Персонал организации, представляет собой одну из самых больших угроз ее безопасности. Человеческая ошибка или халатность обычно являются основной причиной утечки данных в организации.  Однако злонамеренный инсайдер представляет гораздо более серьезную угрозу для организации, поскольку он имеет доступ и намеревается причинить ей вред, обычно отвечая за предоставление первоначального доступа или средств для кражи данных. По сравнению с внешними угрозами, такими как хакерские атаки, внутренние угрозы могут иметь гораздо более катастрофические последствия.

В этой статье мы познакомим вас с терминологией инсайдерских угроз, какие типы инсайдерских угроз существуют и как вы можете бороться с ними, чтобы свести к минимуму риск серьезной утечки данных.

Что такое внутренняя угроза? 

Чтобы понять, что такое внутренняя угроза, нам сначала нужно узнать, кто или что является «инсайдером». Внутренняя угроза — это потенциальная возможность для внутреннего лица использовать свой санкционированный доступ или сведения об организации для нанесения вреда этой организации . Однако важно понимать, что не все внутренние угрозы имеют злой умысел. Хотя все они обладают одинаковыми возможностями причинения вреда, одни делают это с намерением, а другие — из-за человеческой ошибки или небрежности (подробнее о типах внутренних угроз мы расскажем в следующих главах). Несмотря на то, что последние не являются злонамеренными намеренно, по статистике они вызывают большинство утечек данных.

Внутренние угрозы может быть трудно обнаружить. Будь то злой умысел или простая небрежность, нынешние или бывшие сотрудники могут использовать внутреннюю информацию, касающуюся методов обеспечения безопасности организации, данных и ИТ-систем.

Для смягчения внутренних угроз требуется сочетание контроля конечных точек и сети, а также технологии корпоративного расследования для выявления скрытых рисков до того, как они смогут нанести ущерб.

Существует несколько типов внутренних угроз:

  • Злонамеренный инсайдер — сотрудник или подрядчик, который намеренно пытается украсть информацию или нарушить работу. Это может быть оппортунист, ищущий способы украсть информацию, которую они могут продать или которая может помочь им в их карьере, или недовольный сотрудник, ищущий способы навредить организации, наказать или поставить в неловкое положение своего работодателя. Примером злонамеренного инсайдера являются различные  инженеры Apple  , которых обвинили в краже данных за кражу секретов беспилотных автомобилей для китайской компании.
  • Небрежный инсайдер — сотрудник, который не следует надлежащим ИТ-процедурам. Например, кто-то, кто покидает свой компьютер, не выйдя из системы, или администратор, который не изменил пароль по умолчанию или не применил исправление безопасности. Примером нерадивого инсайдера может служить аналитик данных, который без разрешения забрал домой жесткий диск с личными данными  26,5 млн ветеранов вооруженных сил США , украденный при краже со взломом дома.
  • Скомпрометированный инсайдер — типичный пример — сотрудник, чей компьютер был заражен вредоносным ПО. Обычно это происходит с помощью фишинга или нажатия на ссылки, которые вызывают загрузку вредоносного ПО. Скомпрометированные инсайдерские машины могут использоваться киберпреступниками в качестве «домашней базы», ​​с которой они могут сканировать файловые ресурсы, повышать привилегии, заражать другие системы и т. д. Как и в случае с недавним  взломом Twitter  , когда злоумышленники использовали телефонную фишинговую атаку, чтобы получить доступ к учетным данным сотрудников и их внутренней сети. Злоумышленникам удалось получить информацию о процессах Twitter и нацелить сотрудников, имеющих доступ к инструментам поддержки учетных записей, для взлома известных учетных записей и распространения мошенничества с криптовалютой, которое заработало 120 000 долларов.

 

Как скомпрометированы сотрудники

Есть несколько способов, с помощью которых сотрудник может стать скомпрометированным инсайдером:

Фишинг — киберпреступление, при котором с целевым лицом связывается по электронной почте или в текстовом сообщении кто-то, выдающий себя за законное учреждение, чтобы заманить человека для предоставления конфиденциальных данных, таких как информация, позволяющая установить личность (PII), банковские данные и данные кредитной карты, и пароли. Некоторые фишинговые схемы также могут попытаться побудить цель щелкнуть ссылку, которая запускает загрузку вредоносного ПО.

Заражение вредоносным ПО — киберпреступление, когда компьютер заражен вредоносным программным обеспечением — вредоносное ПО — проникает на ваш компьютер. Целью вредоносного ПО в случае скомпрометированного инсайдера является кража конфиденциальной информации или учетных данных пользователя. Заражение вредоносным ПО может быть инициировано нажатием на ссылку, загрузкой файла или подключением зараженного USB-накопителя и другими способами.

Кража учетных данных — киберпреступление, направленное на кражу имени пользователя и пароля — учетных данных — целевого лица. Кража учетных данных может осуществляться различными способами. Фишинг и заражение вредоносным ПО, упомянутые выше, являются обычным явлением. Некоторые преступники могут использовать социальную инженерию, которая заключается в использовании обмана для манипулирования людьми с целью разглашения их учетных данных. Поддельный звонок из службы ИТ-поддержки, когда злоумышленник просит пользователя подтвердить свое имя пользователя и пароль, является распространенным методом.

Pass-the-hash — более продвинутая форма кражи учетных данных, при которой хешированные — зашифрованные или обработанные — учетные данные для аутентификации перехватываются с одного компьютера и используются для получения доступа к другим компьютерам в сети. Атака с передачей хеша по своей концепции очень похожа на атаку с кражей паролей, но она основана на краже и повторном использовании хеш-значений паролей, а не на фактическом текстовом пароле.

Как предотвратить

Хотя невозможно полностью предотвратить внутренние угрозы, если вы объедините их с средствами обнаружения, ваша организация сможет свести к минимуму риск их возникновения. 

 Существует несколько способов предотвращения внутренних угроз: 

  • Провести обучение по вопросам безопасности 
  • Применение строгих политик безопасности 
  • Реализовать принцип наименьших привилегий 
  • Обеспечить соблюдение принципа разделения обязанностей 
  • Внедрите архитектуру нулевого доверия 
  • Используйте решения DLP (предотвращение потери данных) 

 Как уже говорилось, они не являются исчерпывающими, но значительно помогут снизить риск утечки инсайдерских данных. 

Заключение 

Внутренние угрозы будут наиболее распространенной угрозой для любой организации. Это связано с тем, что часть внутренних угроз также является непреднамеренными угрозами (например, человеческая ошибка, когда люди поддаются на попытку фишинга). И именно это самый распространенный первоначальный доступ для злоумышленников. В настоящее время злоумышленникам намного дороже взламывать среду «извне» путем грубой силы или использования уязвимостей устройств, подключенных к Интернету. Более того, эти попытки (при адекватном мониторинге безопасности) очень шумные и легко обнаруживаемые. К сожалению, самый дешевый и эффективный способ — попытаться использовать человеческие уязвимости .  

Тем не менее, злонамеренные инсайдеры тоже существуют, и сотрудничество с внешними угрозами делает их довольно скрытными и не делает их слишком явными, в то время как ущерб не менее значителен. 

ru_RUРусский