Among Us в кибербезопасности: Как обнаружить и предотвратить инсайдерские угрозы

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50
Одной из наиболее серьезных угроз для информационной безопасности организаций являются инсайдерские атаки.


Внутренние угрозы, исходящие от сотрудников или других внутренних лиц, могут иметь разрушительные последствия для конфиденциальности, целостности и доступности данных. В статье рассказываем, кто может стать инсайдером, как его обнаружить и какие меры предпринять для защиты информации от подобных угроз.

16njvq1xtigwfn0c0v8h984rnq6cpc9t.jpg


Такие разные инсайдеры

Инсайдером можно назвать любого человека, который находится внутри контура безопасности и имеет доступ к информации компании. Обладая легитимным доступом к инфраструктуре организации инсайдер может нанести ей и ее сотрудникам весьма ощутимый вред: от репутационных потерь до или уголовного наказания. Инсайдер может обнародовать конфиденциальные данные, передать важную информацию конкурентам или злоумышленникам, установить вредоносное ПО и отключить систему защиты или полностью уничтожить необходимые для продолжения работы файлы.

Внутренним агентом может оказаться как новый человек в организации, который проникает в компанию с целью действовать в интересах конкурентов или злоумышленников, либо им может стать действующий сотрудник ради финансовой выгоды. Например, инсайдеры в банковской сфере могут карт, счетов, паспорта, а операторы мобильной связи и сотрудники правоохранительных органов оказывать .

По данным отчета Verizon 2024 DBI 25% утечек конфиденциальной информации связано с внутренними нарушителями, однако только 5% — это злоупотребление служебным положением. К наиболее опасным инсайдерским угрозам можно отнести: утрату конфиденциальной информации и интеллектуальной собственности, кражу денежных средств или мошенничества, нарушение (прерывание) бизнеса из-за сбоя в работе информационных систем и, конечно же, репутационный ущерб из-за утечек.

Не все инсайдерские угрозы — злонамеренные. Многие из них происходят по неосторожности, часто от несоблюдения правил информационной безопасности. Например, сотрудник может стать жертвой фишинга, забыть выйти из учетной записи рабочего ноутбука перед тем, как отнести его в мастерскую, подключиться к общественным сетям Wi-Fi или просто скачать зараженное ПО.

Компания InfoWatch сообщила в своем , что 2019 году 98% от совокупного объема персональных данных и финансовой информации были скомпрометированы в результате небрежности или грубой неосторожности лиц, имеющих легитимный доступ к указанным данным.

Самые распространенные инсайдерские угрозы происходят по неосторожности. Согласно статистике различных исследований, их объем может достигать 70%. Но не стоит забывать и про сотрудников внутри компании, которые злоупотребляют допуском к конфиденциальной информации и могут использовать ее в своих целях (финансовая выгода, очернение репутации компании, корпоративный шпионаж и т.д.)

Помимо штатных сотрудников в стратегии защиты от инсайдерских угроз стоит учитывать и подрядчиков, с которыми компания сотрудничает проектно или на постоянной основе. Их особенность в том, что контролировать уровень безопасности и проверять сотрудников на благонадежность не представляется возможным. Так в 2023 году Genova Burns — подрядчик компании Uber Technologies — допустила конфиденциальных данных водителей. Также данные компании «Спортмастер» через одного из подрядчиков.

С подрядчиками всё, как обычно, сложнее. Во-первых, потому что не всегда работник из подрядной организации обеспечивает для себя тот же уровень защиты, какой необходим в контуре компании. Во-вторых, сторонний специалист далеко не всегда так лоялен, как штатный сотрудник. Кроме того, подрядчик может обслуживать несколько организаций и, обеспечив доступ злоумышленника к своим учетным данным даже непредумышленно, он подвергает опасности сразу все инфраструктуры, к которым имеет доступ.

Еще один тип инсайдеров — недовольные действующие или уже бывшие сотрудники. Они могут красть базы данных, уносить их с собой на следующее место работы или просто вредить из мести или ради обогащения. Так, бывший сотрудник израильской компании NSO Group и пытался продать в дарквебе ПО и информацию о способе взлома устройств под управлением iOS и macOS. А в 2023 году бывший сотрудник НИИ «Восход» биометрическими данными граждан.

Бывшие сотрудники не менее опасны, особенно, если они обладали высокими правами доступа в ИТ-инфраструктуре компании. Действующие учетные записи уволенных сотрудников, неправомерное повышение привилегий, изменение конфигураций оборудования для обеспечения удаленного доступа – лазейки для реализации угроз. Угрозы же в данном случае могут заключаться как в краже данных, так и в преднамеренном разрушении бизнес-процессов компании путем нарушения целостности и доступности критичной для организации информации.

Вне зависимости от того, была ли инсайдерская угроза умышленной или непреднамеренной, она несет ощутимый ущерб компании.

Предотвратить, найти и обезвредить инсайдера

Компании могут предотвратить появление или обнаружить внутренних нарушителей. Для этого необходимо организовать комплексный подход к защите данных на организационном и на техническом уровнях:

1. Работать с сотрудниками. Ввести режим коммерческой тайны, прописав в договорах соглашение о неразглашении, разрабатывать инструкции по информационной безопасности и проводить обучения, тренинги.

