Riscurile amenințărilor din interior și modul de detectare a acestora prin monitorizarea angajaților

Spre deosebire de amenințările externe, cum ar fi pătrunderea hackerilor din exterior, amenințările interne sunt reprezentate de persoane din interiorul organizației dumneavoastră. Aceștia pot fi angajați, manageri, parteneri sau contractanți - oricine are acces legitim la date, sisteme și spații confidențiale și utilizează acest acces în moduri care dăunează afacerii dumneavoastră.

Amenințările din interior apar sub mai multe forme, fiecare necesitând metode de detectare ușor diferite. Le putem clasifica, în linii mari, în persoane din interior rău intenționate, persoane din interior neglijente și persoane din interior compromise.

Atunci când ne gândim la amenințările din interior, acest tip ne vine în minte primul. Persoanele din interior rău intenționate provoacă daune din răzbunare după ce au fost respinse la promovare sau au fost supuse unor măsuri disciplinare, din motive ideologice sau chiar din plăcere. Cu toate acestea, majoritatea absolută a incidentelor cu persoane din interior rău intenționate - 89% - sunt motivate de câștiguri financiare personale. Persoanele din interior pot:

• Furați date sensibile ale clienților, secrete comerciale sau informații financiare pentru a le vinde concurenților sau pentru câștig personal.

• Sabotează compania prin ștergerea fișierelor critice, perturbarea sistemelor sau instalarea de programe malware.

• Manipularea înregistrărilor financiare, crearea de conturi frauduloase sau deturnarea de fonduri pentru îmbogățirea personală.

• Să fure modele, formule sau alte proprietăți intelectuale pentru a le vinde concurenților sau pentru a-și începe propria afacere.

Persoanele din interior rău intenționate nu sunt superagenți sub acoperire. Ei pot fi administratorul de sistem nemulțumit care, simțindu-se subevaluat, șterge bazele de date critice ale clienților înainte de a părăsi compania. Sau un reprezentant de vânzări care exportă sistematic date pentru a le vinde concurenților în vederea acoperirii facturilor care se adună. Persoanele din interior rău intenționate sunt angajați obișnuiți care dăunează în mod deliberat organizației. Cu toate acestea, ei sunt responsabili pentru 25% din incidentele de amenințare din interior.

Nu toate persoanele din interior sunt conduse de răutate. Angajații neglijenți nu doresc să facă rău organizației în mod deliberat, dar greșelile lor neintenționate și comportamentul lor neglijent pot cauza la fel de multe daune ca și acțiunile rău intenționate. Un procent uimitor de 88% din toate incidentele de încălcare a securității datelor sunt cauzate sau agravate semnificativ de greșelile angajaților. Persoanelor din interior neglijente le lipsește adesea conștientizarea sau instruirea pentru a recunoaște amenințarea sau sunt pur și simplu nechibzuite. Următoarele lor acțiuni pot duce la încălcări grave ale securității:

• face clic pe link-urile din e-mailurile de phishing, descărcând fără să știe programe malware pe dispozitivele companiei;

• utilizarea de parole ușor de ghicit sau reutilizarea parolelor în mai multe conturi;

• stocarea datelor sensibile în locații nesecurizate;

• schimbul de informații confidențiale prin canale necriptate;

• ocolirea protocoalelor de securitate stabilite, dezactivarea software-ului de securitate sau ignorarea politicilor de securitate din comoditate sau lipsă de înțelegere;

• trimiterea din greșeală de informații sensibile unui destinatar greșit;

• divulgarea sau publicarea neintenționată de informații personale și alte erori umane.

Un exemplu de insider neglijent poate fi un angajat de la contabilitate care primește un e-mail aparent legitim. E-mailul solicită actualizarea datelor bancare pentru un furnizor. Angajatul nu verifică cu atenție adresa de e-mail a expeditorului, face clic pe link, introduce datele de identificare pe o pagină de autentificare falsă și, fără să știe, acordă hackerilor acces la sistemul financiar al companiei.

Ca urmare a neglijenței, contul unui angajat poate fi compromis de actori externi. Hoțul de acreditări dobândește acreditările de autentificare legitime ale unui angajat prin phishing, malware sau alte metode. Atacatorul acționează apoi ca acel angajat, furând date confidențiale sau implicându-se în alte activități rău intenționate. Furtul de acreditări este cauza a 20% din incidentele de amenințare internă.

Așadar, cum putem detecta și preveni amenințările din interior? După cum am menționat mai devreme, metodele tradiționale de securitate sunt eficiente împotriva atacurilor externe, dar adesea orbesc în fața pericolelor interne. Aici intervine monitorizarea angajaților.

Dacă monitorizarea angajaților este pusă în aplicare în mod strategic și etic, aceasta permite organizațiilor să vadă procesele de lucru, comportamentul și comunicațiile personalului. În acest fel, specialiștii în securitate pot identifica comportamente anormale, încălcări ale politicilor și semne de intenții răuvoitoare care altfel ar putea trece neobservate.

