Защита от инсайдерских угроз

Когда вы видите или слышите в СМИ термин «утечка данных», то первым делом думаете о том, что к этому причастен хакер? Возможно, вас удивит тот факт, что хакеры на самом деле не являются основной причиной потери данных и утечки информации в организациях. Большинство из них можно отнести к инсайдерским угрозам, в основном со стороны сотрудников, которые просто пытаются выполнять свою работу и совершают ошибку по невнимательности, например, отправляют электронное письмо не тому человеку. Что же делает инсайдерские угрозы опасными? Каковы типы внутренних угроз, как они происходят и как классификация данных может укрепить вашу экосистему безопасности, чтобы помочь предотвратить эти виды угроз?

Опасности инсайдерской угрозы

Для того чтобы понять и, в конечном итоге, смягчить инсайдерские угрозы, давайте сначала посмотрим, что делает их столь опасными для организаций. Хотя инсайдерские угрозы опасны по многим причинам, в статье Techradar названы четыре основные причины, по которым организации должны серьезно относиться к инсайдерским угрозам:

• Их трудно идентифицировать
  Поскольку внутренние угрозы уже имеют доступ к сети с авторизованными учетными данными, их доступ не фиксируется традиционной системой мониторинга. Они также часто имеют доступ к конфиденциальным данным и осведомлены о существующих мерах безопасности и способах их обхода. Если объединить все это с отсутствием видимости доступа пользователей и активности данных, то выявление субъектов угроз становится невероятно сложной задачей.
• Они дорогостоящие
  Как и в случае с традиционными агентами угроз, чем дольше они остаются незамеченными и свободно бродят по сети, тем больший ущерб они могут нанести. Даже при использовании базовой обработки часто активность угрожающих агентов может попасть в базовую линию, что значительно усложняет выявление их несанкционированного поведения. Тот факт, что они не поднимают тревогу, означает, что речь идет о серьезном потенциальном ущербе. Глобальный отчет Ponemon Cost of Insider Threats Global Report за 2022 год показал, что общая средняя стоимость мероприятий по устранению внутренних угроз за 12-месячный период составляет 15,38 млн долларов.
• Они рискуют соблюдением нормативных требований
  Следует также учитывать вопросы защиты данных и соответствия нормативным требованиям, поскольку инсайдерская угроза часто ставит своей целью утечку данных. В 2018 году компания Coca Cola подверглась атаке инсайдерской угрозы, в результате которой произошла утечка личной информации около 8000 ее сотрудников. Мало того, время пребывания инцидента было увеличено. Они не понимали, что это произошло, пока правоохранительные органы не сообщили им об утечке данных.
• Они вызывают операционную катастрофу
  Как видно на примере компании Tesla, внутренняя угроза может саботировать работу и поставить под угрозу конкурентное преимущество организации. В данном случае недовольный сотрудник, потерявший повышение, внес «прямые изменения в код операционной системы Tesla Manufacturing под вымышленными именами и экспортировал большое количество очень важных данных неизвестным лицам», говорится в письме, адресованном сотрудникам.
  Виды инсайдерских угроз и способы их возникновения

Существует множество типов внутренних угроз, и они могут возникать по разным причинам — от честных ошибок до недовольства сотрудников или личной финансовой выгоды. IBM приводит четыре категории, по которым Gartner группирует внутренние угрозы:

• Пешка
  Пешки – это сотрудники, которые, сами того не подозревая, подвергаются манипуляциям с целью совершения вредоносных действий. Загружая вредоносное ПО или раскрывая учетные данные мошенникам посредством фишинга или социальной инженерии, пешки наносят вред организации.
• Гуф
  Гуфы – это невежественные или самонадеянные пользователи, которые считают, что на них не распространяются правила безопасности. Из удобства или некомпетентности они активно пытаются обойти средства контроля безопасности. Вопреки политике безопасности «гуфы» оставляют уязвимые данные и ресурсы незащищенными, предоставляя злоумышленникам легкий доступ. Глобальный отчет Ponemon Institute «Стоимость инсайдерских угроз в 2022 году» показал, что 56% инцидентов, связанных с инсайдерами, были связаны с халатностью и стоили в среднем $484 931 за инцидент.
• Коллаборационист
  Коллаборационисты сотрудничают с посторонними лицами, такими как конкуренты компании или национальные государства, для совершения преступления. Они используют свой доступ, чтобы украсть интеллектуальную собственность и информацию о клиентах или нарушить работу предприятия, часто ради финансовой или личной выгоды.
• Одинокий волк
  Также одинокие волки, часто ради финансовой выгоды, действуют независимо и злонамеренно без внешнего влияния или манипуляций. Одинокие волки особенно опасны, когда они имеют повышенный уровень привилегий, например, системные администраторы или администраторы баз данных.
  Как классификация данных может смягчить внутренние угрозы

