Jak zapobiegać zagrożeniom wewnętrznym

Według przygotowanego przez firmę Verizon raportu o dochodzeniach w sprawie naruszeń danych z 2023 r., 19% zagrożeń dla organizacji to zagrożenia wewnętrzne. Brak niezbędnych działań w organizacji na rzecz zapobiegania niewłaściwemu wykorzystaniu danych uwierzytelniających i błędom ludzkim zwiększa ryzyko wystąpienia zagrożenia wewnętrznego. Do sposobów zapobiegania zagrożeniom wewnętrznym w organizacjach należy stosowanie modelowania zagrożeń, wdrożenie zasady dostępu z najniższym poziomem uprawnień, stosowanie ścisłej kontroli dostępu i usuwanie kont po odejściu pracowników z organizacji.

Czytaj dalej, aby poznać wskazówki dotyczące zapobiegania zagrożeniom wewnętrznym i dowiedzieć się, jak rozwiązanie do zarządzania dostępem uprzywilejowanym pomaga ograniczyć ryzyko wystąpienia tego typu zagrożeń.

Co to jest zagrożenie wewnętrzne?

Zagrożenie wewnętrzne ma miejsce, gdy pracownik wykorzystuje swoje uprawnienia, aby wyrządzić celową lub nieumyślną szkodę organizacji. Atak wewnętrzny nie zawsze jest wynikiem złośliwych zamiarów. Najlepszym sposobem na poznanie zagrożeń wewnętrznych jest rozróżnienie rodzajów pracowników wewnętrznych.

• Złośliwi pracownicy wewnętrzni to pracownicy, którzy wykorzystują swoje uprawnienia i znajomość organizacji, aby wyrządzić celową szkodę. Przykładem może być celowe ujawnianie przez pracownika poufnych informacji, do których ma dostęp.
• Niedbali pracownicy wewnętrzni to pracownicy, którzy wyrządzają nieumyślną szkodę organizacji. Tego typu pracownicy mogą popełnić błąd lub źle ocenić sytuację, doprowadzając do ujawnienia poufnych informacji.
• Osoby z zewnątrz z dostępem to cyberprzestępcy, którzy dostali się do sieci lub budynku organizacji i wykorzystują dostęp dla własnych korzyści, aby wyrządzić szkodę organizacji. Tego typu osoby są zwykle określane jako krety.

Jak dochodzi do zagrożeń wewnętrznych

Do najczęstszych przyczyn zagrożeń wewnętrznych należą ataki socjotechniczne, niewłaściwe zarządzanie danymi uwierzytelniającymi i przyznawanie pracownikom nadmiernych uprawnień w organizacji.

Ataki socjotechniczne

Ataki socjotechniczne mają miejsce, gdy cyberprzestępcy wykorzystują manipulację psychologiczną, aby przekonać ofiary do ujawnienia poufnych informacji lub podjęcia działań, które wyrządzają szkodę organizacji. Przykładem może być pracownik otrzymujący wyłudzającą informacje wiadomość e-mail ze złośliwym linkiem, klikający go, a następnie wprowadzający dane uwierzytelniające logowania. Po wprowadzeniu przez pracownika danych uwierzytelniających logowania na wyłudzającej informacje stronie internetowej cyberprzestępca może je wykorzystać do zalogowania się na konto pracownika.

Niewłaściwe zarządzanie danymi uwierzytelniającymi

Niewłaściwe zarządzanie danymi uwierzytelniającymi w organizacji ma miejsce, gdy pracownicy przechowują i udostępniają dane uwierzytelniające logowania członkom zespołu w nieodpowiedni sposób. Do przykładów niewłaściwego przechowywania i udostępniania danych uwierzytelniających należy zapisywanie ich w udostępnionych arkuszach kalkulacyjnych i wysyłanie danych uwierzytelniających logowania za pośrednictwem służbowych aplikacji do przesyłania wiadomości, takich jak Slack i Teams. Niezabezpieczone przechowywanie i udostępnianie danych uwierzytelniających naraża organizacje na ryzyko ataków wewnętrznych, ponieważ nie można określić, którzy pracownicy uzyskują dostęp do określonych kont i kiedy to robią.