Să explorăm principalele caracteristici de monitorizare a angajaților pentru detectarea amenințărilor interne și modul în care acestea pot descoperi actorii rău intenționați.

Prevenirea pierderii de date (DLP) este un set sofisticat de funcții care protejează informațiile sensibile împotriva accesului sau transmiterii neautorizate. Aceasta detectează și ajută la gestionarea potențialelor încălcări ale securității datelor, exfiltrare, utilizare abuzivă și expunere accidentală.

Sistemele DLP identifică informațiile sensibile din cadrul organizației și acționează ca o santinelă digitală. Acestea urmăresc mișcarea informațiilor confidențiale, semnalează încercările neautorizate de a le transfera, de a le copia pe dispozitive externe sau de stocare în cloud, sau de a le imprima. Sistemele DLP dispun, de asemenea, de mecanisme de alertă pentru a notifica specialiștii în securitate și managerii cu privire la incident.

Urmărirea meticuloasă a datelor sensibile permite soluțiilor DLP să detecteze atât amenințările interne rău intenționate, cât și cele din neglijență.

Instrumentele UEBA (User and Entity Behaviour Analytics) utilizează tehnici avansate de analiză, inclusiv AI și machine learning, pentru a detecta comportamente anormale și potențiale amenințări la adresa securității în cadrul rețelei unei organizații. Mai întâi, UEBA analizează activitatea utilizatorilor (angajați, clienți și contractori) și a entităților (aplicații, dispozitive și servere) pentru a stabili modele de bază ale activității normale. După aceea, sistemul monitorizează în permanență comportamentul utilizatorilor și al entităților și îl compară cu liniile de bază stabilite. Dacă detectează abateri de la normă, le semnalează ca potențiale amenințări la adresa securității. Fiecărei anomalii i se atribuie un scor de risc, care crește odată cu creșterea comportamentului suspect. Atunci când scorurile de risc depășesc pragurile predefinite, sistemul alertează specialistul în securitate sau managerul pentru investigații și acțiuni potențiale.

UEBA este extrem de eficient împotriva amenințărilor din interior, a conturilor compromise și a altor metode de atac care pot ocoli instrumentele de securitate tradiționale. Eficacitatea sa constă în capacitatea sa de a detecta amenințările care nu corespund tiparelor de atac predefinite. În același timp, UEBA prezintă o rată mai scăzută de fals pozitive, deoarece înțelege tiparele normale de comportament.

Urmărirea activității angajaților în timpul zilei de lucru dezvăluie ce site-uri și aplicații folosesc aceștia. În acest fel, organizațiile pot detecta accesul la site-uri neautorizate sau cu risc ridicat sau timpul excesiv petrecut pe site-uri care nu au legătură cu munca (care ar putea fi un semn de dezangajare sau de planificare răuvoitoare în unele cazuri). Urmărirea aplicațiilor poate dezvălui, de asemenea, instalări neautorizate de software care ar putea prezenta riscuri de securitate.

În cazurile de încălcare a securității datelor, monitorizarea activității ajută la găsirea celui responsabil de incident și la furnizarea dovezilor necesare. Unul dintre clienții noștri a împărtășit recent povestea sa despre modul în care CleverControl i-a ajutat să descopere un insider care le vindea datele către concurenți. Puteți citi despre aceasta amenințare din interior mai multe pe blogul nostru.

Monitorizarea comunicațiilor oferă informații despre conținutul și modelele de comunicare ale angajaților. Sistemul monitorizează continuu diverse canale de comunicare, inclusiv e-mail, videoconferințe, partajarea fișierelor, instrumente de colaborare și platforme de mesagerie instantanee. Algoritmii avansați și inteligența artificială analizează modelele și conținutul comunicațiilor și scanează datele colectate pentru a detecta semne de avertizare. Aceste semne pot fi un limbaj suspect sau cuvinte-cheie legate de scurgeri de date, sabotaj sau coluziune. Atunci când sistemul detectează activități suspecte, acesta declanșează un răspuns automat sau notifică specialistul în securitate pentru o acțiune imediată.

Monitorizarea comunicării sporește semnificativ capacitatea companiei de a rezista amenințărilor interne; cu toate acestea, ea trebuie pusă în aplicare în mod responsabil.

Amenințările din interior rămân o preocupare semnificativă pentru toate organizațiile de toate dimensiunile. Acestea pot lua diverse forme, de la intenții răuvoitoare la simplă neglijență și nepăsare. Amenințările din interior sunt atât de periculoase deoarece sunt comise de angajați de încredere din interiorul perimetrului de securitate și, prin urmare, sunt mult mai greu de detectat și prevenit. Monitorizarea angajaților este o soluție bună pentru detectarea și prevenirea riscurilor din interior. Funcționalitățile sale DLP, UEBA, de comunicare și de monitorizare a activității reprezintă setul de instrumente necesar pentru orice organizație care dorește să detecteze și să prevină în timp util încălcările securității.