Більшість компаній у боротьбі з кіберзлочинністю зосереджуються на зовнішніх зловмисниках. Але зростаюча загроза також ховається в їхніх власних рядах. Експерти з ІТ-безпеки FireEye Mandiant прогнозують, що 33 відсотки всіх інцидентів безпеки у 2021 році будуть спричинені внутрішніми загрозами. Що можуть зробити компанії, щоб захистити себе?
Легітимний доступ — це головне — його мають працівники, і зловмисники хочуть його отримати. Найкращий замок на дверях марний, якщо злочинець уже всередині. Кожен злочинний фанатик це знає. Подібна ситуація з кібератаками, які відбуваються з боку власних лав компанії. Вони особливо небезпечні, оскільки злочинцями є люди, яким ми дійсно довіряємо. Тим більше тривожить, що кількість інсайдерських загроз значно зростає. У 2019 і 2020 роках команди Mandiant зафіксували більше випадків, коли інсайдери зламали критично важливі для бізнесу системи, розкрили конфіденційні дані або шантажували своїх роботодавців. Подібні випадки можуть завдати значних фінансових збитків і підірвати репутацію.
Хто стоїть за інсайдерськими атаками
Більшість інсайдерських загроз можна простежити до недбалих працівників, які не мають злих намірів, а натомість надають хакерам шлюз через необережність. Однак бувають і цілеспрямовані атаки інсайдерів. Як і атаки зовнішніх гравців, вони часто відбуваються протягом більш тривалого періоду часу. Зазвичай зловмисники намагаються залишатися непоміченими та приховувати свою діяльність. У деяких випадках вони навіть використовують облікові записи інших співробітників, щоб відвернути увагу від себе.
За інсайдерськими атаками вже не стоїть лише незадоволений колишній працівник, який хоче помститися своєму колишньому роботодавцю чи вкрасти його. По суті, будь-хто, хто має доступ до мереж, систем і даних, становить потенційний ризик. Це може бути ваш власний співробітник, а також ваш бізнес або партнер по ланцюгу поставок. Організації зі значною інтелектуальною власністю або компанії, які зливаються, поглинаються або зазнають значних змін і викликів, мають підвищений ризик стати жертвами зловмисних інсайдерів.
Всупереч тому, що можна було б очікувати, сьогодні учасники часто діють не поодинці, а в групах, до складу яких входять ІТ-адміністратори та члени команди з інсайдерських загроз, які запобігають попередженням і розслідуванням. Часткові члени цієї групи знаходяться поза компаніями, наприклад злочинні та навіть афілійовані з урядом організації, які здійснюють технічну діяльність, щоб забезпечити доступ до даних і крадіжку.
Чотири найпоширеніші внутрішні загрози
Слідчі Mandiant досліджували на практиці різні види інсайдерських атак. Виникають чотири тенденції:
Цифровий шантаж
Зловмисний інсайдер погрожує оприлюднити викрадені дані та може прикинутися зовнішнім хакером. Інсайдер зазвичай вимагає викуп у цифровій валюті, такій як біткойн.
промислове шпигунство
У цьому сценарії зловмисний інсайдер викрадає інтелектуальну власність і ділиться даними з третіми сторонами, включно з урядовими особами, за винагороду або можливість працевлаштування.
Знищення активів
Зловмисник намагається порушити роботу критично важливих для бізнесу систем, спричинити збій у роботі або знищити важливі запаси даних.
Переслідування
Джон Форд, керуючий директор Global Government Services & Insider Threat Security Solutions у Mandiant (Зображення: FireEye).
Зловмисник отримує доступ до конфіденційних даних співробітників або облікових записів колег, щоб отримати особисту інформацію.
