Бути відповідальним за ІТ наразі не найлегша робота. Коли, окрім постійного попередження про зовнішні атаки та вимоги принципів нульової довіри, є також попередження про внутрішні внутрішні загрози, як CISO ви можете запитати себе, кому ще слід довіряти.
Інсайдерські загрози є справжньою проблемою для компаній усіх типів і розмірів. Актуальним прикладом є виробник електромобілів Tesla: минулого року на Gigafactory Berlin-Brandenburg понад 100 гігабайт конфіденційних даних і інформації про зарплату від десятків тисяч співробітників по всій Європі, а також звіти про несправності та проблеми з продуктами, були оприлюднені - двоє були підозрюваними колишніми співробітниками Tesla. Вони зробили це не для того, щоб збагатитися даними, а радше, щоб вказати на невдоволення та проблеми безпеки всередині компанії. Тим не менш, інформування — це витік даних, у результаті якого інформація співробітників могла бути використана з метою видавання себе за іншу особу або ще гірше.
Витік даних загрожує вашому існуванню
Такі випадки завжди пов’язані з існуючими запобіжними заходами безпеки, і їм можна запобігти шляхом ретельного керування правами доступу. В іншому випадку одного відчуженого співробітника з дотиком злочинної енергії та бажанням продати конфіденційну інформацію або дані про доступ кіберзлочинцям достатньо, щоб поставити під загрозу секрети компанії, дані клієнтів і, можливо, існування всієї компанії. Що ще гірше, стратегії натхненників також включають вербування спільників у Darknet. Вони пропонують великі суми грошей шахраям або легковажним працівникам в обмін на конфіденційну інформацію для входу.
Якщо небезпек недостатньо, витік даних також може коштувати неймовірно дорого. Існує не лише ризик проникнення в мережу компанії та подальша атака програм-вимагачів із жахливими вимогами викупу. У разі порушення захисту даних втручається також законодавча влада. Владі байдуже, чи несе відповідальність за збиток інсайдер, недбалий співробітник чи інший витік даних: кожного, хто втратить дані, доведеться заплатити. Відповідно до GDPR ЄС, це може коштувати компаніям до 20 мільйонів євро або до чотирьох відсотків світового річного обороту. Федеральне відомство з охорони конституції також прямо попереджає про загрозу з боку внутрішніх злочинців. Не кожна внутрішня загроза є результатом навмисних, зловмисних дій, і не кожен співробітник, який зробив помилку, є прямим злочинцем. Часто причиною інцидентів є ненавмисні помилки або брак знань. Рішення цієї проблеми вимагає не тільки технічного, але й міжособистісного підходу.
Рольовий контроль доступу
Основна частина керування ідентифікацією: коли співробітники приходять на нову роботу або посаду, вони автоматично отримують права доступу, які їм потрібні відповідно до їхньої ролі та діяльності в компанії. Це гарантує, що всі співробітники та менеджери мають доступ лише до тієї інформації та систем, які необхідні для їх роботи. Зменшуючи кількість прав доступу співробітників до необхідного на основі ролей, свобода пересування зловмисника – так званий радіус вибуху – значно обмежується у разі несанкціонованого доступу. Це обмежує роботу шахраїв у будь-якому випадку, незалежно від того, чи намагаються вони зловживати своїми обліковими даними всередині компанії чи за її межами. Рішення на основі штучного інтелекту можуть вивести системи RBAC на нову висоту та ефективно керувати ними за допомогою інтелектуального розподілу й автоматизації на основі контексту.
Керування привілейованим доступом (PAM)
Подібно до RBAC, PAM допомагає контролювати доступ до критичних систем і даних. Призначення, керування та моніторинг привілейованих дозволів гарантує, що лише уповноважені люди, такі як генеральні директори, розробники та адміністратори мережі, матимуть доступ до дуже конфіденційної інформації. PAM і RBAC також можна використовувати для негайного визначення того, чи не було раптово збільшено права доступу кількох користувачів - наприклад, тому що хакер хоче використати викрадений обліковий запис користувача, щоб надати своїм спільникам доступ до мережі цільової організації.
Столярно-розвантажувальні системи
Ця система контролює життєвий цикл ідентифікаційних даних співробітників компанії. Це забезпечує відповідне налаштування прав доступу, коли працівник приєднується, переходить або звільняється, щоб уникнути непотрібних ризиків для безпеки. Основний момент: як і з RBAC і PAM, ви захищаєте себе як від зовнішніх, так і від внутрішніх атак. З одного боку, уникають так званих облікових записів-сиріт. Це облікові записи користувачів, які фактично більше не призначені працівникам, але провалюються крізь тріщини та все ще мають права доступу, іноді високого рівня. Вони популярні серед хакерів, тому що вони можуть летіти під радаром ІТ-захисту з добре обладнаним, законним обліковим записом користувача. Рішення Identity Governance and Administration (IGA) автоматизують важливі налаштування, а також забезпечують функції RBAC і PAM, які забезпечують відповідність і зменшують навантаження на ІТ-команди. З іншого боку, це дозволяє уникнути ситуації, коли незадоволений працівник після звільнення з компанії зловживає своїми даними доступу на шкоду старому роботодавцю або навіть вигідно продає їх організованим злочинцям у Darknet.
