Что такое инсайдерская угроза?

Опубликовано:

Инсайдерские угрозы определяются как угрозы кибербезопасности, исходящие из вашей собственной компании. Это может быть сотрудник или поставщик - даже бывший сотрудник. Любой, кто имеет действительный доступ к вашей сети, может быть инсайдерской угрозой. Справиться с внутренними угрозами нелегко, поскольку ответственность за них несут люди, которым вы доверяете свои данные и системы.

Типы внутренних угроз

Существует три типа внутренних угроз: скомпрометированные пользователи, неосторожные пользователи и злоумышленники.

Скомпрометированные сотрудники или поставщики

Скомпрометированные сотрудники или поставщики - это самый важный тип внутренних угроз, с которыми вам придется столкнуться. Это происходит потому, что никто из вас не знает, что они скомпрометированы. Это может произойти, если сотрудник предоставит доступ злоумышленнику, нажав на фишинговую ссылку в электронном письме. Вот наиболее распространенные типы внутренних угроз.

Неосторожные сотрудники

Неосторожные сотрудники или поставщики могут стать мишенью для злоумышленников. Оставить компьютер или терминал незапертым на несколько минут может быть достаточно, чтобы получить доступ.

Предоставление прав DBA обычным пользователям (или, что еще хуже, использование системных учетных записей программного обеспечения) для выполнения ИТ-работы также является примером неосторожных инсайдерских угроз.

Вредоносный инсайдер

Злоумышленники могут принимать любую форму и облик. Обычно они имеют законный пользовательский доступ к системе и умышленно извлекают данные или интеллектуальную собственность. Поскольку они участвуют в атаке, они также могут скрыть свои следы. Это еще больше затрудняет обнаружение.

Обнаружение инсайдерских угроз

Большинство используемых сегодня средств безопасности пытаются предотвратить компрометацию легальных пользователей. Сюда входят такие средства, как брандмауэры, сканирование конечных точек и средства защиты от фишинга. Они также являются наиболее распространенными типами взломов, поэтому вполне логично, что так много усилий направлено на их предотвращение.

С двумя другими типами профилей справиться не так просто. При небрежном поведении узнать, какое системное событие было достоверным, а какое нет, практически невозможно. Сетевые администраторы и администраторы безопасности, вероятно, не знают контекста поведения приложения, поэтому не заметят ничего подозрительного, пока не станет слишком поздно.

Аналогичным образом, если речь идет о злоумышленниках, они будут знать все тонкости и нюансы системы безопасности вашей компании. Это дает им хорошие шансы остаться незамеченными.

Наиболее существенными проблемами при обнаружении внутренних угроз являются:

Законные пользователи

Характер угрозы - это то, что делает ее столь сложной для предотвращения. Когда действующее лицо использует свои подлинные профили входа в систему, немедленного предупреждения не происходит. Редкий доступ к большим файлам или базам данных может быть вполне допустимой частью их повседневной работы.

Контекст системы и программного обеспечения

Чтобы команда безопасности поняла, что происходит что-то ужасное, ей необходимо знать, как выглядит это что-то. Это не так просто. Обычно бизнес-подразделения являются экспертами, когда дело касается их программного обеспечения. Без правильного контекста обнаружить реальную внутреннюю угрозу из операционного центра безопасности практически невозможно.

Действия после входа в систему

Отслеживание действий каждого пользователя после того, как он вошел в систему, - это большая работа. В некоторых случаях необходимо проверять необработанные журналы и изучать каждое событие. Даже с инструментами машинного обучения (ML) это все равно может быть большой объем работы. Кроме того, это может привести к большому количеству ложных срабатываний, что добавит шума в проблему.

Индикаторы инсайдерских атак

Обнаружить атаки все еще возможно. Некоторые признаки легко заметить и принять меры.

Общими индикаторами инсайдерских угроз являются:

  • Необъяснимая финансовая выгода
  • Злоупотребление служебными учетными записями.
  • Многократные неудачные входы в систему.
  • Неправильные запросы на доступ к программному обеспечению.
  • Передача большого объема данных или файлов.

Использование систем и инструментов, которые ищут эти элементы, может помочь поднять тревогу в случае атаки. Регулярное сканирование конечных точек (ежедневно) обеспечит чистоту рабочих станций от вирусов и вредоносных программ.

