Zagrożenie wewnętrzne to ryzyko dla bezpieczeństwa organizacji, które pochodzi z samego przedsiębiorstwa. Może ono pochodzić od obecnych lub byłych pracowników, kontrahentów lub innych współpracowników biznesowych, którzy mają lub mieli dostęp do danych i systemów komputerowych organizacji. Ponieważ zagrożenie pochodzi z wewnątrz organizacji i może, ale nie musi być zamierzone, jest jednym z najdroższych i najtrudniejszych do wykrycia rodzajów ataków.
Rodzaje zagrożeń wewnętrznych
Istnieje wiele rodzajów zagrożeń wewnętrznych, które są definiowane na podstawie intencji i motywacji zaangażowanych w nie osób.
- „Niedbałe” zagrożenia wewnętrzne mogą nie zamierzać narażać organizacji na ryzyko, ale czynią to nieumyślnie, zachowując się w sposób niezabezpieczony. Osoby mające dostęp do informacji poufnych mogą nie reagować na ćwiczenia uświadamiające i szkoleniowe w zakresie bezpieczeństwa lub mogą popełniać pojedyncze błędy, źle oceniając sytuację. W obu przypadkach zaniedbanie jest często wymieniane jako najbardziej kosztowny rodzaj ryzyka związanego z pracownikami.
- „Skoligaceni” insiderzy będą współpracować ze złośliwymi zewnętrznymi podmiotami stanowiącymi zagrożenie dla organizacji. Chociaż jest to ryzykowne i rzadkie, ten rodzaj zagrożenia wewnętrznego staje się coraz bardziej powszechny, ponieważ profesjonalni cyberprzestępcy coraz częściej wykorzystują ciemną sieć do rekrutowania pracowników jako sprzymierzeńców. Przypadki te często wiążą się z oszustwami, kradzieżą własności intelektualnej lub kombinacją obu tych czynników, co może sprawić, że będą bardzo kosztowne. Wykrycie tego typu zmowy może również trwać dłużej, ponieważ złośliwi aktorzy zagrożeń zewnętrznych są zazwyczaj dobrze zaznajomieni z technologiami bezpieczeństwa i strategiami unikania wykrycia.
- „Złośliwi” insiderzy dokonują eksfiltracji danych lub popełniają inne negatywne działania przeciwko organizacji w celu uzyskania nagród finansowych lub innych korzyści osobistych. Złośliwi insiderzy, którzy szukają drugiego źródła dochodu, zazwyczaj powoli przenoszą dane na konta osobiste, aby uniknąć wykrycia. Innym typem złośliwego insidera jest niezadowolony pracownik, którego celem jest celowe sabotowanie firmy lub kradzież jej własności intelektualnej. Można ich zauważyć, jak przeczesują poufne informacje firmowe lub dokonują eksportu dużych ilości danych, szczególnie w okresie, gdy rezygnują ze stanowiska lub składają zwyczajowe dwutygodniowe wypowiedzenie przed jego opuszczeniem.
- „Third-party” insiderzy to kontrahenci lub dostawcy, którym firma zazwyczaj udzieliła pewnego rodzaju dostępu do swojej sieci. Osoby te mogą mieć pracowników, którzy należą do jednej z powyższych kategorii lub mogą po prostu mieć wady we własnych systemach i urządzeniach, które otwierają podatności dla atakujących.
Zagrożenia stwarzane przez insiderów
Insiderzy są szczególnie niebezpieczni, ponieważ w przeciwieństwie do osób z zewnątrz, które próbują przeniknąć do organizacji, zazwyczaj mają legalny dostęp do systemów komputerowych i sieci, który jest im potrzebny do wykonywania codziennej pracy. Jeśli te uprawnienia zostaną nadużyte lub wykorzystane w celu zaszkodzenia organizacji, skutki mogą być katastrofalne i kosztowne dla firmy.
Podczas aktywnej pracy nad kompromitacją organizacji, osoby mające dostęp do informacji wewnętrznych mają również przewagę, ponieważ zazwyczaj znają strukturę danych firmy i wiedzą, gdzie znajduje się własność intelektualna. Mogą również wiedzieć, w jaki sposób informacje te są chronione, co ułatwia im obejście wszelkich środków bezpieczeństwa.
Bo ponieważ osoba mająca dostęp do informacji wewnętrznych ma bezpośredni dostęp do organizacji i jej sieci, a nie musi włamywać się przez zewnętrzne granice, zagrożenia wewnętrzne są często trudniejsze do obrony niż ataki z zewnątrz. Są one również trudniejsze do wykrycia, ponieważ ruchy związane z zagrożeniami wewnętrznymi często mieszają się z uzasadnionymi zachowaniami biznesowymi.