Чорно-білий список програмного забезпечення
Зазначення схваленого (білий список) і небажаного (чорний список) програмного забезпечення зменшує ймовірність запровадження зловмисного програмного забезпечення або використання несанкціонованих програм у корпоративній мережі. Це припиняє так звані тіньові ІТ та неконтрольоване створення облікових записів користувачів. Однак слід запропонувати працівникам надати пропозиції щодо придбання нових інструментів, щоб полегшити їхню щоденну роботу. Якщо ви повідомите своїх співробітників про те, що програмне забезпечення, завантажене з вашої власної ініціативи, може містити шкідливий код, ви запобіжите ненавмисним зловмисникам.
Навчання та семінари
Щоб придушувати небезпеки в зародку, їх потрібно знати і вміти розпізнавати. Тактика кіберзлочинців розвивається настільки швидко, що жоден співробітник не може бути в курсі останніх шахрайств. Не в останню чергу завдяки можливостям GenKI фішингові електронні листи тепер стали настільки автентичними імітаціями електронних листів від надійних провідних брендів, що дуже легко випадково натиснути на заражене посилання та таким чином ненавмисно стати співучасником хакера. Регулярне навчання сучасним методам фішингу та соціальної інженерії, таким як голосовий фішинг за допомогою реплікації голосів штучним інтелектом і виявлення індикаторів загрози, покращує обізнаність співробітників щодо цих ризиків і вчить їх розпізнавати. Вони є корисним заходом для формування команди, який може зміцнити довіру між співробітниками.
Моніторинг активності користувачів і нульова довіра
Підхід нульової довіри став основоположним принципом кожного сучасного рішення безпеки ІТ і не без підстав: він є антитезою всім видам зловживань доступом. «Нікому не довіряти, а якщо вірити, то тільки після достатньої перевірки», ось девіз. Однак може бути важко відрізнити звичайну поведінку від підозрілої. Тому моніторинг поведінки під час входу та використання систем керування ідентифікаційним доступом (IAM) і багатофакторної автентифікації (MFA) мають вирішальне значення для раннього виявлення незвичайних або неавторизованих спроб доступу. Такі системи допомагають виявляти внутрішні загрози до того, як вони можуть завдати шкоди, і значно зменшують площу атаки будь-якої організації.
Самопочуття співробітників
Аспектом культури безпеки, який часто забувають, є добробут співробітників. Регулярні перевірки та створення відчуття, що їхні думки та занепокоєння сприймаються серйозно, можуть допомогти зменшити ризик того, що працівники свідомо чи несвідомо стануть загрозою безпеці. Водночас це підвищує мотивацію серед працівників серйозно ставитися до заходів безпеки та бути обережними, щоб захистити себе та своє робоче середовище. Внутрішні конфлікти між персоналом також можуть бути вирішальним чинником диверсій. Запобігання цьому за допомогою відкритої комунікації, посередництва та арбітражу в кінцевому підсумку сприяє не тільки робочій атмосфері, але й дотриманню вимог. Бо навіщо працівникам виступати проти роботодавця, якщо до них ставляться з повагою і до них прислухаються?
Людство та технології проти внутрішніх загроз
Інсайдерські загрози стають все більшою загрозою, але це не означає, що довірлива корпоративна культура має перетворитися на шпигунський трилер, де всі разом працюють, щоб знайти крота, і ніхто більше нікому не довіряє. Запобігання внутрішнім загрозам просто вимагає комплексного підходу, який включає як технічні заходи управління доступом, так і просування позитивної корпоративної культури. Парасолька Identity Management також об’єднує всі інструменти, необхідні CISO та ІТ-менеджерам для швидкого виявлення та усунення внутрішніх джерел ризику. Однак найефективнішим засобом боротьби з ненавмисними або спланованими внутрішніми загрозами все ще є співробітники, які добре налаштовані по відношенню до свого роботодавця і які також мають навчений погляд на шахрайство.
Більше на Omada.com
Про Омаду
Компанія Omada, заснована в 2000 році, надає інноваційне керування ідентифікацією для складних гібридних середовищ на основі нашої перевіреної найкращої практики процесу та підходу до впровадження.
Статті по темі