Управление внутренними угрозами - контекст имеет решающее значение
Тема внутренних угроз все чаще поднимается на корпоративной повестке дня. Хотя вы можете подумать, что собственные сотрудники компании с меньшей вероятностью будут представлять риски для безопасности, чем внешние злоумышленники, анализ, проведенный Computing, обнаружил, что угроза инсайдеров была причиной половины зарегистрированных нарушений.
Когда раскрываются нарушения, вызванные угрозой со стороны инсайдера, они могут нанести особый ущерб репутации компании, повлечь за собой плохую культуру компании, халатность и, как следствие, подорвать доверие к организации. Даже если нарушение не станет достоянием общественности, если оно связано с хищением интеллектуальной собственности или других критически важных активов, это может нанести ущерб конкурентной позиции компании.
Независимо от того, является ли причиной недовольные сотрудники, небрежные действия или систематически злонамеренные действия, внутренняя угроза представляет собой особенно сложный риск для управления. И, как и внешние угрозы, инструменты, методы и процедуры (TTP), используемые инсайдерами, постоянно развиваются.
Выявление внутреннего риска
Внутренняя угроза более дифференцирована, чем ее внешний эквивалент, что затрудняет управление только с помощью обычных инструментов безопасности. Внешняя атака обычно требует первоначального эксплойта или взлома для получения доступа к целевой сети. В большинстве случаев они инициируют оповещения от автоматических систем обнаружения вторжений и побуждают группы реагирования на инциденты провести расследование.
Инсайдеры, с другой стороны, уже имеют доступ к сети и привилегии, поэтому они обычно не запускают системы мониторинга периметра. Выявление подозрительных или небрежных действий основывается на сопоставлении информации из нескольких источников. Они могут включать анализ поведения пользователя и объекта (UEBA), инструменты предотвращения потери данных (DLP), сетевые журналы и активность конечных устройств. Однако, хотя эти инструменты могут сказать вам, что сотрудник действует несвойственным образом - вход в систему в выходные дни без предпосылок к этому или использование ключевых слов в электронных письмах, которые указывают на то, что они недовольны компанией, они не могут дать понимание того, что происходит с пользователями за пределами организации, что может способствовать риску возникновения внутриорганизационной угрозы.
Скажем, например, что недовольный сотрудник также активно участвует в незаконных онлайн-сообществах в глубокой и темной сети (DDW). Или, может быть, у них финансовые проблемы, и они были завербованы и подкуплены сторонним агентом по угрозам для кражи ценных данных; Эти типы ситуаций необходимы для человеческого контроля и анализа. Данные о бизнес-рисках, полученные в результате мониторинга незаконных интернет-сообществ, могут дать ценный контекст деятельности отдельных лиц, помечая их для расследования. Итак, какие инциденты могут быть обнаружены?
Моменты высокого риска - бывшие и новые сотрудники
Большинство компаний знают, что, когда сотрудник уходит на невыгодных условиях или грабится конкурентом, существует риск, что они могут использовать доступ к своей сети для мести или для получения данных, которые могут быть полезны для их нового работодателя. Отзыв учетных данных сотрудника должен быть приоритетом для минимизации этого риска.
Однако менее очевидный, но не менее уязвимый момент - это когда новый сотрудник присоединяется к компании. Хотя отдел кадров, скорее всего, проявил должную осмотрительность в отношении рекомендаций сотрудников, они могут не знать обо всех связях или мотивах сотрудников. Business Risk Intelligence может предложить эту информацию и предотвратить проникновение злоумышленников в организации. Рассматриваемый случай произошел на предприятии из списка Fortune 500 несколько лет назад, когда предполагаемый сотрудник был связан с лицом, действующим с угрозами, известным тем, что он привлекал инсайдеров для кражи корпоративных данных для вымогательства. Узнав об угрозе, предприятие смогло отказать в приеме на работу соответствующему лицу и принять меры по усилению защиты от типа атак, используемых этим субъектом.
Запуск нового продукта является еще одним периодом высокого риска для бизнеса. Интеллектуальная собственность составляет до 80 процентов стоимости компании, поэтому ее кража может иметь разрушительные последствия. Естественно, сотрудники компании имеют доступ к коммерческой тайне и информации о продукте, и для меньшинства это может оказаться искушением. Однако после кражи вор должен найти способ получить прибыль, и это часто связано с DDW или другими незаконными онлайн-сообществами, где скомпрометированные активы покупаются и продаются.
В недавнем примере аналитики Flashpoint увидели исходный код из невыпущенного программного обеспечения многонациональной компании, предлагаемого для продажи на элитном форуме по киберпреступности. Анализ установил, что источником нарушения был сотрудник компании, и как только она была проинформирована, компания смогла расторгнуть контракт с мошенником и принять меры по исправлению положения для защиты продукта. Ключевым моментом здесь является то, что до тех пор, пока они не рекламировали свои нечестно приобретенные товары в DDW, сотрудник успешно избегал внутреннего обнаружения. С учетом контекста, предоставленного Business Risk Intelligence, многие виды деятельности сотрудника, которые в то время могли казаться безобидными, без сомнения, можно рассматривать в совершенно ином свете.
Инсайдерские TTP становятся все более изощренными
В то время как классические действия с угрозами со стороны инсайдеров включают отправку файлов по электронной почте на личные учетные записи электронной почты или сторонним адресатам, загрузку данных на съемные диски и физическую кражу печатных документов, мы также видим, что злонамеренные инсайдеры становятся все более изощренными, избегая обнаружения. Понимая, что компании становятся мудрее внутренних угроз, некоторые участники становятся все более опытными в использовании безопасных методов связи, таких как зашифрованные службы чата и форумы DDW, которые практически невозможно контролировать без помощи опытных аналитиков, имеющих доступ к этим сообществам.
Это растущее использование безопасных каналов связи и DDW само по себе подпитывает риск угрозы изнутри, поскольку это означает, что субъекты подвергаются продвинутым TTP и ресурсам, которые можно использовать для атаки на системы и извлечения данных из привилегированной позиции инсайдера. Кроме того, сотрудники компании, которые участвуют в вредоносных сообществах DDW, подвергают себя риску вербовки внешними субъектами, которые все чаще включают агентов, спонсируемых государством, которые стремятся подкупить или шантажировать инсайдеров для кражи данных.
Сосредоточение ресурсов там, где они нужны
Ключевым моментом является то, что большинство сотрудников не представляют угрозу злонамеренной инсайдерской угрозы. Конечно, некоторые могут ошибаться или иногда действовать несвойственно. И на самом деле, сетевые действия новых сотрудников часто помечаются как подозрительные с помощью автоматических инструментов просто из-за количества ошибок, которые эти сотрудники склонны совершать при навигации по сети. Знание того, что следует отслеживать, требует уровня контекста, который отмечает внешние факторы, влияющие на инсайдеров. Business Risk Intelligence предлагает этот контекст, делая управление внутренними угрозами более эффективным для защиты королевства от тех, у кого уже есть ключи.