Коли справа доходить до спроб шантажу, компанії відчувають величезний тиск: виконувати вимоги чи намагатися якнайшвидше ідентифікувати інсайдера? А якщо цього не станеться вчасно? Розуміння сценаріїв атак і відстеження злочинців є складним завданням. Ключовими проблемами для команд безпеки під час спроби вимагання є: 1) визначення того, чи дійсно дані були вкрадені, і 2) розрізнення між інсайдерським інцидентом і атакою зловмисної третьої сторони. Це вимагає поєднання технічної криміналістики, аналізу загроз і традиційних методів розслідування. Зовнішні спеціалісти проводять для цього незалежні аналізи та значні експертизи.
Таким чином компанії можуть захистити себе від внутрішніх ризиків
Організаціям необхідно поєднувати технології та пильність, а також навчати своїх співробітників небезпеці внутрішніх загроз шляхом регулярного навчання для ефективного виявлення внутрішніх атак. Щоб запобігти цьому, компанії повинні усвідомлювати небезпеку, яку становлять внутрішні загрози, і вживати відповідних заходів захисту. П'ять порад щодо мінімізації ризиків:
- Інвестуйте в рішення для запобігання втраті даних від інсайдерської загрози. Він розпізнає зловмисну поведінку, подає тривогу та може блокувати дії, якщо це необхідно. Рішення має працювати як із підключенням до Інтернету, так і без нього.
- Захистіть усі середовища у своїх мережах за допомогою засобів контролю доступу. Кожному користувачеві, розробнику та адміністратору слід надавати лише ті права, які їм абсолютно необхідні для щоденної роботи. Обмежте до мінімуму кількість працівників, яким дозволено створювати нові облікові записи в локальних і хмарних середовищах.
- Надсилайте дані журналу та агрегацію подій до SIEM (Інформація про безпеку та керування подіями). Це гарантує автентичність журналів і не дозволяє зловмисникам видалити або змінити їх.
- Впровадити сегментацію мережі. Відокремлюючи зони мережі засобами безпеки, ви запобігаєте можливості зловмисника поширюватися без обмежень. Ви також повинні обмежити непотрібний трафік між дуже чутливими та менш надійними середовищами. Усі системи, які не обов’язково мають бути загальнодоступними, слід відокремити від публічного доступу.
- Забезпечте безпечну висадку. Якщо співробітник залишає компанію, ви повинні негайно заблокувати йому доступ до мережі. Усі ключі SSH, файли PEM і паролі, до яких особа мала доступ, слід змінити для всіх середовищ. Також слід негайно вимкнути багатофакторну автентифікацію (MFA).
Регулярні оцінки важливі
Щоб зменшити ризик внутрішніх загроз, організаціям потрібні процеси запобігання втраті даних, функціональні можливості SIEM, аналітика поведінки та спеціальна команда. Тут слід розглянути три основні сфери: люди, процеси та інструменти. Розслідування інсайдерських загроз має базуватися на доказах, які спростовують профілювання та витримують юридичну перевірку. Зовнішні спеціалісти можуть переглянути існуючі можливості, щоб максимізувати інвестиції, прискорити створення нової програми захисту від інсайдерських загроз або покращити існуючу програму на основі багаторічного каталогізації передового досвіду в галузі. Оскільки вимоги можуть швидко змінюватися, важливо регулярно проводити оцінку безпеки. Вони дають змогу виявляти вразливі місця та постійно покращувати стан безпеки. Таким чином компанії отримують індивідуальну дорожню карту для ефективного захисту від інсайдерських атак та їхніх наслідків.
Більше на FireEye.com
Про Trellix Trellix — це глобальна компанія, яка переосмислює майбутнє кібербезпеки. Відкрита та рідна платформа компанії Extended Detection and Response (XDR) допомагає організаціям, які стикаються з найсучаснішими загрозами сучасності, отримати впевненість у тому, що їхні операції захищені та стійкі. Експерти з безпеки Trellix разом із розгалуженою партнерською екосистемою прискорюють технологічні інновації за допомогою машинного навчання та автоматизації для підтримки понад 40.000 XNUMX бізнес- та державних клієнтів.