törlik a kritikus ügyféladatbázisokat, mielőtt elhagyják a vállalatot. Vagy egy értékesítési képviselő, aki szisztematikusan exportál adatokat, hogy azokat a versenytársaknak adja el, hogy fedezze a halmozódó számlákat. A rosszindulatú bennfentesek olyan egyszerű alkalmazottak, akik szándékosan ártanak a szervezetnek. Mégis ők felelősek a bennfentes fenyegetések 25%-áért.

Nem minden bennfentest hajt a rosszindulat. A hanyag alkalmazottak nem szándékosan akarnak kárt okozni a szervezetnek, de a nem szándékos hibáik és a gondatlan viselkedésük ugyanolyan nagy kárt okozhatnak, mint a rosszindulatú cselekedetek. Az adatbiztonsági incidensek megdöbbentő 88%-át az alkalmazottak hibái okozzák vagy súlyosbítják jelentősen. A gondatlan bennfentesek gyakran nem rendelkeznek a veszély felismeréséhez szükséges tudatossággal vagy képzettséggel, vagy egyszerűen csak meggondolatlanok. A következő cselekedeteik súlyos biztonsági résekhez vezethetnek:

• az adathalász e-mailekben található linkekre kattintva, tudtukon kívül rosszindulatú szoftvereket töltenek le a vállalati eszközökre;

• könnyen kitalálható jelszavak használata vagy a jelszavak több fiókban történő újrafelhasználása;

• érzékeny adatok tárolása nem biztonságos helyeken;

• bizalmas információk megosztása titkosítatlan csatornákon keresztül;

• a bevett biztonsági protokollok megkerülése, a biztonsági szoftverek letiltása, vagy a biztonsági irányelvek figyelmen kívül hagyása kényelemből vagy a megértés hiánya miatt;

• érzékeny információk tévedésből rossz címzettnek történő elküldése;

• személyes adatok véletlen kiadása vagy közzététele és egyéb emberi hibák.

A gondatlan bennfentesre példa lehet a fizetendő számláknál dolgozó alkalmazott, aki egy látszólag jogosnak tűnő e-mailt kap. Az e-mailben egy szállító banki adatainak frissítését kéri. Az alkalmazott nem ellenőrzi alaposan a feladó e-mailjét, rákattint a linkre, megadja a hitelesítő adatokat egy hamis bejelentkezési oldalon, és tudtán kívül hozzáférést biztosít a hackereknek a vállalat pénzügyi rendszeréhez.

Hanyagság következtében a munkavállaló fiókja külső szereplők által veszélyeztetetté válhat. A hitelesítő adatok tolvaja adathalászattal, rosszindulatú szoftverekkel vagy más módszerekkel megszerzi az alkalmazott törvényes bejelentkezési adatait. A támadó ezután az adott alkalmazott szerepében lép fel, és bizalmas adatokat lop el, vagy más rosszindulatú tevékenységet folytat. A hitelesítő adatok ellopása a bennfentes fenyegetések 20%-ának oka.

Hogyan ismerjük fel tehát a bennfentes fenyegetéseket, és hogyan előzzük meg őket? Mint korábban említettük, a hagyományos biztonsági módszerek hatékonyak a külső támadásokkal szemben, de gyakran vakok a belső veszélyekkel szemben. Itt jön a képbe az alkalmazottak megfigyelése.

Ha az alkalmazottak megfigyelését stratégiai és etikusan hajtják végre, akkor a szervezetek betekintést nyerhetnek a munkatársak munkafolyamataiba, viselkedésébe és kommunikációjába. Így a biztonsági szakemberek azonosíthatják a rendellenes viselkedést, a szabályzatok megsértését és a rosszindulatú szándék jeleit, amelyek egyébként észrevétlenül maradnának.

Vizsgáljuk meg a bennfentes fenyegetések észlelésére szolgáló legfontosabb munkavállalói felügyeleti funkciókat, és azt, hogy ezek hogyan fedhetik fel a rosszindulatú szereplőket.

Az adatvesztés-megelőzés (DLP) olyan kifinomult funkciók összessége, amelyek védik az érzékeny információkat a jogosulatlan hozzáféréstől vagy továbbítástól. Felismeri és segít kezelni a lehetséges adatszegéseket, kiszivárgást, visszaélést és véletlen kitettséget.

A DLP-rendszerek azonosítják a szervezeten belüli érzékeny információkat, és digitális őrszemként működnek. Nyomon követik a bizalmas információk mozgását, jelzik a jogosulatlan átviteli, külső eszközökre vagy felhőalapú tárhelyre másolási vagy nyomtatási kísérleteket. A DLP-rendszerek riasztási mechanizmusokkal is rendelkeznek, amelyek értesítik a biztonsági szakembereket és a vezetőket az incidensről.

