Zagrożenia wewnętrzne i sposoby ich wykrywania poprzez monitorowanie pracowników

W przeciwieństwie do zagrożeń zewnętrznych, takich jak hakerzy włamujący się z zewnątrz, zagrożenia wewnętrzne są stwarzane przez osoby wewnątrz organizacji. Mogą to być pracownicy, menedżerowie, partnerzy lub kontrahenci - każdy, kto ma legalny dostęp do poufnych danych, systemów i pomieszczeń i wykorzystuje ten dostęp w sposób szkodzący firmie.

Zagrożenia wewnętrzne występują w wielu formach, z których każda wymaga nieco innych metod wykrywania. Możemy je ogólnie podzielić na złośliwych insiderów, niedbałych insiderów i skompromitowanych insiderów.

Kiedy myślimy o zagrożeniach wewnętrznych, ten typ zwykle przychodzi na myśl jako pierwszy. Złośliwi insiderzy celowo wyrządzają szkody z zemsty po tym, jak zostali pominięci przy awansie lub w obliczu działań dyscyplinarnych, z powodów ideologicznych, a nawet dla zabawy. Jednak absolutna większość złośliwych incydentów insiderów - 89% - jest spowodowana osobistymi korzyściami finansowymi. Insiderzy mogą:

• Kradzież poufnych danych klientów, tajemnic handlowych lub informacji finansowych w celu sprzedaży konkurentom lub dla osobistych korzyści.

• Sabotowanie firmy poprzez usuwanie krytycznych plików, zakłócanie pracy systemów lub instalowanie złośliwego oprogramowania.

• Manipulowanie dokumentacją finansową, tworzenie fałszywych kont lub defraudacja w celu osobistego wzbogacenia się.

• Kradzież zastrzeżonych projektów, formuł lub innej własności intelektualnej w celu sprzedaży konkurentom lub założenia własnej firmy.

Złośliwi insiderzy nie są tajnymi superagentami. Może to być niezadowolony administrator systemu, który czując się niedoceniony, usuwa krytyczne bazy danych klientów przed odejściem z firmy. Albo przedstawiciel handlowy systematycznie eksportujący dane, by sprzedać je konkurencji w celu pokrycia piętrzących się rachunków. Złośliwi insiderzy to zwykli pracownicy celowo szkodzący organizacji. Są oni jednak odpowiedzialni za 25% incydentów związanych z zagrożeniami wewnętrznymi.

Nie wszyscy insiderzy kierują się złośliwością. Niedbali pracownicy nie chcą celowo zaszkodzić organizacji, ale ich niezamierzone błędy i nieostrożne zachowanie mogą wyrządzić tyle samo szkód, co złośliwe działania. Zdumiewające 88% wszystkich incydentów naruszenia danych jest spowodowanych lub znacznie pogorszonych przez błędy pracowników. Niedbałym pracownikom wewnętrznym często brakuje świadomości lub przeszkolenia, aby rozpoznać zagrożenie lub są po prostu lekkomyślni. Ich następujące działania mogą prowadzić do poważnych naruszeń bezpieczeństwa:

• klika linki w wiadomościach phishingowych, nieświadomie pobierając złośliwe oprogramowanie na urządzenia firmowe;

• używanie łatwych do odgadnięcia haseł lub ponowne używanie haseł na wielu kontach;

• przechowywanie wrażliwych danych w niezabezpieczonych lokalizacjach;

• udostępnianie poufnych informacji za pośrednictwem niezaszyfrowanych kanałów;

• omijanie ustalonych protokołów bezpieczeństwa, wyłączanie oprogramowania zabezpieczającego lub ignorowanie zasad bezpieczeństwa ze względu na wygodę lub brak zrozumienia;

• omyłkowe wysłanie poufnych informacji do niewłaściwego odbiorcy;

• niezamierzone ujawnienie lub opublikowanie danych osobowych i inne błędy ludzkie.

Przykładem niedbałego insidera może być pracownik działu księgowości otrzymujący pozornie legalną wiadomość e-mail. Wiadomość zawiera prośbę o aktualizację danych bankowych dostawcy. Pracownik nie sprawdza dokładnie nadawcy e-maila, klika link, wprowadza dane uwierzytelniające na fałszywej stronie logowania i nieświadomie przyznaje hakerom dostęp do systemu finansowego firmy.

W wyniku zaniedbania konto pracownika może zostać naruszone przez podmioty zewnętrzne. Złodziej danych uwierzytelniających uzyskuje legalne dane logowania pracownika za pomocą phishingu, złośliwego oprogramowania lub innych metod. Następnie atakujący działa jako ten pracownik, kradnąc poufne dane lub angażując się w inne złośliwe działania. Kradzież danych uwierzytelniających jest przyczyną 20% incydentów związanych z zagrożeniami wewnętrznymi.

Jak więc wykrywać zagrożenia wewnętrzne i im zapobiegać? Jak wspomniano wcześniej, tradycyjne metody bezpieczeństwa są skuteczne przeciwko atakom zewnętrznym, ale często są ślepe na zagrożenia wewnętrzne. W tym miejscu do gry wkracza monitorowanie pracowników.

Jeśli monitorowanie pracowników jest wdrażane w sposób strategiczny i etyczny, umożliwia organizacjom wgląd w procesy pracy, zachowanie i komunikację personelu. W ten sposób specjaliści ds. bezpieczeństwa mogą zidentyfikować nietypowe zachowania, naruszenia zasad i oznaki złych intencji, które w przeciwnym razie mogłyby pozostać niezauważone.

