Co to jest insider threat? Zagrożenia wewnętrzne to użytkownicy posiadający legalny dostęp do zasobów firmy, którzy wykorzystują ten dostęp, w sposób złośliwy lub nieumyślny, w celu wyrządzenia szkody firmie. Zagrożenia wewnętrzne to niekoniecznie obecni pracownicy, mogą to być również byli pracownicy, kontrahenci lub partnerzy, którzy mają dostęp do systemów lub danych organizacji.
Zważywszy, że zagrożenia wewnętrzne stanowią główny wektor 60 procent przypadków naruszenia danych, organizacje muszą codziennie analizować zagrożenia przechodzące przez ich drzwi z takim samym rygorem, jaki wykazują podczas zabezpieczania granic przed atakami z zewnątrz.
Dlaczego zagrożenia wewnętrzne są tak niebezpieczne?
W raporcie SANS z 2019 roku na temat zaawansowanych zagrożeń, praktycy bezpieczeństwa zidentyfikowali główne luki w obronie przed zagrożeniami wewnętrznymi, spowodowane brakiem wglądu w bazę normalnych zachowań użytkowników, jak również w zarządzanie kontami użytkowników uprzywilejowanych, które stanowią bardziej atrakcyjny cel dla przypadków phishingu lub naruszania danych uwierzytelniających.
Wykrywanie zagrożeń wewnętrznych nie jest łatwym zadaniem dla zespołów bezpieczeństwa. Użytkownik wewnętrzny ma już legalny dostęp do informacji i zasobów organizacji, a rozróżnienie pomiędzy normalną aktywnością użytkownika a potencjalnie złośliwą działalnością stanowi wyzwanie. Insiderzy zazwyczaj wiedzą, gdzie w organizacji znajdują się wrażliwe dane i często mają podwyższony poziom dostępu.
W rezultacie naruszenie danych spowodowane przez insidera jest znacznie bardziej kosztowne dla organizacji niż to spowodowane przez zewnętrznego napastnika. W badaniu Ponemon Institute’s 2018 Cost of Insider Threats badacze zaobserwowali, że średni roczny koszt zagrożenia spowodowanego przez insiderów wyniósł 8,76 mln USD, podczas gdy średni koszt naruszenia danych w tym samym okresie wyniósł 3,86 mln USD.
Dowiedz się więcej o wykrywaniu zagrożeń z wykorzystaniem informacji poufnych
4 Rodzaje zagrożeń z wykorzystaniem informacji poufnych
Pomimo że termin „zagrożenie z wykorzystaniem informacji poufnych” został w pewnym sensie zaadoptowany do opisywania ściśle złośliwych zachowań, istnieje zdefiniowane spektrum zagrożeń z wykorzystaniem informacji poufnych. Nie wszystkie insiderzy są tacy sami i różnią się motywacją, świadomością, poziomem dostępu i intencjami.
W przypadku każdego typu zagrożenia insiderów istnieją różne techniczne i nietechniczne środki kontroli, które organizacje mogą zastosować w celu zwiększenia skuteczności wykrywania i zapobiegania. Gartner klasyfikuje zagrożenia wewnętrzne w czterech kategoriach: pionek, głupek, współpracownik i samotny wilk.
Pionek
Pionki to pracownicy, którzy zostali zmanipulowani do wykonywania szkodliwych działań, często nieumyślnie, poprzez spear phishing lub socjotechnikę. Bez względu na to, czy jest to nieświadomy pracownik pobierający złośliwe oprogramowanie na swoją stację roboczą, czy też użytkownik ujawniający dane uwierzytelniające osobie trzeciej udającej pracownika działu pomocy technicznej, wektor ten jest jednym z szerszych celów dla atakujących, którzy chcą wyrządzić szkodę organizacji.
Jeden z przykładów dotyczy firmy Ubiquiti Networks, która padła ofiarą ataku spear-phishingowego, w którym wiadomości e-mail od kierownictwa wyższego szczebla nakłaniały pracowników do przelania 40 milionów dolarów na konto bankowe spółki zależnej. Pracownicy nie byli wówczas świadomi, że e-maile były sfałszowane, a konto bankowe kontrolowane przez oszustów.
Głupki
Głupki nie działają ze złym zamiarem, ale podejmują celowe i potencjalnie szkodliwe działania. Goofy to ignoranci lub aroganccy użytkownicy, którzy wierzą, że są zwolnieni z zasad bezpieczeństwa, czy to z wygody, czy z niekompetencji. Dziewięćdziesiąt pięć procent organizacji ma pracowników, którzy aktywnie próbują ominąć kontrole bezpieczeństwa, a prawie 90 procent incydentów związanych z wykorzystaniem informacji poufnych jest spowodowanych przez głupców. Przykładem takiej wpadki może być użytkownik, który przechowuje niezaszyfrowane dane osobowe (PII) na koncie w chmurze, aby mieć do nich łatwy dostęp na swoich urządzeniach, mimo że wie, że jest to niezgodne z polityką bezpieczeństwa.
Współpracownik
Współpracownicy to użytkownicy, którzy współpracują ze stroną trzecią, często z konkurencją i państwami narodowymi, aby wykorzystać swój dostęp w sposób, który celowo wyrządza szkodę organizacji. Współpracownicy zazwyczaj wykorzystują swój dostęp do kradzieży własności intelektualnej i informacji o klientach lub do zakłócania normalnej działalności biznesowej.