Az érzékeny adatok aprólékos nyomon követése lehetővé teszi a DLP-megoldások számára, hogy mind a rosszindulatú, mind a gondatlan belső fenyegetéseket felderítsék.

A felhasználói és entitás viselkedéselemző (UEBA) eszközök fejlett elemzési technikákat használnak, beleértve a mesterséges intelligenciát és a gépi tanulást, hogy észleljék az anomális viselkedést és a potenciális biztonsági fenyegetéseket egy szervezet hálózatán belül. Az UEBA először is elemzi a felhasználók (alkalmazottak, ügyfelek és vállalkozók) és entitások (alkalmazások, eszközök és kiszolgálók) tevékenységét, hogy megállapítsa a normál tevékenység alapmintáit. Ezt követően a rendszer folyamatosan figyelemmel kíséri a felhasználók és entitások viselkedését, és összehasonlítja azt a megállapított alapvonalakkal. Ha a rendszer a normálistól való eltérést észlel, akkor azt potenciális biztonsági fenyegetésként jelzi. Minden egyes rendellenességhez kockázati pontszámot rendel, amely a gyanúsabb viselkedéssel növekszik. Ha a kockázati pontszámok meghaladják az előre meghatározott küszöbértékeket, a rendszer figyelmezteti a biztonsági szakembert vagy a vezetőt vizsgálat és esetleges intézkedés céljából.

Az UEBA rendkívül hatékony a bennfentes fenyegetések, a kompromittált fiókok és más, a hagyományos biztonsági eszközöket megkerülő támadási módszerek ellen. Hatékonysága abban rejlik, hogy képes felismerni az olyan fenyegetéseket, amelyek nem felelnek meg az előre meghatározott támadási mintáknak. Ugyanakkor az UEBA alacsonyabb arányban mutat téves pozitív eredményeket, mivel megérti a normális viselkedési mintákat.

Az alkalmazottak munkanapközbeni tevékenységének nyomon követése megmutatja, hogy milyen weboldalakat és alkalmazásokat használnak. Így a szervezetek felismerhetik a nem engedélyezett vagy magas kockázatú weboldalakhoz való hozzáférést, vagy a munkával nem kapcsolatos oldalakon töltött túlzott időt (ami bizonyos esetekben az elköteleződés hiányának vagy rosszindulatú terveknek a jele lehet). Az alkalmazások nyomon követése feltárhatja a biztonsági kockázatot jelentő, nem engedélyezett szoftvertelepítéseket is.

Adatszegések esetén a tevékenységfigyelés segít megtalálni az incidens felelősét, és biztosítja a szükséges bizonyítékokat. Egyik ügyfelünk nemrégiben osztotta meg történetét arról, hogyan segített a CleverControl leleplezni egy bennfentest, aki a versenytársaknak adta el az adatait. Erről olvashat belső fenyegetés esetben többet a blogunkban.

A kommunikáció nyomon követése betekintést nyújt az alkalmazottak kommunikációjának tartalmába és mintáiba. A rendszer folyamatosan figyeli a különböző kommunikációs csatornákat, beleértve az e-mailt, a videokonferenciákat, a fájlmegosztást, az együttműködési eszközöket és az azonnali üzenetküldő platformokat. A fejlett algoritmusok és a mesterséges intelligencia elemzi a kommunikációs mintákat és tartalmakat, és az összegyűjtött adatokat figyelmeztető jelek után kutatva vizsgálja. Ezek a jelek lehetnek gyanús nyelvezet, vagy adatszivárgással, szabotázzsal vagy összejátszással kapcsolatos kulcsszavak. Amikor a rendszer gyanús tevékenységeket észlel, automatikus választ indít, vagy értesíti a biztonsági szakembert azonnali intézkedés céljából.

A kommunikáció nyomon követése jelentősen növeli a vállalat belső fenyegetésekkel szembeni ellenálló képességét, azonban ezt felelősségteljesen kell végrehajtani.

A bennfentes fenyegetések továbbra is jelentős aggodalomra adnak okot a különböző méretű szervezetek számára. Ezek különböző formákban jelentkezhetnek, a rosszindulatú szándéktól az egyszerű gondatlanságig és figyelmetlenségig. A bennfentes fenyegetések azért olyan veszélyesek, mert a biztonsági periférián belülről, megbízható alkalmazottak követik el őket, és ezért sokkal nehezebb felderíteni és megelőzni őket. Az alkalmazottak megfigyelése jó megoldás a bennfentes kockázatok felderítésére és megelőzésére. A DLP, az UEBA, a kommunikáció és a tevékenységfigyelés funkciói szükséges eszköztárat jelentenek minden olyan szervezet számára, amely időben fel akarja fedezni és meg akarja akadályozni a biztonsági jogsértéseket.