Przyjrzyjmy się kluczowym funkcjom monitorowania pracowników w celu wykrywania zagrożeń wewnętrznych i sposobu, w jaki mogą one ujawniać złośliwych aktorów.

Zapobieganie utracie danych (DLP) to zaawansowany zestaw funkcji do ochrony poufnych informacji przed nieautoryzowanym dostępem lub transmisją. Wykrywa i pomaga zarządzać potencjalnymi naruszeniami danych, eksfiltracją, niewłaściwym użyciem i przypadkowym narażeniem.

Systemy DLP identyfikują poufne informacje w organizacji i działają jak cyfrowy strażnik. Śledzą ruch poufnych informacji, oznaczają nieautoryzowane próby ich przesyłania, kopiowania na urządzenia zewnętrzne lub do pamięci masowej w chmurze lub drukowania. Systemy DLP posiadają również mechanizmy alertów, które powiadamiają specjalistów ds. bezpieczeństwa i menedżerów o incydencie.

Skrupulatne śledzenie wrażliwych danych pozwala rozwiązaniom DLP wykrywać zarówno złośliwe, jak i niedbałe zagrożenia wewnętrzne.

Narzędzia User and Entity Behaviour Analytics (UEBA) wykorzystują zaawansowane techniki analityczne, w tym sztuczną inteligencję i uczenie maszynowe, do wykrywania anomalnych zachowań i potencjalnych zagrożeń bezpieczeństwa w sieci organizacji. Po pierwsze, UEBA analizuje aktywność użytkowników (pracowników, klientów i kontrahentów) oraz podmiotów (aplikacji, urządzeń i serwerów) w celu ustalenia podstawowych wzorców normalnej aktywności. Następnie system stale monitoruje zachowanie użytkowników i podmiotów i porównuje je z ustalonymi wartościami bazowymi. Jeśli wykryje jakiekolwiek odchylenia od normy, oznacza je jako potencjalne zagrożenia bezpieczeństwa. Każdej anomalii przypisywana jest ocena ryzyka, która wzrasta wraz z bardziej podejrzanym zachowaniem. Gdy wyniki ryzyka przekroczą wcześniej zdefiniowane progi, system ostrzega specjalistę ds. bezpieczeństwa lub menedżera w celu zbadania i podjęcia potencjalnych działań.

UEBA jest niezwykle skuteczna w walce z zagrożeniami wewnętrznymi, zainfekowanymi kontami i innymi metodami ataku, które mogą ominąć tradycyjne narzędzia bezpieczeństwa. Jego skuteczność polega na zdolności do wykrywania zagrożeń, które nie pasują do wcześniej zdefiniowanych wzorców ataków. Jednocześnie UEBA wykazuje niższy wskaźnik fałszywych alarmów, ponieważ rozumie normalne wzorce zachowań.

Śledzenie aktywności pracowników podczas dnia pracy ujawnia, z jakich stron internetowych i aplikacji korzystają. W ten sposób organizacje mogą wykryć dostęp do nieautoryzowanych lub wysoce ryzykownych stron internetowych lub nadmierny czas spędzony na stronach niezwiązanych z pracą (co w niektórych przypadkach może być oznaką braku zaangażowania lub złośliwego planowania). Śledzenie aplikacji może również ujawnić nieautoryzowane instalacje oprogramowania, które mogą stanowić zagrożenie dla bezpieczeństwa.

W przypadku naruszenia danych monitorowanie aktywności pomaga znaleźć osobę odpowiedzialną za incydent i dostarczyć niezbędnych dowodów. Jeden z naszych klientów podzielił się niedawno swoją historią o tym, jak CleverControl pomógł mu ujawnić osobę z wewnątrz firmy sprzedającą dane konkurencji. Możesz przeczytać o tym zagrożenie wewnętrzne więcej na naszym blogu.

Monitorowanie komunikacji zapewnia wgląd w treść i wzorce komunikacji pracowników. System stale monitoruje różne kanały komunikacji, w tym pocztę e-mail, wideokonferencje, udostępnianie plików, narzędzia do współpracy i platformy komunikatorów internetowych. Zaawansowane algorytmy i sztuczna inteligencja analizują wzorce i treść komunikacji oraz skanują zebrane dane w poszukiwaniu znaków ostrzegawczych. Znakami tymi mogą być podejrzany język lub słowa kluczowe związane z wyciekami danych, sabotażem lub zmową. Gdy system wykryje podejrzane działania, uruchamia automatyczną reakcję lub powiadamia specjalistę ds. bezpieczeństwa w celu podjęcia natychmiastowych działań.

Monitorowanie komunikacji znacznie zwiększa zdolność firmy do przeciwstawiania się wewnętrznym zagrożeniom, jednak musi być wdrażane w sposób odpowiedzialny.

Zagrożenia wewnętrzne pozostają istotnym problemem dla wszystkich organizacji każdej wielkości. Mogą one przybierać różne formy, od złośliwych zamiarów po zwykłe zaniedbania i nieostrożność. Zagrożenia wewnętrzne są tak niebezpieczne, ponieważ są popełniane przez zaufanych pracowników z poziomu zabezpieczeń, a zatem znacznie trudniej je wykryć i im zapobiec. Monitorowanie pracowników jest dobrym rozwiązaniem do wykrywania i zapobiegania zagrożeniom wewnętrznym. Jego funkcje DLP, UEBA, komunikacji i monitorowania aktywności są niezbędnym zestawem narzędzi dla każdej organizacji, która chce w odpowiednim czasie wykrywać i zapobiegać naruszeniom bezpieczeństwa.