Выявление нарушений в системе

Выявление нарушений начинается с понимания командой безопасности нормального поведения.

Нормальное поведение должно быть отображено вплоть до самого низкого уровня доступа и активности. В журналы должны быть включены идентификатор пользователя, IP-адрес рабочей станции, IP-адрес сервера, к которому был осуществлен доступ, отдел сотрудников и используемое программное обеспечение.

Кроме того, знание того, к какой базе данных был получен доступ, какие схемы и таблицы были прочитаны, и какие другие операции SQL были выполнены, поможет команде безопасности выявить нарушения.

Обнаружение инсайдерских угроз с помощью машинного обучения

Одной из областей, где машинное обучение дает огромный возврат инвестиций, является обнаружение сетевых угроз. Хотя это не волшебство, оно может показать, куда направить ваши ресурсы.

Предоставляя алгоритму машинного обучения информацию о состоянии и поведении системы, можно быстро определить странные и подозрительные действия. Такая информация, как типы пользователей и соединений, права доступа к ролям и приложениям, время работы и шаблоны доступа, может быть оперативно передана приложениям ML.

Узнать, что выходит за рамки нормального состояния системы, можно, включив в процесс оповещения следующее:

  • Перечисление прав доступа к таблицам для каждого приложения.
  • Указание учетных данных учетных записей служб и используемых схем.
  • Мониторинг обычных мест хранения данных.

Предотвращение внутренних угроз с помощью скоринга угроз

Корреляция вышеперечисленных типов информации позволяет создавать оценки угроз для каждого действия пользователя. Сопоставив их с учетными данными пользователя, вы сможете предупредить службу безопасности вскоре после обнаружения нарушения.

Использование этого типа аналитики является новым для отрасли. Первые внедрения были успешными и помогли компаниям получить преимущество над конкурентами.

Поставщики начинают предлагать индивидуальные решения по управлению рисками безопасности, которые включают в себя:

  • поведенческую аналитику
  • анализ угроз
  • Обнаружение аномалий
  • Прогнозируемые предупреждения

Статистика по инсайдерским угрозам

33% организаций сталкивались с инцидентами, связанными с внутренними угрозами. (Источник: SANS)

Два из трех инцидентов инсайдерской угрозы происходят из-за халатности подрядчиков или сотрудников. (Источник: Ponemon Institute)

69% организаций сталкивались с попыткой или успешной угрозой или повреждением данных за последние 12 месяцев. (Источник: Accenture)

На локализацию инсайдерской угрозы уходит в среднем 72 дня.

Проактивный подход к инсайдерским угрозам

Использование исторических данных поможет вам быстро составить профили риска для каждого из ваших пользователей. Сопоставление их ежедневного взаимодействия с данными, которыми вы управляете, позволит вам узнать, где находятся профили повышенного риска. Это позволит вам активно действовать в тех областях, которые вызывают у вас наибольшие опасения.

Хотя любая точка в сети представляет риск, повышенные права доступа имеют наибольший потенциал для злоупотреблений. Внедрение мониторинга ключевых показателей для этих профилей пользователей с помощью политик активного каталога позволит снизить степень риска, с которым вы сталкиваетесь.

Аудит увольняющихся сотрудников, гарантирующий, что их учетные данные аннулированы и они не уходят с данными компании, также крайне важен. Почти 70% увольняющихся сотрудников признаются, что забирают с собой некоторые данные. Если учетные данные также остаются нетронутыми, вы можете оставить дверь открытой для них. Управление привилегированным доступом - отличный способ управления пользователями.

Хотя непреднамеренные внутренние угрозы остаются самой большой проблемой, именно злонамеренные угрозы могут привести к самой серьезной катастрофе.

Смотрите также:
  1. Утечка Conti: 60 000 сообщений в сети
  2. Каким должен быть современный антивирус?
  3. Что делать если компьютер оказался частью бот сети?
  4. Как проверить наличие Log Injection
  5. Лучшие средства сканирования для оценки уязвимостей
  6. SSL и безопасность в Internet
  7. Безопасность хранения данных в социальных сетях
Понравилась статья? Поделиться с друзьями:
Добавить комментарий