Почему так сложно обнаружить внутренние угрозы и как вы можете их предупрелить?

Внутренние угрозы исходят от людей, которые уже обладают законным доступом – сотрудников, подрядчиков, партнеров. Вы не можете относиться к этим рискам как к типичным внешним атакам, потому что внутренние угрозы действуют в пределах доверия, с действительными учетными данными и в рамках обычных рабочих процессов.

Когда у вас нет возможности выявлять угрозы в режиме реального времени и в контексте, действия злоумышленников проходят незаметно. Вы видите отдельные события – странную загрузку файла, необычный вход в систему из другого места – без временной шкалы, которая показывает намерения. Эти небольшие действия накапливаются и приводят к серьезным нарушениям: краже данных, нарушению нормативных требований и сбоям в работе. Вы платите за это временем на расследование, затратами на устранение последствий и потерей доверия клиентов.

Вы должны внедрить систему обнаружения внутренних угроз в режиме реального времени для предприятий, которая использует анализ поведения, корреляцию перекрестных сигналов, автоматизацию и контекстное обогащение. Объединяя телеметрию сети, конечных точек, идентификации и обмана, вы обнаруживаете незаметные злоупотребления, уверенно эскалируете их и останавливаете инсайдеров, прежде чем они нанесут материальный ущерб.

Почему инсайдеры представляют особую угрозу – и что нужно делать

1. Они маскируются под легитимную деятельность

Инсайдеры используют утвержденные каналы, утвержденные инструменты и законные учетные данные. Поэтому нельзя полагаться только на списки сигнатур или внешние индикаторы. Необходимо выявлять отклонения от нормы, а не только известные вредоносные индикаторы.

• Пример: Привилегированный инженер в течение нескольких дней копирует несколько конфиденциальных файлов на USB-накопитель. Каждый перенос сам по себе выглядит обычным, но важна их последовательность.
• Что необходимо сделать: Создайте базовые показатели для каждой роли и отслеживайте последовательности действий, а не отдельные события.

2. Вы должны бороться как с халатностью, так и со злым умыслом

Небрежность приводит к рискам – раскрытию учетных данных, случайной загрузке данных, неправильной настройке общих ресурсов. Злонамеренные действия на первый взгляд выглядят похоже, но со временем усугубляются. Вы должны рассматривать и то, и другое как существенные риски.

• Пример: Сотрудник из удобства использует свой корпоративный аккаунт в личном облачном сервисе. Такое поведение создает риск утечки данных, даже если оно не является злонамеренным.
• Что необходимо сделать: Объединить меры предотвращения (минимальные привилегии, DLP) с обнаружением аномального доступа и повторяющегося рискованного поведения.

3. Разнородность пользователей усложняет обнаружение

Подрядчики, поставщики и удаленные сотрудники ведут себя по-разному. Необходимо избегать универсальных правил, которые генерируют шумы или пропускают угрозы.

• Что необходимо сделать: Внедрите атрибуты HR и идентификации в логику обнаружения, чтобы оповещения оценивали правильный контекст для правильного пользователя.

4. Атаки проводятся медленно и незаметно, чтобы избежать пороговых значений

Инсайдеры постепенно выводят данные – небольшие загрузки, периодический доступ, вход в систему в нерабочее время – поэтому пороговые значения, основанные на объеме, не помогут вам.

• Что нужно сделать: Внедрите анализ временной шкалы и последовательности, чтобы выявлять многоэтапные шаблоны, указывающие на намерения.

5. Оповещения часто не содержат бизнес-контекста

Оповещение о передаче файла становится действенным только после того, как вы узнаете о конфиденциальности файла, роли пользователя и исторических моделях доступа. Без обогащения информации расследования заходят в тупик.

• Что необходимо сделать: Обогатите оповещения классификацией данных, оценкой влияния на бизнес и метаданными о владельце, чтобы правильно расставить приоритеты.

6. Ограничения, связанные с конфиденциальностью и политикой, определяют, что вы можете контролировать

При сборе телеметрических данных вы должны соблюдать законы, правила профсоюза и внутреннюю политику. Это ограничение требует разработки дизайна с учетом требований конфиденциальности.

• Что вы должны сделать: Определите допустимую телеметрию с помощью юридического отдела и отдела кадров, используйте агрегированные базовые показатели, где это возможно, и переходите к деталям, связанным с идентификацией личности, только при достижении пороговых значений риска.