Przykładem współpracownika jest Greg Chung, obywatel Chin i były pracownik Boeinga, który gromadził dokumenty dotyczące programu promów kosmicznych, aby wysłać je z powrotem do Chin. Szpiegostwo korporacyjne jest również powszechne w przypadku współpracowników, jak w przypadku Ubera i Waymo. Uber zatrudnił inżyniera Waymo, który był w posiadaniu poufnej i zastrzeżonej technologii samochodów samojezdnych i rzekomo wykorzystał ją w swoim projekcie samochodów samojezdnych.
Samotny wilk
Samotne wilki są całkowicie niezależne i działają złośliwie bez zewnętrznego wpływu lub manipulacji. Samotne wilki są szczególnie niebezpieczne, gdy mają podwyższone poziomy uprawnień, takie jak administratorzy systemu lub administratorzy DB. Klasycznym przykładem samotnego wilka jest Edward Snowden, który wykorzystał swój dostęp do tajnych systemów, aby wyciekły informacje dotyczące cyberszpiegostwa w NSA.
Jak zwalczać zagrożenia wewnętrzne: Creating a Detection Plan
Aby skutecznie wykrywać zagrożenia wewnętrzne, organizacje powinny najpierw zlikwidować luki w widoczności, agregując dane bezpieczeństwa w scentralizowanym rozwiązaniu monitorującym, niezależnie od tego, czy jest to platforma do zarządzania informacjami i zdarzeniami bezpieczeństwa (SIEM), czy samodzielne rozwiązanie do analizy zachowań użytkowników i podmiotów (UEBA). Wiele zespołów zaczyna od logów dostępu, uwierzytelniania i zmian kont, a następnie rozszerza zakres o dodatkowe źródła danych, takie jak logi wirtualnej sieci prywatnej (VPN) i punktów końcowych, w miarę dojrzewania przypadków wykorzystania zagrożeń wewnętrznych.
Po scentralizowaniu informacji można modelować zachowania użytkowników i przypisywać im oceny ryzyka związane z określonymi ryzykownymi zdarzeniami, takimi jak zmiany geografii użytkownika lub pobieranie danych na nośniki wymienne. Dysponując wystarczającą ilością danych historycznych, można stworzyć linię bazową normalnego zachowania dla każdego indywidualnego użytkownika. Ta linia bazowa wskazuje normalny stan operacyjny użytkownika lub maszyny, dzięki czemu odchylenia w tej aktywności mogą być oznaczane jako nienormalne. Odchylenia powinny być śledzone nie tylko w odniesieniu do konkretnego użytkownika, ale również w porównaniu z innymi użytkownikami w tej samej lokalizacji, o tym samym stanowisku pracy lub funkcji.
Anomalie behawioralne pomagają zespołom bezpieczeństwa zidentyfikować, kiedy użytkownik stał się złośliwym insiderem lub kiedy jego dane uwierzytelniające zostały naruszone przez zewnętrznego napastnika. Przypisywanie ocen ryzyka daje również zespołom centrum operacji bezpieczeństwa (SOC) możliwość monitorowania ryzyka w całym przedsiębiorstwie, czy to poprzez tworzenie list obserwowanych, czy też wyróżnianie najbardziej ryzykownych użytkowników w organizacji. Przyjmując perspektywę skoncentrowaną na użytkowniku, zespoły bezpieczeństwa mogą szybko wykrywać zagrożenia wewnętrzne i zarządzać ryzykiem użytkownika ze scentralizowanej lokalizacji, zamiast ręcznie łączyć różne punkty danych, które pojedynczo mogą nie pokazywać pełnego obrazu sytuacji.
Zamykanie pętli za pomocą środków zaradczych
Jak wspomniano, konta uprzywilejowane stanowią cenny cel dla osób niepowołanych. Ważne jest, aby organizacje wdrożyły rozwiązanie do zarządzania dostępem uprzywilejowanym (PAM) i przekazywały dane o dostępie do kont uprzywilejowanych z tego rozwiązania do systemu SIEM. Analityka zachowań użytkowników może wykrywać takie zjawiska, jak nietypowe próby logowania lub wielokrotne nieudane próby podania hasła i generować odpowiednie alerty, które analityk może zweryfikować.
Po zweryfikowaniu incydent związany z zagrożeniem insider threat może zostać utworzony w zintegrowanym systemie Security Orchestration, Automation and Response (SOAR), w którym playbook może określać konieczne działania zaradcze. Potencjalne środki zaradcze mogą obejmować zakwestionowanie dostępu do informacji poufnych za pomocą MFA lub odebranie dostępu, z których każdy może być wykonany automatycznie w rozwiązaniu IAM.
Istnieje kilka rodzajów zagrożeń związanych z informacjami poufnymi, które organizacje powinny być świadome, a każdy z nich prezentuje inne objawy, które zespoły bezpieczeństwa muszą zdiagnozować. Poprzez zrozumienie motywacji atakujących, zespoły bezpieczeństwa mogą być bardziej proaktywne w swoim podejściu do obrony przed zagrożeniami wewnętrznymi.
Dowiedz się więcej o ochronie organizacji za pomocą zarządzania dostępem uprzywilejowanym (PAM)
Ten blog został ostatnio zaktualizowany w reakcji na „skoordynowany atak socjotechniczny” na Twittera w lipcu 2020 r., aby zawrzeć informacje na temat zapobiegania i usuwania skutków zagrożeń wewnętrznych.
Dzięki temu blogowi można było uzyskać więcej informacji na temat zapobiegania i usuwania skutków zagrożeń wewnętrznych.