Insajderska prijetnja je sigurnosni rizik koji potječe iz organizacije. Obično uključuje zaposlenike, izvođače, dobavljače ili partnere koji imaju pristup osjetljivim informacijama ili kritičnim sustavima. Ovo je za razliku od vanjskih prijetnji koje dolaze od hakera ili kibernetičkih kriminalaca izvan organizacije. Insajderske prijetnje predstavljaju jedinstveni izazov ublažavanja budući da ih uzrokuju ljudi kojima se vjeruje i imaju legitiman pristup resursima.

Važno je razumjeti prirodu i opseg unutarnjih prijetnji i povećati svijest o unutarnjim prijetnjama iz nekoliko razloga.

  • Prvo, šteta koju prouzroči insajder može biti daleko veća zbog njihovog intimnog poznavanja sustava i procesa organizacije i njihovog pristupa širokom spektru resursa.
  • Drugo, naslijeđene sigurnosne mjere poput vatrozida i antivirusnog softvera često su neučinkovite protiv insajderskih prijetnji, budući da su osmišljene kako bi spriječile napadače, ali ne rješavaju slučajeve upotrebe napadača koji dolaze iznutra.
  • Treće, cijena insajderskog napada može biti znatna, ne samo u smislu financijskog gubitka već i reputacijske štete. Ako se pročuje da je unutarnji zaposlenik izazvao napad, to bi moglo dovesti do gubitka povjerenja u tvrtku.
  • Konačno, prijetnje iznutra može biti teško otkriti i spriječiti, jer se tijekom napada koriste legitimni resursi.

Stoga organizacije moraju usvojiti višeslojni pristup zaštiti od unutarnjih prijetnji i upravljanju unutarnjim prijetnjama. Strategija bi trebala uključivati praćenje, prevencija i obuka. U ovom članku pružamo više informacija o prijetnjama iznutra i rješenjima za smanjenje rizika od prijetnji iznutra.

Definicija insajderske prijetnje

Insajderska prijetnja je sigurnosni rizik koji potječe od pojedinaca unutar organizacije. To mogu biti zaposlenici, izvođači, dobavljači ili partneri. Insajderi koji predstavljaju prijetnju obično imaju pristup osjetljivim podacima, kritičnim sustavima ili povlaštenim računima.

Insajderske prijetnje mogu se kategorizirati u dvije glavne vrste: slučajne i zlonamjerne. Slučajne prijetnje događaju se kada zaposlenik nenamjerno otkrije osjetljive podatke. Na primjer, pogrešnom e-poštom ili neadekvatnim postupcima rukovanja podacima. Zlonamjerne prijetnje, s druge strane, namjerne su radnje koje provodi insajder s namjerom da ugroze kibernetičku sigurnost organizacije. To se često događa zbog osobne koristi ili iz inata.

Primjeri insajderskih prijetnji ugrožavanja kibernetičke sigurnosti organizacije mogu uključivati:

  • Zaposlenik slučajno šalje osjetljive informacije pogrešnoj osobi e-poštom.
  • Izvođač slučajno učitava osjetljive datoteke u javni oblak, izlažući podatke neovlaštenim korisnicima.
  • Zaposlenici nenamjerno koriste slabe lozinke.
  • IT osoblje nesvjesno ostavlja poslužitelje nezaštićene.
  • Zaposlenik namjerno odaje povjerljive podatke o kupcima konkurenciji.
  • Nezadovoljni član osoblja onemogućuje sigurnosne protokole, čineći sustav ranjivim na vanjske napade.

Statistika insajderskih prijetnji

Insajderske prijetnje rastuća su briga u krajoliku kibernetičke sigurnosti. Prema Verizon DBIR 2023, unutarnji akteri odgovorni su za 19% kršenja. Međutim, usprkos uobičajenom obliku nezadovoljnog zaposlenika, izvješće otkriva da je dvostruko vjerojatnije da će unutarnji akteri biti odgovorni za pogrešne radnje nego one namjerne.

Pogrešni ili zlonamjerni, troškovi incidenta unutarnje prijetnje vrlo su visoki. Prema 2022 Ponemon Cost of Insider Threats Global Report, prosječni godišnji trošak nemara zaposlenika ili izvođača je 6.6 milijuna USD. Za kriminalca ili zlonamjernog insajdera to je 4.1 milijun dolara. Izvješće je također pokazalo da je organizacijama bilo potrebno prosječno 85 dana da obuzdaju incident, a više od trećine je trebalo više od 90 dana.

Druge značajne statistike o unutarnjim prijetnjama uključuju:

  • Broj incidenata internih prijetnji porastao je za 44% u posljednje dvije godine.
  • 67% tvrtki susreće se s 21-40+ incidenata prijetnji iznutra godišnje.
  • 56% incidenata prijetnji iznutra uzrokovano je neopreznim zaposlenikom ili izvođačem.
  • 56% incidenata prijetnji iznutra uzrokovali su zlonamjerni ili kriminalci iznutra.
  • Industrije s najvećim prosječnim troškovima aktivnosti su financijske usluge (21.25 milijuna USD i profesionalne usluge 18.65 milijuna USD).

Sve su to iz 2022 Ponemon Cost of Insider Threats Global Report.

Brojni su čimbenici koji mogu doprinijeti prijetnjama iznutra, uključujući:

  • Financijska dobit: Neki su zaposlenici motivirani počiniti prijetnje iznutra radi osobnog profita. To može uključivati ​​krađu intelektualnog vlasništva, prodaju korisničkih podataka ili počinjenje prijevare.
  • Zamjerke: Nezadovoljni zaposlenici mogu počiniti insajderske prijetnje kao način osvete svom poslodavcu. To može uključivati ​​sabotiranje sustava, brisanje podataka ili curenje povjerljivih informacija.
  • nesreće: Međutim, većina unutarnjih prijetnji uzrokovana je nesrećama. Na primjer, neoprezni ili nevini zaposlenici koji slučajno izlože osjetljive podatke ili koji su prevareni u napadima krađe identiteta.

