Погрози від «ІТ-сайдерів» змушують багатьох відділів ІТ-безпеки виливатися в холодний піт. І це правильно, адже вони вже міцно закріпилися в корпоративних ІТ. Тому вони становлять особливо високий ризик після компрометації, оскільки їх навряд чи можуть бути виявлені звичайними механізмами безпеки, спрямованими назовні.
Тому важко повністю захистити від внутрішніх загроз традиційними засобами. Для захисту від внутрішніх загроз і виявлення того, що відбувається всередині організації, організаціям потрібні правильні стратегії та технічні рішення, які виходять за рамки традиційних методів ІТ-безпеки.
75% порушень безпеки інсайдерами
Якщо поглянути на те, які загрози зрештою успішні та проникають у ІТ компанії, то внутрішні загрози аж ніяк не є ризиком, яким слід нехтувати. Насправді, за даними дослідницької групи інформаційних ризиків Gartner, внутрішні загрози відповідають за 50-70 відсотків усіх інцидентів безпеки, а якщо говорити про порушення безпеки конкретно, інсайдери відповідальні за три чверті з них.
Наслідки можуть бути серйозними: Інститут Ponemon підрахував, що інсайдерські загрози коштують 8,76 мільйонів доларів на рік на одну постраждалу компанію. Це не в останню чергу тому, що для виявлення та локалізації кожного порушення потрібно в середньому 280 днів – страшний сценарій для будь-якої компанії.
Три основні форми внутрішніх загроз
Найвідомішим прикладом внутрішньої загрози, безумовно, є Едвард Сноуден.
Але його діяльність, навіть якщо вона є найвідомішою, аж ніяк не типова для сценаріїв, з якими стикається більшість організацій, особливо в комерційному контексті. У більшості випадків інсайдерські загрози мають три основні форми: «випадкові», «скомпрометовані» або «зловмисні» інсайдери.
1. Як випливає з назви, це «зловмисний» інсайдер як правило, службовець або підрядник краде інформацію. Едвард Сноуден є, мабуть, найвідомішим прикладом цього, оскільки багато інших зловмисників крадуть інформацію не як інформатори, а заради фінансової вигоди, як-от викрадачі даних швейцарського банку кілька років тому.
2. «Скомпрометований» інсайдер багато хто вважає це найбільш проблематичною формою, оскільки все, що зазвичай робить ця особа, це невинно натискає посилання або вводить пароль. Це часто є результатом фішингових кампаній, під час яких користувачам пропонують посилання на автентичний веб-сайт, щоб обманом змусити їх ввести облікові дані чи іншу конфіденційну інформацію.
3. Не менш небезпечний «випадковий» або «недбалий» інсайдер. Виявлення цих інсайдерів може бути особливо складним, оскільки незалежно від того, наскільки ретельно компанії та співробітники ставляться до кібербезпеки, трапляються помилки.
Варіанти технологічного захисту
Щоб уникнути таких простих, але в гіршому випадку дуже далекосяжних помилок, багато організацій вже використовують інтенсивні навчальні курси для підвищення обізнаності своїх співробітників у цьому напрямку. Безсумнівно, деяким випадковим і скомпрометованим інсайдерським атакам можна запобігти, просто навчивши кінцевих користувачів розпізнавати та уникати спроб фішингу. Але крім освіти існують технологічні можливості, які зосереджені на поведінці користувачів для кращого захисту від внутрішніх загроз.
Аналіз поведінки користувачів і суб'єктів (UEBA)
Використання традиційних, орієнтованих назовні рішень кібербезпеки створює дуже велику сліпу пляму. Для вирішення багатогранної проблеми внутрішніх загроз командам безпеки потрібна технологічна інфраструктура та інструменти, щоб побачити повну картину всіх загроз, включно з внутрішніми. Саме тут на допомогу приходить аналіз поведінки користувачів і суб’єктів (UEBA). Розуміючи типову поведінку, команди безпеки можуть легше визначити, коли виникає проблема. Відповідні рішення на основі ШІ та машинного навчання вже використовуються багатьма організаціями для ефективного проактивного захисту.
Висновок: проактивна стратегія з аналітикою
Організаціям потрібна технологічна інфраструктура та інструменти, щоб побачити повну картину загроз. Тому сучасні SOC використовують аналіз поведінки користувачів і суб’єктів (UEBA) у своїх системах SIEM, щоб захистити себе зсередини від помилок людини, недбалості та зловмисників. Така проактивна стратегія в поєднанні з навчанням може значно зменшити внутрішню сліпу зону та завчасно виявити багато внутрішніх загроз.
Дізнайтеся більше на Exabeam.com[starboxid=17]