Внутренние угрозы — это больше, чем просто злонамеренные сотрудники



Предприятия обоснованно опасаются атак со стороны неуполномоченных посторонних лиц, но они не должны игнорировать внутреннюю угрозу.

По словам Тоби Льюиса, руководителя отдела анализа угроз в Darktrace, к внутренним угрозам относятся любые действия, при которых сотрудники подвергают сеть риску, которого изначально не было. Другими словами, именно сотрудники организации подрывают уровень безопасности организации.

Обычный образ внутренней угрозы — это образ человека, преднамеренно пытающегося обойти механизмы безопасности, например разгневанного сотрудника, которого уволили, или недовольного рабочего, пытающегося нанести какой-либо ущерб предприятию. Но сосредоточение внимания только на этих типах сценариев подвергает организацию риску, потому что группы безопасности могут не заметить других людей, которые не осознавали последствий, казалось бы, незначительных действий.

Например, сотрудник, который пытается выполнить задачу в рамках своей повседневной работы, может иметь дело с процессом, который кажется ему громоздким или бюрократическим. Когда они находят короткий путь, они не пытаются намеренно нарушать правила, чтобы получить личную прибыль от деятельности. Но они не думают и о том, что может быть причина, по которой процесс был создан именно таким образом.

«Они изобрели свой собственный процесс», — говорит Льюис. «При этом они могут не осознавать, какие последствия для безопасности несет этот путь, или что этот маленький короткий путь, который они только что изобрели, на самом деле может быть довольно рискованным».

Человеку свойственно ошибаться
Другой тип внутренней угрозы — это ошибка пользователя. Кто-то забыл что-то сделать или сделал что-то, даже если его учили не делать этого. По словам Льюиса, когда те, кто совершает ошибки, имеют действительные имена пользователей и пароли и могут получить доступ к системам и приложениям с большим объемом данных, группы безопасности должны признать, что эти ошибки могут потенциально привести к инцидентам в области безопасности.

«Если вашей последней линией защиты является надежда на то, что кто-то не щелкнет ссылку или не откроет вложение, значит, до этого момента вы сделали очень много неправильных вещей», — говорит Льюис.

Обучение не охватывает все основы. Но если кто-то ошибся, это не значит, что на тренировке был провал. Некоторые люди усваивают учебный материал более тщательно, чем другие.

«У вас будет широкий спектр людей, которые принимали участие в обучении», — говорит Льюис. «Некоторые получат это, а некоторые будут на словах ставить галочки, чтобы просто пройти тест, чтобы они могли приступить к следующей части своего дня. А другие не будут знать, что они делают, и просто случайным образом нажимают кнопки».

Иногда люди забывают то, чему их учили. Например, родители могут быть более склонны нажимать на что-то, что может ссылаться на их детей. Или, если у человека есть какое-то особое увлечение, сообщение, относящееся к этой теме, может заставить его сделать что-то небезопасное.

«Всегда будет что-то такое, что, когда это произойдет, вы забудете все правила и тренировки», — говорит Льюис.

«Великая отставка» также может вызвать некоторые вопросы. Если люди покидают организацию, они могут стать более спокойными в отношении безопасности, потому что их приоритеты изменились.

«Безопасность компании, в которой они работают, больше не имеет значения, потому что они думают: «Меня здесь не будет через две недели», — говорит Льюис. Или они могут подумать о том, чтобы взять с собой информацию о компании — что может означать только их список контактов электронной почты или файлы, над которыми они работали — при выходе.

0 Consider устраняет инсайдерские риски
Когда дело дошло до безопасности сети и периметра, люди за пределами сети считались изначально плохими, а те, кто был внутри, — хорошими. Однако это правило нарушается, когда посторонний получает украденные учетные данные для доступа к внутренним ресурсам или обходит средства контроля безопасности и ставит под угрозу систему, чтобы закрепиться в сети.

«Они используют информацию хорошего человека для доступа к сети, но у них плохая мотивация», — говорит Льюис. «Они хорошие? Они плохие? Как вы их различаете?»

Нулевое доверие рассматривает каждое соединение и действие как подозрительное. Существуют сигналы для проверки, такие как используемое устройство, время суток и порядок доступа к приложениям. Если пользователь отклоняется от ожидаемого, это инициирует расследование, даже если действие происходит внутри среды.

«Им нужно доказать, кто они такие. Им нужно доказать, что они исходят из безопасного устройства. И им нужно доказать, что у них добрые намерения», — говорит Льюис.

Льюис отмечает, что в организации с нулевым доверием инсайдерам будет труднее действовать плохо. Управляя идентификацией, группы безопасности понимают, кто такие пользователи, и определяют, как выглядит «нормальный». Таким образом, они могут оценить уровень риска для каждого человека и понять, когда следует запрашивать дополнительную информацию.

Другая часть — сегментация сети. Если сеть была разделена на разные сегменты, то пользователи должны аутентифицироваться каждый раз, когда они переходят в новую область. Различные части сети могут быть выделены в зависимости от риска и места хранения конфиденциальных данных.

«Каждая часть вашей сети должна находиться за своей собственной группой запертых дверей», — говорит Льюис. «Вы можете пересечь этот барьер только в том случае, если вы являетесь доверенным лицом».

Люди непредсказуемы, и безопасность не должна зависеть от точного знания того, что они собираются делать. Команды безопасности должны внедрить технические средства контроля, чтобы отслеживать все случаи, когда сотрудник действует вразрез с его обучением. Технология может свести к минимуму потенциальное влияние ошибки или заблокировать потенциально проблемное действие.

«Везде, где это возможно, технологии должны брать на себя бремя», — говорит Льюис.

https://cyberxhack.org/