Вътрешната заплаха е риск за сигурността, който произхожда от организацията. Обикновено включва служители, изпълнители, доставчици или партньори, които имат достъп до чувствителна информация или критични системи. Това е за разлика от външните заплахи, които идват от хакери или киберпрестъпници извън организацията. Вътрешните заплахи представляват уникално предизвикателство за смекчаване, тъй като са причинени от хора, които се ползват с доверие и имат законен достъп до ресурси.
Важно е да разберете естеството и обхвата на вътрешните заплахи и да увеличите осведомеността за вътрешните заплахи поради няколко причини.
- Първо, щетите, причинени от вътрешен човек, могат да бъдат много по-мащабни поради неговите задълбочени познания за системите и процесите на организацията и достъпа им до голямо разнообразие от ресурси.
- Второ, наследените мерки за сигурност като защитни стени и антивирусен софтуер често са неефективни срещу вътрешни заплахи, тъй като са предназначени да предпазват нападателите, но не се отнасят към случая на използване на нападатели, идващи отвътре.
- Трето, цената на вътрешна атака може да бъде значителна, не само по отношение на финансови загуби, но и по отношение на репутационни щети. Ако се разчуе, че вътрешен служител е причинил атака, това може да доведе до загуба на доверие в компанията.
- И накрая, вътрешните заплахи могат да бъдат трудни за откриване и предотвратяване, тъй като по време на атаката се използват законни ресурси.
Следователно организациите трябва да възприемат многопластов подход за защита от вътрешни заплахи и за управление на вътрешни заплахи. Стратегията трябва да включва мониторинг, превенция и обучение. В тази статия предоставяме повече информация за вътрешни заплахи и решения за намаляване на риска от вътрешни заплахи.
Дефиниция на вътрешна заплаха
Вътрешна заплаха е рискът за сигурността, произхождащ от лицата в организацията. Това могат да бъдат служители, изпълнители, доставчици или партньори. Вътрешните хора, които представляват заплаха, обикновено имат достъп до чувствителни данни, критични системи или привилегировани акаунти.
Вътрешните заплахи могат да бъдат категоризирани в два основни типа: случайни и злонамерени. Случайни заплахи възникват, когато служител неволно изложи чувствителни данни. Например чрез грешен имейл или неадекватни процедури за обработка на данни. Злонамерените заплахи, от друга страна, са умишлени действия, извършвани от вътрешен човек, които имат за цел да компрометират киберсигурността на организацията. Те често се случват за лична изгода или от злоба.
Примерите за вътрешни заплахи за компрометиране на киберсигурността на организация могат да включват:
- Служител случайно изпраща чувствителна информация на грешния човек по имейл.
- Изпълнител случайно качва чувствителни файлове в публичен облак, излагайки данните на неупълномощени потребители.
- Служители неволно използват слаби пароли.
- ИТ персоналът несъзнателно оставя сървърите незащитени.
- Служител умишлено издава поверителни клиентски данни на конкурент.
- Недоволен член на персонала деактивира протоколите за сигурност, правейки системата уязвима на външни атаки.
Статистика за вътрешни заплахи
Вътрешните заплахи са нарастващо безпокойство в пейзажа на киберсигурността. Според Verizon DBIR 2023, вътрешните участници представляват 19% от нарушенията. Въпреки това, въпреки обичайния образ на недоволен служител, докладът установява, че вътрешните участници са два пъти по-склонни да бъдат отговорни за погрешни действия, отколкото за умишлени.
Погрешни или злонамерени, разходите за инцидент с вътрешна заплаха са много високи. Според Глобален доклад на Ponemon за цената на вътрешните заплахи за 2022 г, средната годишна цена на небрежност на служител или изпълнител е 6.6 милиона долара. За престъпник или злонамерен вътрешен човек това са $4.1 милиона. Докладът също така установи, че организациите се нуждаят от средно 85 дни, за да овладеят инцидента, като на повече от една трета са им необходими повече от 90 дни.
Други забележителни статистически данни за вътрешните заплахи включват:
- Броят на инцидентите с вътрешни заплахи се е увеличил с 44% през последните две години.
- 67% от компаниите се сблъскват с 21-40+ инцидента с вътрешна заплаха годишно.
- 56% от инцидентите с вътрешна заплаха са причинени от небрежен служител или изпълнител.
- 56% от инцидентите с вътрешна заплаха са причинени от злонамерени или престъпни вътрешни лица.
- Индустриите с най-високи средни разходи за дейност са финансови услуги ($21.25 милиона и професионални услуги $18.65 милиона).
Всички те са от Глобален доклад на Ponemon за цената на вътрешните заплахи за 2022 г.
Има редица фактори, които могат да допринесат за вътрешни заплахи, включително:
- Финансова печалба: Някои служители са мотивирани да извършват вътрешни заплахи за лична изгода. Това може да включва кражба на интелектуална собственост, продажба на клиентски данни или извършване на измама.
- обиди: Недоволните служители могат да извършат вътрешни заплахи като начин да отмъстят на своя работодател. Това може да включва саботиране на системи, изтриване на данни или изтичане на поверителна информация.
