12 Февраля, 2019

Выявление, понимание и борьба с внутренними угрозами

Владимир Безмалый

Ваша организация почти наверняка ищет угрозы извне компании. Но готовы ли вы противостоять угрозам изнутри?

Большинство, если не все, организации бдительно следят за защитой от угроз, которые могут проникнуть в конечные системы через электронную почту, веб-сайты и другие известные и неизвестные пути. Но как насчет угроз, исходящих изнутри вашей организации? Хуже того, от тех, кому ты считаешь, можно доверять?

Каковы внутренние угрозы?

«Инсайдерские угрозы» далеко не монолитны. Хотя мы склонны думать о мстительных бывших сотрудниках или подрядчиках в поисках нечестно полученных выгод, правда заключается в том, что многие нарушения со стороны инсайдеров являются совершенно непреднамеренными. В отчете CA Insider Threat 2018 говорится, что компании должны быть по меньшей мере так же обеспокоены 51% случайных или непреднамеренных утечек данных, вызванных небрежностью или скомпрометированными учетными данными, поскольку они составляют чуть меньший процент, вызванный умышленными злонамеренными действиями. Инсайдерская активность является причиной 47% утечек.

В этом году, по оценкам 90% организаций уязвимы для инсайдерских угроз, а более 50% подверглись атакам инсайдеров в прошлом году.

Когда дело доходит до предотвращения несчастных случаев, которые приводят к непреднамеренным нарушениям организационных систем, обучение пользователей является главным приоритетом. Сделайте обучение безопасности неотъемлемой частью процесса адаптации. Когда системы обновляются или внедряются новые процессы или процедуры, учебные занятия снижают вероятность атак из-за ошибок или небрежности.

Но как вы можете предвидеть злонамеренные атаки изнутри и предотвращать их и ущерб, который они наносят, пока не стало слишком поздно?

Выявление ранних предупреждающих знаков

Владельцы бизнеса, ИТ-специалисты и специалисты по кибербезопасности всегда должны быть внимательны к возможностям внутренних угроз, поскольку обеспечение безопасности данных от тех, кто имеет разрешение на доступ к ним, зависит от быстрой идентификации и реагирования на нарушения. Злобные инсайдеры одерживают верх; ведь они уже прошли вашу защиту. Благодаря авторизованному доступу к системе у них есть конфиденциальные данные под рукой, они знают слабые стороны организации и могут легко приобретать ценные активы. Как говорится в отчете CA Insider Threat 2018 штатные сотрудники (56%) и привилегированные ИТ — пользователи (55%) представляют наибольшую угрозу безопасности инсайдерской организации, за ними следуют подрядчики (42%).

Обращайтесь к недовольным сотрудникам

Неужели сотрудники недовольны? Помните, что недовольных сотрудников можно легко соблазнить. Следить за сотрудниками и учитывать их душевное состояние — это больше, чем просто хорошая кадровая практика — это также хорошая политика кибербезопасности.

Итак, обратитесь к своим сотрудникам. Встретьтесь с ними, поговорите с ними. Постарайтесь понять, что они думают о состоянии вашей организации. Исправление проблем до того, как они перейдут в злонамеренную киберактивность, может спасти компанию от неприятностей, которые могут возникнуть в результате взлома инсайдера.

Отмена доступа немедленно после прекращения работы

Бывшие сотрудники, которые все еще имеют доступ к сетям и данным компании, представляют серьезную угрозу безопасности — те, кого уволили с работы, представляют особый риск. Например, в 2014 году, когда был взломан Sony Pictures , исследователи из Norse Corporation обнаружили, что группа из шести человек, включая одного бывшего сотрудника, была непосредственно вовлечена в преступление. Бывший сотрудник Sony был уволен всего за несколько месяцев до нападения. Стечение обстоятельств? Больше похоже на месть.

Установите ИТ-процедуры для увольнения сотрудников и придерживайтесь их тщательно и быстро. Немедленно уведомите ИТ-отдел об окончании работы пользователя и убедитесь, что все права доступа к сетям, данным и компьютерному оборудованию быстро аннулированы.

Следите за финансовыми затруднениями.

Известно, что нарушения инсайдера были вызваны финансовыми потребностями и жадностью. Независимо от того, испытывает ли сотрудник кредитное давление, не получил ожидаемого повышения по службе или сталкивается с неожиданным давлением из-за кризиса в области здравоохранения или по другой причине, внешнее давление может привести к тому, что человек получит столь необходимые денежные средства любым способом.

Помимо угрозы кибербезопасности, финансовый стресс влияет на производительность и здоровье сотрудников. Специалисты по кадрам должны убедиться, что менеджеры знают о признаках финансового стресса, и предупредить их о возможном поведении сотрудников.

Следите за внезапными, необъяснимыми изменениями в интересах или поведении.

Неужели человек вдруг работает допоздна или в неурочное время? Помните о необычном, необъяснимом поведении. Сотрудники, которые внезапно заинтересованы в доступе к секретным материалам или информации за пределами своих текущих назначений, должны явно вызвать внимание службы безопасности. Исследуйте, почему они могут быть заинтересованы. Не думайте, что вы можете им доверять, независимо от их роли в компании.

Возьмем Эдварда Сноудена. Бывший агент ЦРУ и правительственный подрядчик США публично обнародовали записи о государственном наблюдении, прежде чем покинуть страну, и по сей день заявляет, что не сожалеет .

Противодействие с использованием доступа с наименьшими привилегиями

Лучшие методы предотвращения внутренних угроз начинаются со стандартных методов для общих рисков для сотрудников: учитывайте подозрительное или ошибочное поведение. Обратите внимание на неудовлетворенность и попытайтесь ее решить.

Сегодня, чтобы уменьшить поверхность атаки для внутренних угроз, организации все чаще ограничивают разрешения сотрудников на основе принципа доступа с наименьшими привилегиями. Каждый пользователь имеет права доступа только к системам и данным, необходимым для работы. Кроме того, каждая система обладает наименьшими полномочиями, необходимыми для выполнения возложенных на нее обязанностей.

Концепция нулевого доверия использует еще один подход с наименьшими привилегиями для дальнейшей борьбы с внутренними угрозами, основанный на том принципе, что ни одному человеку или устройству нельзя доверять, независимо от того, находится он внутри или за пределами периметра сети. Это требует, чтобы каждый человек и / или устройство были проверены и аутентифицированы для доступа к каждому ресурсу. Микросегментация останавливает распространение злонамеренных агентов, если они проникнут внутрь.

В результате меньше сотрудников могут совершать злонамеренные действия, меньше учетных записей могут быть взломаны и меньше людей могут совершать ошибки, которые приводят к нарушениям.

Оригинал