Инсайдерская угроза — это угроза безопасности, исходящая изнутри организации. Обычно в нем участвуют сотрудники, подрядчики, поставщики или партнеры, имеющие доступ к конфиденциальной информации или критически важным системам. Это отличается от внешних угроз, исходящих от хакеров или киберпреступников за пределами организации. Инсайдерские угрозы представляют собой уникальную проблему смягчения последствий, поскольку они исходят от людей, которым доверяют и которые имеют законный доступ к ресурсам.

Важно понимать природу и масштабы инсайдерских угроз и повышать осведомленность об инсайдерских угрозах по нескольким причинам.

  • Во-первых, ущерб, причиненный инсайдером, может быть гораздо более масштабным из-за его глубокого знания систем и процессов организации, а также доступа к широкому спектру ресурсов.
  • Во-вторых, устаревшие меры безопасности, такие как брандмауэры и антивирусное программное обеспечение, часто неэффективны против внутренних угроз, поскольку они были разработаны для защиты от злоумышленников, но не учитывают случаи использования злоумышленниками изнутри.
  • В-третьих, цена инсайдерской атаки может быть существенной – не только с точки зрения финансовых потерь, но и с точки зрения репутационного ущерба. Если станет известно, что атаку устроил внутренний сотрудник, это может привести к потере доверия к компании.
  • Наконец, внутренние угрозы бывает сложно обнаружить и предотвратить, поскольку во время атаки используются законные ресурсы.

Поэтому организации должны принять многоуровневый подход к защите от внутренних угроз и управлению внутренними угрозами. Стратегия должна включать Мониторинг, профилактика и обучение. В этой статье мы предоставляем дополнительную информацию об инсайдерских угрозах и решениях для снижения риска инсайдерских угроз.

Определение внутренней угрозы

Инсайдерская угроза — это угроза безопасности, исходящая от отдельных лиц внутри организации. Это могут быть сотрудники, подрядчики, поставщики или партнеры. Инсайдеры, представляющие угрозу, обычно имеют доступ к конфиденциальным данным, критически важным системам или привилегированным учетным записям.

Инсайдерские угрозы можно разделить на два основных типа: случайные и злонамеренные. Случайные угрозы возникают, когда сотрудник непреднамеренно раскрывает конфиденциальные данные. Например, из-за ошибочного электронного письма или неправильных процедур обработки данных. С другой стороны, вредоносные угрозы — это преднамеренные действия, выполняемые инсайдером и направленные на угрозу кибербезопасности организации. Зачастую это происходит ради личной выгоды или назло.

Примеры инсайдерских угроз, ставящих под угрозу кибербезопасность организации, могут включать:

  • Сотрудник случайно отправляет конфиденциальную информацию не тому человеку по электронной почте.
  • Подрядчик случайно загрузил конфиденциальные файлы в общедоступное облако, в результате чего данные стали доступны неавторизованным пользователям.
  • Сотрудники непреднамеренно используют слабые пароли.
  • ИТ-персонал по незнанию оставляет серверы незащищенными.
  • Сотрудник намеренно передал конфиденциальные данные клиентов конкуренту.
  • Недовольный сотрудник отключает протоколы безопасности, что делает систему уязвимой для внешних атак.

Статистика внутренних угроз

Инсайдерские угрозы вызывают растущую озабоченность в сфере кибербезопасности. Согласно Веризон ДБИР 2023На долю внутренних субъектов приходится 19% нарушений. Однако, несмотря на распространенный образ недовольного сотрудника, в отчете отмечается, что внутренние действующие лица в два раза чаще несут ответственность за ошибочные действия, чем за преднамеренные.

Цена инцидента с инсайдерской угрозой, будь то ошибочная или злонамеренная, очень высока. Согласно Глобальный отчет Ponemon о стоимости инсайдерских угроз за 2022 годСредний годовой ущерб от халатности сотрудников или подрядчиков составляет 6.6 миллиона долларов. Для преступника или злонамеренного инсайдера это 4.1 миллиона долларов. В отчете также указано, что организациям требовалось в среднем 85 дней для локализации инцидента, причем более чем трети потребовалось более 90 дней.

Другие примечательные статистические данные об инсайдерских угрозах включают:

  • За последние два года количество инцидентов с внутренними угрозами выросло на 44%.
  • 67% компаний сталкиваются с 21–40+ инцидентами, связанными с инсайдерскими угрозами, в год.
  • 56% инцидентов с инсайдерскими угрозами были вызваны невнимательностью сотрудника или подрядчика.
  • 56% инцидентов, связанных с инсайдерскими угрозами, были вызваны злонамеренными или преступными инсайдерами.
  • Отраслями с самыми высокими средними издержками деятельности являются финансовые услуги (21.25 млн долларов США и профессиональные услуги – 18.65 млн долларов США).

Это все из Глобальный отчет Ponemon о стоимости инсайдерских угроз за 2022 год.