Практические, конкретные меры контроля, которые необходимо внедрить прямо сейчас

1. Установите точные базовые показатели поведения с учетом ролей

Внедрите аналитику поведения пользователей и объектов, которая изучает нормальные модели поведения для каждой роли, географического региона и команды. Включите в нее состояние устройств и окна доступа. Вы будете обнаруживать необычный доступ к файлам, нетипичное использование приложений и аномальные сетевые адреса назначения.

2. Приоритизация оповещений по комбинированной оценке риска

Объедините привилегии пользователей, конфиденциальность данных, серьезность аномалий и недавнее поведение в единую оценку риска. Вы будете направлять самые высокие риски на немедленное расследование, одновременно подавляя малозначимые шумы.

3. Внедрение системы обнаружения в режиме реального времени и автоматизированных сценариев

Внедряйте автоматизированные меры реагирования, которые срабатывают при превышении пороговых значений допустимого риска, например, запросы условного доступа, прекращение сеанса или временная изоляция учетной записи, сохраняя при этом доказательства для расследования.

4. Сбор контекста криминалистического уровня для каждого предупреждения

Собирайте метаданные сеанса, хэши файлов, идентификаторы устройств, сетевые пути и атрибуты идентификации пользователей. Вы сможете быстро восстановить хронологию событий и доказать умышленное или случайное неправомерное использование.

5. Используйте обман и сдерживание

Используйте внутренние приманки – поддельные хранилища, ложные токены или подложенные учетные данные – для выявления пробных или преднамеренных попыток доступа. Взаимодействие с приманками следует рассматривать как высоконадежные сигналы, требующие немедленного реагирования.

6. Регулярно проводите обучение и переаттестацию пользователей

Проводите целевые тренинги с учетом конкретных должностных обязанностей. Вы сможете снизить количество случаев небрежного поведения и повысить точность обнаружения нарушений, информируя пользователей о контролируемых показателях и каналах подачи сообщений.

7. Постоянно настраивайте и проверяйте модели

Проверяйте ложные срабатывания и пропущенные обнаружения. Вы будете перенастраивать модели по мере изменения команд, внедрения новых инструментов или изменения моделей удаленной работы.

8. Интегрируйте данные об идентификации и персонале в логику обнаружения

Введите даты найма/увольнения, изменения должностей и статус контрактов в механизмы обнаружения. Вы уменьшите количество ложных срабатываний и выявите случаи с более высоким риском, такие как недавние увольнения или изменения должностей, которые требуют немедленного внимания.

Как расследовать и устранить инцидент, связанный с инсайдером – практическое руководство

1. Обнаружение: Система выдает приоритетное предупреждение, учитывающее отклонение в поведении, роль пользователя и чувствительность данных. Вы получаете предупреждение в консоли SOC.
2. Сортировка: Вы изучаете расширенный контекст – кто, что, где и как – без немедленного прерывания работы. Вы используете роль и чувствительность для определения срочности.
3. Сдерживание: Когда риск того требует, вы запускаете автоматическое сдерживание (прекращение сеанса, условный доступ или изоляция устройства) с сохранением всех криминалистических доказательств.
4. Расследование: Вы восстанавливаете хронологию событий с помощью записей сеансов, журналов доступа к файлам и сетевых трассировок. Вы определяете намерение: халатность или злонамеренность.
5. Устранение: Вы отменяете или корректируете доступ, меняете учетные данные, удаляете утечки информации и устраняете пробелы в процессах. Вы координируете действия отдела кадров и юридического отдела только в том случае, если они подкреплены доказательствами.
6. Обучение: Вы используете полученный опыт для настройки моделей, изменения политик, обучения пользователей и улучшения развертывания ложных целей.

Как Fidelis Elevate укрепляет вашу программу по борьбе с инсайдерскими угрозами

1. Корреляция перекрестных сигналов с расширенной оценкой риска

Fidelis Elevate собирает данные телеметрии по сети, конечным точкам, идентичности и датчикам обмана. Он сопоставляет эти сигналы, чтобы получить единую расширенную оценку риска. Вы увидите оповещения с высокой степенью достоверности, которые связывают необычное поведение пользователя в сети с аномалиями конечных точек и недавними событиями, связанными с идентичностью. Такая корреляция снижает количество ложных срабатываний и выявляет сложные последовательности, которые указывают на намерения, а не на единичные ошибки.