Wykrywanie zagrożeń wewnętrznych
Zagrożenia wewnętrzne mogą łatwo omijać istniejące mechanizmy obronne, co sprawia, że ich wykrycie jest trudniejsze. Jednak znajomość poufnych danych i dostęp do nich sprawiają, że ich wykrycie jest bardzo ważne. Ponieważ zagrożenia wewnętrzne mogą być powiązane z działaniami uzasadnionymi biznesowo, zespoły bezpieczeństwa muszą być w stanie spojrzeć poza pojedyncze artefakty, aby odkryć zachowania i inne wzorce, które mogą wskazywać na kompromitację. Wzorce te różnią się w zależności od rodzaju zagrożenia związanego z wykorzystaniem informacji poufnych.
Prawdopodobieństwo wykrycia osoby mającej dostęp do informacji poufnych oraz punkty w cyklu życia ataku, w których prawdopodobnie zostanie ona wykryta, są różne dla każdego rodzaju zagrożenia związanego z wykorzystaniem informacji poufnych. Zaniedbane insiderzy mogą zostać wykryci poprzez zidentyfikowanie ich istniejących podatności, zanim zostaną skompromitowani, zidentyfikowanie, kiedy ich dane uwierzytelniające zostały skompromitowane lub kiedy ich dane uwierzytelniające zostały wykorzystane do dowodzenia i kontroli, lub poprzez odkrycie nietypowego ruchu bocznego, który pochodzi od tego użytkownika. Podejrzane osoby wewnątrz firmy są najczęściej wykrywane w momencie, gdy komunikują się ze swoimi złośliwymi współpracownikami z zewnątrz lub przekazują im dane. Złośliwi insiderzy mogą wykazywać wzorzec dostępu do informacji lub eksfiltracji informacji, których nie potrzebują lub do których nie powinni mieć dostępu. Na wszystkie te sposoby można również zidentyfikować insiderów zewnętrznych.
W wykrywaniu zagrożeń insiderów istotne jest, aby organizacje miały pełny obraz urządzeń, osób i innych podmiotów bez konieczności posiadania logów lub agentów punktów końcowych w całej sieci, ponieważ często mogą one nie być dostępne. Powinny one być śledzone nawet przy zmianie adresów IP, w celu identyfikacji danych i wzorców zachowań. Zespoły ds. bezpieczeństwa muszą mieć również dostęp do pełnego kontekstu tych podmiotów, w tym profili urządzeń i użytkowników z funkcjami biznesowymi, adresów e-mail, odwiedzanych domen, udostępnianych plików, relacji i innych.
Wykrywanie zagrożeń wewnętrznych & Dochodzenie
Awake wykrywa ataki typu insider threat, które mieszają się z uzasadnioną działalnością biznesową, identyfikując anomalie i złośliwe intencje. Platforma Awake Network Detection and Response analizuje pełne dane przechwytywania pakietów w celu wydobycia setek sygnałów istotnych dla bezpieczeństwa, dedukcji i profilowania podmiotów, takich jak urządzenia i domeny, a także ich zachowań i relacji. Przechowuje również wiedzę instytucjonalną zespołu, w tym kontekst biznesowy, który może ujawnić role użytkowników i podstawowe zachowania. Platforma umożliwia następnie behawioralne wykrywanie TTP napastników i zagrożeń specyficznych dla danej organizacji. Wszystkie działania są skorelowane w linię czasową zagrożeń, która obejmuje IOC, TTP i nie-malware. Proces ten umożliwia automatyczną selekcję z oceną ryzyka dla każdego urządzenia i domeny.
Taki poziom widoczności i szczegółowej analizy kryminalistycznej był wcześniej możliwy do osiągnięcia tylko przez najbardziej wyrafinowanych ekspertów ds. bezpieczeństwa, a nawet wtedy był możliwy tylko poprzez ręczny, czasochłonny proces, co oznaczało, że zagrożenia wewnętrzne były odkrywane z opóźnieniem, jeśli w ogóle. Awake sprawił, że wykrywanie zagrożeń wewnętrznych stało się dostępne dla każdej organizacji, niezależnie od jej wielkości, budżetu czy zaawansowania, umożliwiając zespołom ds. bezpieczeństwa przeprowadzanie rozstrzygających i szybkich reakcji dzięki wykorzystaniu wyczerpujących danych wywiadowczych z sieci.
Zobacz także
- Rozwiązanie enigmatycznego zagrożenia wewnętrznego
- Wykrywanie ruchu bocznego poprzez zdalne tworzenie usług
- Wyciąganie wniosków dla zespołów bezpieczeństwa z największych naruszeń w tym sezonie