Insajdersko otkrivanje i prevencija prijetnji

Otkrivanje i sprječavanje unutarnjih prijetnji zahtijeva kombinaciju rješenja: tehnološke platforme, organizacijske politike i procese te obuku zaposlenika. Evo nekoliko načina na koje organizacije mogu otkriti i spriječiti prijetnje iznutra:

Obuka zaposlenika i podizanje svijesti

Programi obuke i podizanja svijesti zaposlenika jedan su od najvažnijih i najučinkovitijih načina za sprječavanje unutarnjih prijetnji, a posebice onih slučajnih. Provođenjem radionica, vježbi i drugih obrazovnih nastojanja zaposlenici mogu naučiti i razumjeti vrste ponašanja koja predstavljaju unutarnju prijetnju te vježbati kako ih izbjeći. Opremljeni tim znanjem moći će se uspješnije suzdržati od slučajnog curenja podataka na poslu. To će također pomoći u stvaranju šireg nadzora kibernetičke sigurnosti i kulture opreza.

Pravila kontrole pristupa

Provedba strogih mjera i politika kontrole pristupa, temeljena na načelu najmanje privilegije, osigurava da zaposlenici imaju pristup samo onim informacijama koje su potrebne za obavljanje njihovih radnih funkcija. To znači da čak i ako zaposlenici slučajno ili zlonamjerno procure podatke, njihov je opseg ograničen, što smanjuje radijus napada. Kontrola pristupa temeljena na ulogama (RBAC), na primjer, učinkovita je metoda za ograničavanje opsega pristupa.

LayerX se može koristiti kao obvezni autorizacijski čimbenik za pomoć u osiguravanju siguran pristup.

Praćenje i revizija

Kontinuirano praćenje mrežne aktivnosti može pomoći u otkrivanju neobičnih obrazaca koji mogu ukazivati ​​na prijetnju iznutra. Na primjer, ako se zaposlenik prijavi u 3 ujutro ili preuzme velike količine podataka na svoj uređaj, to bi mogao biti razlog za zabrinutost.

  • Alati poput User and Entity Behavior Analytics (UEBA) mogu analizirati ponašanje korisnika i označiti anomalije. 
  • DLP rješenja mogu pratiti i kontrolirati prijenose podataka, sprječavajući neovlašteno curenje podataka. 
  • EDR rješenja mogu nadzirati aktivnosti krajnjih točaka i otkriti sumnjive aktivnosti na pojedinačnim uređajima, kao što su neovlašteni prijenosi podataka ili korištenje neodobrenih aplikacija, te mogu automatski poduzeti korektivne radnje.
  • Siguran preglednik proširenja poput SlojX učinkovito pratiti, nadzirati i spriječiti sumnjive radnje korisnika, poput učitavanja i lijepljenja podataka.

Kao najbolja praksa, preporučuje se provođenje periodičnih revizija zapisnika sustava, korisničkih aktivnosti i kontrola pristupa. Ove revizije mogu pomoći u prepoznavanju bilo kakvih anomalija, a također mogu pomoći u prepoznavanju nedostataka ili ranjivosti koje je potrebno riješiti. Na primjer, možete otkriti da vaši zaposlenici koriste ChatGPT ali nemate kontrolu nad time koje podatke tamo lijepe.

Plan odgovora na incident

Posjedovanje dobro definiranog plana odgovora na incident omogućit će brzu akciju ako se otkrije prijetnja iznutra. Ovaj program insajderskih prijetnji trebao bi navesti korake koje treba poduzeti, uključeno osoblje i komunikacijske strategije koje treba primijeniti.

AI i ML

Napredni AI i ML modeli i algoritmi sve se više koriste za otkrivanje složenih obrazaca i anomalija koje bi mogle ukazivati ​​na potencijalne prijetnje. Te tehnologije mogu prosijati kroz ogromne količine podataka kako bi identificirale potencijalne prijetnje koje bi mogle izbjeći tradicionalnim alatima za praćenje. 

Zaključak

Rizik od unutarnjih prijetnji često se zanemaruje u korist vanjskih prijetnji. Međutim, može biti jednako, ako ne i više, štetno. Bez obzira je li interno generirana povreda podataka zlonamjerna ili nenamjerna, cijena i učinak mogu biti vrlo visoki. Proaktivne mjere poput obuke zaposlenika, robusne kontrole pristupa i kontinuiranog nadzora mogu pomoći u ublažavanju ovih rizika.

LayerX je sigurno proširenje preglednika koje sprječava izlaganje internih podataka nekontroliranim web stranicama i aplikacijama. Granularnim praćenjem svih radnji korisnika i izdvajanjem aktivnosti koje predstavljaju rizik, LayerX može upozoriti i spriječiti zlonamjerne aktivnosti, bilo da su namjerne ili slučajne.

LayerX sprječava prijenos podataka na nedozvoljene i rizične web lokacije, sprječava dijeljenje osjetljivih podataka s osobnim SaaS i web aplikacijama te osigurava da se osjetljivi podaci nikada ne preuzimaju iz organizacijskih SaaS aplikacija na neupravljane uređaje ili upravljane uređaje koji ne zadovoljavaju potrebne sigurnosne standarde. Kada se takve radnje otkriju, LayerX ih ili blokira ili upozorava korisnike da će izvršiti nesigurnu podatkovnu interakciju. Konačno, LayerX pruža uvid u obrasce interakcije podataka.

Saznajte više o rješenju LayerX.