Существует ряд факторов, которые могут способствовать инсайдерским угрозам, в том числе:

  • Финансовая выгода: Некоторые сотрудники мотивированы совершать инсайдерские угрозы ради личной выгоды. Это может включать кражу интеллектуальной собственности, продажу данных клиентов или мошенничество.
  • Обиды: Недовольные сотрудники могут совершать инсайдерские угрозы, чтобы отомстить своему работодателю. Это может включать саботаж систем, удаление данных или утечку конфиденциальной информации.
  • Несчастные случаи: Однако большинство инсайдерских угроз вызвано несчастными случаями. Например, небрежные или невиновные сотрудники, которые случайно раскрыли конфиденциальные данные или подверглись фишинговым атакам.

Обнаружение и предотвращение внутренних угроз

Обнаружение и предотвращение инсайдерских угроз требует сочетания решений: технологических платформ, организационных политик и процессов, а также обучения сотрудников. Вот несколько способов, с помощью которых организации могут обнаруживать и предотвращать внутренние угрозы:

Обучение и информирование сотрудников

Программы обучения и повышения осведомленности сотрудников являются одним из наиболее важных и эффективных способов предотвращения внутренних угроз, особенно случайных. Проводя семинары, учения и другие образовательные мероприятия, сотрудники могут изучить и понять типы поведения, которые представляют собой внутреннюю угрозу, и попрактиковаться в том, как их избежать. Обладая этими знаниями, они смогут более успешно воздерживаться от случайной утечки данных на работе. Это также поможет создать более широкую бдительность в области кибербезопасности и культуру осторожности.

Политики контроля доступа

Внедрение строгих мер и политик контроля доступа, основанных на принципе наименьших привилегий, гарантирует, что сотрудники будут иметь доступ только к той информации, которая необходима для выполнения их должностных функций. Это означает, что даже если сотрудники случайно или злонамеренно сливают данные, их возможности ограничены, что уменьшает радиус атаки. Например, управление доступом на основе ролей (RBAC) является эффективным методом ограничения объема доступа.

LayerX можно использовать в качестве обязательного фактора авторизации, чтобы гарантировать безопасный доступ.

Мониторинг и аудит

Непрерывный мониторинг сетевой активности может помочь обнаружить необычные закономерности, которые могут указывать на внутреннюю угрозу. Например, если сотрудник входит в систему в 3 часа ночи или загружает на свое устройство большие объемы данных, это может стать поводом для беспокойства.

  • Такие инструменты, как анализ поведения пользователей и объектов (UEBA), могут анализировать поведение пользователей и отмечать аномалии. 
  • DLP решения могут отслеживать и контролировать передачу данных, предотвращая несанкционированную утечку данных. 
  • EDR решения могут отслеживать действия конечных точек и обнаруживать подозрительные действия на отдельных устройствах, такие как несанкционированная передача данных или использование неутвержденных приложений, а также могут автоматически предпринимать корректирующие действия.
  • Безопасный браузер расширения, такие как Layerx эффективно отслеживать, контролировать и предотвращать подозрительные действия пользователей, такие как загрузка и вставка данных.

Рекомендуется проводить периодический аудит системных журналов, действий пользователей и контроля доступа. Эти аудиты могут помочь выявить любые аномалии, а также выявить любые пробелы или уязвимости, которые необходимо устранить. Например, вы можете обнаружить, что ваши сотрудники используют ChatGPT но вы не можете контролировать, какие данные они туда вставляют.

План реагирования на инциденты

Наличие четко определенного плана реагирования на инциденты позволит быстро принять меры в случае обнаружения внутренней угрозы. В этой программе внутренних угроз должны быть описаны шаги, которые необходимо предпринять, задействованный персонал и стратегии коммуникации, которые следует использовать.

AI и ML

Передовые модели и алгоритмы искусственного интеллекта и машинного обучения все чаще используются для обнаружения сложных закономерностей и аномалий, которые могут указывать на потенциальные угрозы. Эти технологии могут анализировать огромные объемы данных для выявления потенциальных угроз, которые могут ускользнуть от традиционных инструментов мониторинга. 

Заключение

Риск внутренних угроз часто игнорируется в пользу внешних угроз. Однако это может быть столь же, если не более разрушительным. Независимо от того, является ли внутреннее нарушение данных злонамеренным или непреднамеренным, цена и последствия могут быть очень высокими. Проактивные меры, такие как обучение сотрудников, надежный контроль доступа и постоянный мониторинг, могут помочь снизить эти риски.

LayerX — это безопасное расширение для браузера, которое предотвращает раскрытие внутренних данных неуправляемым веб-сайтам и приложениям. Благодаря детальному мониторингу всех действий пользователя и выделению действий, представляющих риск, LayerX может предупреждать и предотвращать вредоносные действия, независимо от того, являются ли они преднамеренными или случайными.

LayerX предотвращает загрузку данных в несанкционированные и рискованные веб-сайты, предотвращает передачу конфиденциальных данных личным SaaS и веб-приложениям, а также гарантирует, что конфиденциальные данные никогда не будут загружены из организационных SaaS-приложений на неуправляемые устройства или управляемые устройства, которые не соответствуют требуемым стандартам безопасности. При обнаружении таких действий LayerX либо блокирует их, либо предупреждает пользователей о том, что они собираются выполнить небезопасное взаимодействие с данными. Наконец, LayerX обеспечивает наглядность шаблонов взаимодействия данных.

Узнайте больше о решении LayerX.