- злополуки: Повечето вътрешни заплахи обаче са причинени от инциденти. Например невнимателни или невинни служители, които случайно разкриват чувствителни данни или които са подмамени във фишинг атаки.
Откриване и предотвратяване на вътрешни заплахи
Откриването и предотвратяването на вътрешни заплахи изисква комбинация от решения: технологични платформи, организационни политики и процеси и обучение на служителите. Ето няколко начина, по които организациите могат да открият и предотвратят вътрешни заплахи:
Обучение и осведоменост на служителите
Програмите за обучение и осведоменост на служителите са един от най-важните и ефективни начини за предотвратяване на вътрешни заплахи, особено на случайните. Чрез провеждане на семинари, тренировки и други образователни начинания служителите могат да научат и разберат видовете поведение, които представляват вътрешна заплаха, и да практикуват как да ги избягват. Снабдени с тези знания, те ще могат по-успешно да се въздържат от случайно изтичане на данни по време на работа. Това също ще помогне за създаването на по-широка бдителност по отношение на киберсигурността и култура на предпазливост.
Правила за контрол на достъпа
Прилагането на стриктни мерки и политики за контрол на достъпа, базирани на принципа на най-малките привилегии, гарантира, че служителите имат достъп само до информацията, необходима за техните работни функции. Това означава, че дори служителите случайно или злонамерено да изтекат данни, техният обхват е ограничен, което намалява радиуса на атаката. Ролевият контрол на достъпа (RBAC) например е ефективен метод за ограничаване на обхвата на достъпа.
LayerX може да се използва като задължителен фактор за оторизация, за да се гарантира защитен достъп.
Мониторинг и одит
Непрекъснатото наблюдение на мрежовата активност може да помогне за откриване на необичайни модели, които могат да показват вътрешна заплаха. Например, ако служител влезе в 3 сутринта или изтегли големи обеми данни на устройството си, това може да е причина за безпокойство.
- Инструменти като User and Entity Behavior Analytics (UEBA) могат да анализират потребителското поведение и да маркират аномалии.
- DLP решенията могат да наблюдават и контролират прехвърлянето на данни, предотвратявайки неоторизирано изтичане на данни.
- EDR решенията могат да наблюдават дейностите на крайната точка и да откриват подозрителни дейности на отделни устройства, като неоторизирано прехвърляне на данни или използване на неодобрени приложения, и могат автоматично да предприемат коригиращи действия.
- Защитен браузър разширения като LayerX ефективно проследяване, наблюдение и предотвратяване на подозрителни потребителски действия, като качване и поставяне на данни.
Като най-добра практика се препоръчва извършването на периодични одити на системните регистрационни файлове, потребителските дейности и контролите за достъп. Тези одити могат да помогнат за идентифициране на всякакви аномалии, както и за идентифициране на пропуски или уязвимости, които трябва да бъдат адресирани. Например може да откриете, че вашите служители използват ChatGPT но нямате контрол върху това кои данни поставят там.
План за реакция при инцидент
Наличието на добре дефиниран план за реагиране при инцидент ще позволи бързи действия, ако бъде открита вътрешна заплаха. Тази програма за вътрешни заплахи трябва да очертае стъпките, които трябва да бъдат предприети, ангажирания персонал и комуникационните стратегии, които да бъдат използвани.
AI и ML
Усъвършенстваните AI и ML модели и алгоритми все повече се използват за откриване на сложни модели и аномалии, които биха могли да показват потенциални заплахи. Тези технологии могат да пресеят огромни количества данни, за да идентифицират потенциални заплахи, които могат да избягат от традиционните инструменти за наблюдение.
Заключение
Рискът от вътрешни заплахи често се пренебрегва в полза на външни заплахи. Въпреки това може да бъде също толкова, ако не и повече, вредно. Независимо дали вътрешно генерираното нарушение на сигурността на данните е злонамерено или непреднамерено, цената и въздействието могат да бъдат много високи. Проактивни мерки като обучение на служителите, стабилен контрол на достъпа и непрекъснат мониторинг могат да помогнат за смекчаване на тези рискове.
LayerX е защитено разширение за браузър, което предотвратява излагането на вътрешни данни на неконтролирани уебсайтове и приложения. Чрез детайлно наблюдение на всички потребителски действия и отделяне на дейности, които въвеждат риск, LayerX може да предупреди и предотврати злонамерени дейности, независимо дали са умишлени или случайни.
LayerX предотвратява качването на данни в несанкционирани и рискови уеб местоположения, предотвратява споделянето на чувствителни данни към лични SaaS и уеб приложения и гарантира, че чувствителните данни никога не се изтеглят от организационни SaaS приложения към неуправлявани устройства или управлявани устройства, които не отговарят на изискваните стандарти за сигурност. Когато бъдат открити такива действия, LayerX или ги блокира, или предупреждава потребителите, че са на път да извършат несигурно взаимодействие с данни. И накрая, LayerX осигурява видимост на моделите на взаимодействие с данни.