Ризики внутрішніх загроз і як їх виявити за допомогою моніторингу співробітників

На відміну від зовнішніх загроз, таких як хакерські атаки ззовні, внутрішні загрози створюються особами всередині вашої організації. Це можуть бути ваші співробітники, менеджери, партнери або підрядники - будь-хто, хто має законний доступ до конфіденційних даних, систем та приміщень і використовує цей доступ у спосіб, що шкодить вашому бізнесу.

Інсайдерські загрози з'являються в різних формах, кожна з яких вимагає дещо різних методів виявлення. Загалом їх можна поділити на зловмисних інсайдерів, недбалих інсайдерів та скомпрометованих інсайдерів.

Коли ми думаємо про інсайдерські загрози, цей тип зазвичай спадає на думку першим. Зловмисні інсайдери навмисно завдають шкоди з помсти після того, як їх не прийняли на роботу або піддали дисциплінарному стягненню, з ідеологічних міркувань або навіть заради розваги. Однак абсолютна більшість зловмисних інсайдерських інцидентів - 89% - зумовлені особистою фінансовою вигодою. Інсайдери можуть:

• Крадіжка конфіденційних даних клієнтів, комерційної таємниці або фінансової інформації з метою продажу конкурентам або для отримання особистої вигоди.

• Саботувати роботу компанії, видаляючи важливі файли, виводячи з ладу системи або встановлюючи шкідливе програмне забезпечення.

• Маніпулювати фінансовими документами, створювати шахрайські рахунки або розкрадати кошти для особистого збагачення.

• Крадіжка патентованих розробок, формул або іншої інтелектуальної власності з метою продажу конкурентам або започаткування власного бізнесу.

Зловмисні інсайдери - це не суперагенти під прикриттям. Це може бути ваш незадоволений системний адміністратор, який, відчуваючи, що його недооцінюють, видаляє важливі бази даних клієнтів перед тим, як піти з компанії. Або торговий представник, який систематично експортує дані, щоб продати їх конкурентам і покрити рахунки, що накопичуються. Зловмисні інсайдери - це звичайні працівники, які свідомо завдають шкоди організації. Проте, саме на них припадає 25% інцидентів, пов'язаних з внутрішніми загрозами.

Не всі інсайдери керуються злим умислом. Недбайливі працівники не хочуть навмисно шкодити організації, але їхні ненавмисні помилки та необережна поведінка можуть завдати не меншої шкоди, ніж зловмисні дії. Вражаючі 88% всіх інцидентів, пов'язаних з витоком даних, спричинені або значно погіршені помилками співробітників. Недбалі інсайдери часто не мають достатньої обізнаності або підготовки, щоб розпізнати загрозу, або просто нерозважливі. Їхні наступні дії можуть призвести до серйозних порушень безпеки:

• переходить за посиланнями у фішингових листах, несвідомо завантажуючи шкідливе програмне забезпечення на пристрої компанії;

• використання паролів, які легко вгадати, або повторне використання паролів у різних облікових записах;

• зберігання конфіденційних даних у незахищених місцях;

• обмін конфіденційною інформацією незашифрованими каналами;

• обхід встановлених протоколів безпеки, відключення програмного забезпечення для захисту або ігнорування політик безпеки через зручність чи нерозуміння;

• помилкове надсилання конфіденційної інформації не тому одержувачу;

• ненавмисне розголошення або публікація особистої інформації та інші людські помилки.

Прикладом недбалого інсайдера може бути працівник відділу кредиторської заборгованості, який отримав на перший погляд легітимний електронний лист. У листі міститься прохання оновити банківські реквізити для постачальника. Працівник не перевіряє ретельно електронну пошту відправника, переходить за посиланням, вводить облікові дані на фальшивій сторінці входу в систему і несвідомо надає хакерам доступ до фінансової системи компанії.

Через недбалість обліковий запис працівника може бути скомпрометований зовнішніми суб'єктами. Викрадач облікових даних отримує законні облікові дані співробітника за допомогою фішингу, шкідливого програмного забезпечення або інших методів. Потім зловмисник діє від імені цього працівника, викрадаючи конфіденційні дані або займаючись іншими зловмисними діями. Крадіжка облікових даних є причиною 20% інцидентів, пов'язаних з внутрішніми загрозами.

Тож як виявити внутрішні загрози та запобігти їм? Як згадувалося раніше, традиційні методи безпеки ефективні проти зовнішніх атак, але часто залишаються сліпими до внутрішніх небезпек. Саме тут у гру вступає моніторинг співробітників.