• Пример: Fidelis Elevate связывает загрузку файлов инженером в нерабочее время (сигнал конечной точки) с неожиданными исходящими сессиями (сетевой сигнал) и недавним изменением привилегий (событие идентификации), в результате чего выдается срочное предупреждение, в котором четко указывается совокупный риск.

2. Автоматизированные рабочие процессы обнаружения и реагирования в режиме реального времени

Fidelis Elevate позволяет использовать автоматизированные сценарии, которые запускаются при превышении пороговых значений риска. Вы сможете настроить сценарии для применения мер по сдерживанию угроз – прекращение сеанса, изоляция устройства, принудительное ограничение доступа – посредством интеграции с вашими инструментами оркестрации и управления доступом (IAM). Автоматизация сокращает время простоя и позволяет аналитикам сосредоточиться на расследованиях, имеющих большое значение.

• Пример: При обнаружении крупных, необычных передач файлов от привилегированного пользователя Fidelis Elevate запускает рабочий процесс, который изолирует хост в сети и запрашивает многофакторную повторную аутентификацию для учетной записи пользователя.

3. Захват сеансов для криминалистической экспертизы и быстрое расследование

Для каждого предупреждения Fidelis Elevate сохраняет захваты на уровне сеанса и метаданные. Вы сможете точно восстановить действия пользователя – хэши файлов, места назначения передачи, временные метки и связанные команды – и быстро определить его намерения и масштаб действий. Платформа агрегирует соответствующие исторические данные о поведении, чтобы показать тенденции и закономерности.

• Пример: Вы отслеживаете подозрительную утечку данных до конкретного воспроизведения сеанса, извлекаете список файлов и видите, что последовательность соответствует предыдущим подозрительным пробам, что подтверждает вредоносную деятельность.

4. Обман и сдерживание, интегрированные в систему обнаружения

Fidelis Elevate поддерживает развертывание средств обмана, которые размещают в среде ложные файлы и ложные токены. Когда пользователь получает доступ к ложному объекту, Fidelis Elevate генерирует высоконадежное предупреждение и направляет его в тот же механизм сценариев, который вы используете для других индикаторов внутренних угроз. Обман напрямую раскрывает намерения и сдерживает случайное злоупотребление, когда пользователи знают о наличии системы обнаружения.

• Пример: Бывший подрядчик получает доступ к файлу-приманке отдела кадров и немедленно вызывает оповещение, которое включает в себя взаимодействие с приманкой и контекст устройства пользователя для немедленного локализации.

5. Координация политик и изоляция с учетом идентификационных данных

Fidelis Elevate связывает оповещения с метаданными об идентификационных данных и активах, что позволяет выполнять целевые исправления, минимизирующие сбои в работе бизнеса. Вы будете изолировать скомпрометированные хосты или отзывать временный доступ в соответствующих случаях, а не выполнять широкие действия, нарушающие работу бизнеса.

• Пример: Основываясь на риске, связанном с идентификационными данными, и критичности активов, вы изолируете один хост, а не отключаете учетные записи всего отдела, сохраняя работу и устраняя угрозу.

Действия, которые необходимо предпринять сейчас

Внутренние угрозы используют доверие, которое вы оказываете внутри своей организации. Нельзя полагаться только на периметральные инструменты или ручную проверку. Необходимо внедрить решения для обнаружения внутренних угроз в режиме реального времени, использовать базовые показатели поведения с учетом ролей и учитывать идентичность и бизнес-контекст в каждом предупреждении. Вы должны автоматизировать локализацию с помощью проверенных сценариев действий и сохранять криминалистические доказательства для быстрого расследования. Интегрируя телеметрию сети, конечных точек, идентификации и обмана в единую структуру обнаружения и используя такое решение, как Fidelis Elevate, вы сможете раньше обнаруживать и пресекать злоупотребления со стороны внутренних пользователей, быстрее реагировать и защищать непрерывность бизнеса. Примите меры прямо сейчас: внедрите вышеуказанные меры контроля и убедитесь, что вы можете обнаружить внутренних пользователей, прежде чем они нанесут значительный ущерб.

Источник: Why Is Detecting Insider Threats So Hard—And How Can You Stay Ahead?