Теперь, когда мы знаем, почему внутренние угрозы опасны и как они возникают, что можно сделать для их смягчения и защиты ценных данных вашей организации? Использование решения для классификации данных в вашей организации напрямую устраняет общие причины внутренних угроз путем:

• Предотвращение утечки конфиденциальных данных из организации
  Одним из самых простых способов нарушения конфиденциальности данных является случайная отправка сотрудником электронного письма, содержащего конфиденциальную информацию, не тому получателю. Например, у пользователя может быть документ, который он собирался отправить по внутреннему адресу johndoe@companyA.com, но в спешке случайно выбрал johndoe@companyB.com из списка контактов. Эта простая ошибка приводит к раскрытию конфиденциальных данных неправильному получателю. Решения для классификации данных присваивают категории данным (автоматически или вручную) в соответствии с конфиденциальностью, а политики классификации могут быть разработаны таким образом, чтобы предотвратить утечку конфиденциальной информации из организации или даже отдела. Если документ в приведенном выше примере был классифицирован как «Конфиденциальный», а политика компании определяла, что «Конфиденциальная» информация не должна пересылаться за пределы компании, то при попытке пользователя отправить письмо не тому получателю, появится простое диалоговое окно классификации, которое сообщит пользователю, что он не может отправить «Конфиденциальный» документ этому получателю, и предложит ему либо удалить документ, либо выбрать другой контакт. Это не только предотвращает утечку конфиденциальных данных, но и вовлекает пользователей в процесс обеспечения безопасности данных, которые они создают и обрабатывают.
• Ограничение доступа только тем, кому он необходим
  В условиях, когда гибридная работа достигла своего апогея, многие сотрудники получили полный доступ ко всем данным, которые могут понадобиться им для эффективного выполнения работы из дома. Проблема заключается в том, что чем больше сотрудников имеют доступ к конфиденциальным данным, тем выше вероятность их утечки. Исследование 2021 года, проведенное IBM, показало, что «в 100% инцидентов, в которых было подтверждено или вероятно наличие у инсайдера административного доступа, наличие такого повышенного доступа (к большему количеству данных, чем положено) сыграло роль в самом инциденте». Данные, которые эффективно классифицированы, позволяют легко определить чувствительные категории данных, доступ к которым должен предоставляться только тем, кому он абсолютно необходим. Это ограничивает количество людей, имеющих доступ к конфиденциальным данным, тем самым помогая смягчить внутренние угрозы.
• Повышение видимости данных
  Вы не можете защитить данные, о которых вы не знаете! Видимость данных становится все более сложной задачей для организаций, и в недавнем отчете Fortra «Перспективы CISO: обзор безопасности данных 2022» 63% директоров по информационной безопасности заявили, что видимость данных — это самая большая проблема, с которой сегодня сталкиваются организации. Решения по идентификации и классификации данных позволяют организации установить, где находятся все конфиденциальные данные, и классифицировать эти данные на основе заранее определенных уровней конфиденциальности. После того как данные идентифицированы и классифицированы, при необходимости могут быть предприняты соответствующие действия, включая удаление данных, если они не нужны, их маркировку и определение того, кто имеет к ним доступ.
• Мониторинг и отчетность о доступе к данным
  Внутренние угрозы бывает сложно обнаружить, поскольку их действия в сети могут оставаться незамеченными в течение достаточно долгого времени. Функции мониторинга и отчетности дают вам представление о том, кто и к каким данным обращается, и что делается с этими данными (например, загрузка их в стороннюю систему). Журналы мониторинга и отчетности позволяют быстро обнаруживать внутреннюю угрозу и принимать меры как можно скорее.

Недавняя стремительная цифровая трансформация непреднамеренно подготовила почву для роста инсайдерских угроз, говорится в Глобальном отчете о стоимости инсайдерских угроз за 2022 год, подготовленном Ponemon Institute. Теперь гораздо проще принять надлежащие меры предосторожности для защиты своих данных, и, укрепив свою экосистему безопасности с помощью лучшего в своем классе решения для классификации данных, ваша организация сможет опередить и смягчить внутренние угрозы.

Источник: https://bit.ly/3up2Mnj