Якщо моніторинг працівників здійснюється стратегічно та етично, він дозволяє організаціям зазирнути в робочі процеси, поведінку та комунікації персоналу. Таким чином, фахівці з безпеки можуть виявити аномальну поведінку, порушення політики та ознаки зловмисних намірів, які інакше могли б залишитися непоміченими.

Давайте розглянемо ключові функції моніторингу співробітників для виявлення внутрішніх загроз і те, як вони можуть виявити зловмисників.

Data Loss Prevention (DLP) - це складний набір функцій для захисту конфіденційної інформації від несанкціонованого доступу або передачі. Він виявляє та допомагає керувати потенційними витоками, витоками, зловживаннями та випадковим витоком даних.

Системи DLP ідентифікують конфіденційну інформацію в організації та діють як цифровий вартовий. Вони відстежують переміщення конфіденційної інформації, позначають несанкціоновані спроби її передачі, копіювання на зовнішні пристрої чи хмарні сховища або роздруківки. DLP-системи також мають механізми оповіщення, які сповіщають фахівців з безпеки та менеджерів про інцидент.

Ретельне відстеження конфіденційних даних дозволяє DLP-рішенням виявляти як зловмисні, так і необережні інсайдерські загрози.

Інструменти аналізу поведінки користувачів і організацій (UEBA) використовують передові методи аналізу, зокрема штучний інтелект і машинне навчання, для виявлення аномальної поведінки та потенційних загроз безпеці в мережі організації. Спочатку UEBA аналізує активність користувачів (співробітників, клієнтів і підрядників) та об'єктів (додатків, пристроїв і серверів), щоб встановити базові шаблони нормальної діяльності. Після цього система безперервно відстежує поведінку користувачів та організацій і порівнює її зі встановленими базовими показниками. Якщо вона виявляє будь-які відхилення від норми, вона позначає їх як потенційні загрози безпеці. Кожній аномалії присвоюється оцінка ризику, яка зростає з більш підозрілою поведінкою. Коли оцінка ризику перевищує встановлені порогові значення, система сповіщає фахівця з безпеки або керівника для розслідування та вжиття можливих заходів.

UEBA надзвичайно ефективний проти інсайдерських загроз, скомпрометованих акаунтів та інших методів атак, які можуть обходити традиційні інструменти безпеки. Його ефективність полягає в здатності виявляти загрози, які не відповідають попередньо визначеним шаблонам атак. Водночас UEBA демонструє нижчий рівень помилкових спрацьовувань, оскільки він розуміє звичайні моделі поведінки.

Відстеження активності працівників протягом робочого дня показує, які веб-сайти та додатки вони використовують. Таким чином, організації можуть виявити доступ до несанкціонованих або ризикованих веб-сайтів або надмірне перебування на сайтах, не пов'язаних з роботою (що в деяких випадках може бути ознакою відсторонення від роботи або зловмисного планування). Відстеження додатків також може виявити несанкціоноване встановлення програмного забезпечення, яке може становити загрозу безпеці.

У випадках витоку даних моніторинг активності допомагає знайти відповідального за інцидент і надати необхідні докази. Один з наших клієнтів нещодавно поділився своєю історією про те, як CleverControl допоміг їм виявити інсайдера, який продавав їхні дані конкурентам. Ви можете прочитати про це внутрішня загроза більше в нашому блозі.

Моніторинг комунікацій дає уявлення про зміст і моделі комунікацій співробітників. Система безперервно відстежує різні канали комунікації, включаючи електронну пошту, відеоконференції, спільний доступ до файлів, інструменти для співпраці та платформи обміну миттєвими повідомленнями. Вдосконалені алгоритми та штучний інтелект аналізують шаблони та зміст комунікацій і сканують зібрані дані на наявність тривожних ознак. Такими ознаками можуть бути підозріла мова або ключові слова, пов'язані з витоком даних, саботажем або змовою. Коли система виявляє підозрілу активність, вона запускає автоматичну реакцію або повідомляє фахівця з безпеки для негайних дій.

Моніторинг комунікацій значно підвищує здатність компанії протистояти внутрішнім загрозам, однак він має здійснюватися відповідально.

Інсайдерські загрози залишаються серйозною проблемою для організацій будь-якого розміру. Вони можуть мати різні форми, від злого наміру до простої недбалості та необережності. Внутрішні загрози настільки небезпечні, тому що вони здійснюються довіреними співробітниками, які знаходяться в межах периметра безпеки, і тому їх набагато складніше виявити і запобігти їм. Моніторинг співробітників є хорошим рішенням для виявлення та запобігання внутрішнім ризикам. Функції DLP, UEBA, моніторингу зв'язку та активності є необхідним інструментарієм для будь-якої організації, яка хоче своєчасно виявляти та запобігати порушенням безпеки.