В качестве профилактики служба безопасности (СБ) компании может сама инициировать инциденты (так называемая контролируемая “утечка информации”). Так же, как и фишинговые тесты, ее можно использовать для проверки эффективности систем безопасности и сознательности сотрудников. Целью проведения таких проверок являются выявление слабых мест в системе безопасности компании, проверка текущего состояния систем контроля доступа, обучение и повышение осведомленности персонала.

Служба безопасности создает сценарий, в котором от сотрудников может потребоваться обработка запроса на доступ к конфиденциальным данным. Затем они отслеживают, как сотрудники отреагируют на запрос — будут ли они следовать установленным процедурам или попытаются обойти их (по причинам незнания, лени или даже умышленно). Результаты таких тестов анализируются для оценки готовности организации к реальным угрозам и определения необходимости изменений в политиках безопасности или проведении дополнительного обучения персонала.

2. Принять технические меры. Навести порядок в данных и правах доступа — знать, где находится информация, контролировать и обновлять права доступа. Использовать системы Data Leak Prevention для блокировки передачи конфиденциальных данных и решения User and Entity Behavior Analytics для своевременного обнаружения аномального поведения пользователя и закрытия доступа для него. Использовать многофакторную аутентификацию.

Для реализации угрозы обычно используются привычные каналы связи, такие как мессенджеры, почта или даже веб-порталы. И в этом смысле, конечно, основной выбор средств противодействия – это различные DLP-системы, контролирующие технические каналы связи. Отдельный перехватчик ставится на рабочие станции пользователей, прокси-сервер и почтовый сервер интегрируются со своими перехватчиками трафика и таким образом предотвращается утечка данных. Дальше весь вопрос в правильности настройки – система должна корректно отличать защищаемую информацию, от безопасного трафика и для этого используются различные технологии детектирования. От обычных ключевых слов, которые должны встретиться в тексте, до регулярных выражений, цифровых отпечатков и машинного обучения.

В качестве проверки служба безопасности компании может сама разместить запрос на профильной площадке, теневом форуме о готовности купить инсайдерскую информацию своей компании. Такой способ вычисления внутреннего нарушителя может быть эффективным, но имеет ограничения, в том числе с юридической стороны.

Такой подход действительно является крайне эффективным даже в случае нехватки средств защиты, так как позволяет сузить круг подозреваемых лиц за счёт знания заранее к каким данным будет обращаться инсайдер. Также данный метод позволяет проверить на прочность систему ИБ и выявить ранее неизвестные векторы атаки, наподобие тестированию на проникновение.

Однако на практике он применим только к ограниченному числу крупных организаций – операторы связи, банки, государственные структуры, для которых получение инсайдерской информации может быть поставлено на поток и доступно чуть ли не простому обывателю. К тому же не стоит забывать про ряд юридических, финансовых и организационных сложностей, которые следует заранее проработать перед попыткой «ловли на живца».

Анализ сотрудника может указать на риск возникновения инсайдерской угрозы. При этом стоит обращать на только на цифровые действия, как например, неожиданные запросы и скачивание больших объемов данных, необычные входы в систему и использование данных, не связанных с должностными обязанностями. Нужно учитывать и поведенческие аспекты: высказывание недовольства и обсуждение вопроса увольнения, нахождение в системе в нерабочее время, снижение продуктивности и нежелание участвовать в долгосрочных проектах.

Практика «контрольных закупок» со стороны СБ или подрядных организаций, занимающихся обеспечением безопасности, довольно распространена. Однако зачастую из-за отсутствия или недостаточной детализации логов, отсутствия мониторинга баз данных, из которых закупается информация, расследование может зайти в тупик.

Благодаря комплексному подходу к предотвращению инсайдерских угроз удается снизить риск как инцидентов по неосторожности, так и злонамеренных. Непрерывное обучение персонала информационной безопасности и регулярные внутренние проверки позволяют узнать реальный уровень безопасности компании и предотвратить случайной утечки данных.

Заключение

Выстраивая информационную защиту компании необходимо уделить особое внимание внутренним угрозам. Инсайдер по неосторожности или злонамеренно может нанести ощутимый вред компании, легитимно находясь в системе долгое время и при этом не быть обнаруженным.

На наш взгляд, попытки атак с использованием инсайдеров продолжат расти, и чтобы эффективно им противостоять, необходимо применять комплексный подход. В первую очередь это продуманная корпоративная политика ИБ в сочетании с грамотно настроенной передовой системой DLP. Усилить уровень информационной безопасности компании поможет внедрение IdM-системы, позволяющей навести порядок в ролях и процессах выдачи доступа, выдавать пользователю необходимые и достаточные права, контролировать жизненный цикл учетной записи и не допускать накопления прав и рисков, а также PAM-системы, контролирующей доступ и действия привилегированных пользователей, в том числе сотрудников подрядчиков, а также удаленные подключения и DAG для контроля доступа к неструктурированными данными в компании.

Следование модели нулевого доверия при работе с подрядчиками, тщательный аудит и контроль за правами доступа к конфиденциальной информации, внедрение технических инструментов и применение организационных мер снизят риски возникновения инсайдерских угроз.



 
  • Теги
    инсайдерские угрозы кибербезопасность продажа баз данных услуги пробива
  • Сверху Снизу