Przyznawanie pracownikom nadmiernych uprawnień

Pracownik organizacji powinien mieć dostęp wyłącznie do danych, kont i systemów niezbędnych do wykonywania przydzielonych obowiązków. Przyznanie pracownikom uprawnień na poziomie wyższym niż to konieczne zwiększa powierzchnię ataku organizacji i prawdopodobieństwo ataku wewnętrznego w wyniku niewłaściwego wykorzystania, zaniedbania lub złośliwej aktywności.

Sześć wskazówek dotyczących zapobiegania zagrożeniom wewnętrznym

Oto sześć wskazówek dotyczących zapobiegania zagrożeniom wewnętrznym, które mogą pomóc w ochronie organizacji przed zagrożeniami wewnętrznymi.

1. Korzystaj z modelowania zagrożeń, aby poznać stan zabezpieczeń organizacji

Modelowanie zagrożeń pomaga organizacjom identyfikować zagrożenia i ryzyko, co umożliwia lepszą ochronę. Dostępnych jest kilka typów modelowania zagrożeń w zależności od potrzeb i celów organizacji. Przed wyborem struktury modelowania zagrożeń organizacje muszą wziąć pod uwagę następujące elementy:

• Zagrożenia i ryzyko, przed którymi stają podobne firmy w branży
• Wielkość organizacji
• Dostępne zasoby (w tym środki finansowe)

Po wybraniu struktury modelowania zagrożeń organizacja może rozpocząć identyfikowanie zagrożeń, przed którymi należy się zabezpieczyć w pierwszej kolejności i wdrożyć działania w celu ograniczenia tych zagrożeń.

2. Wdrażaj zasadę minimalnych uprawnień i przestrzegaj jej

Zasada niezbędnych minimalnych uprawnień (PoLP) to koncepcja cyberbezpieczeństwa, zgodnie z którą pracownicy powinni mieć dostęp do sieci wyłącznie na poziomie niezbędnym do wykonywania przydzielonych zadań. Najlepszym sposobem na wdrożenie zasady PoLP jest wykorzystanie rozwiązania do zarządzania dostępem uprzywilejowanym (PAM). Rozwiązania PAM zapewniają organizacjom pełny wgląd, bezpieczeństwo, kontrolę i raportowanie dotyczące wszystkich uprzywilejowanych użytkowników w organizacji, ograniczając ryzyko ataków wewnętrznych.

3. Zapewnij silne uwierzytelnianie dla każdego konta i systemu

Każde konto i system w organizacji należy zabezpieczyć silnymi hasłami i uwierzytelnianiem wieloskładnikowym (MFA). Wymuszenie MFA może okazać się kluczem do zapewnienia bezpieczeństwa systemów i kont, nawet jeśli atakujący z zewnątrz lub wewnątrz zna nazwę użytkownika i hasło. Zgodnie z przygotowanym przez firmę Microsoft raportem zastosowanie MFA blokuje ponad 99,9% ataków mających na celu naruszenie konta, co sprawia, że jest to jeden z najważniejszych środków zabezpieczających.

4. Usuń lub zaktualizuj konta po odejściu pracowników z organizacji

Wdrożenie odpowiedniego procesu usuwania pracowników z organizacji może zapewnić ochronę przed niezadowolonymi byłymi pracownikami. Jednym z najważniejszych aspektów tego procesu jest uniemożliwienie byłemu pracownikowi dostępu do danych firmy. Po opuszczeniu firmy przez pracownika należy natychmiast zaktualizować dane uwierzytelniające konta lub całkowicie je usunąć, aby uniemożliwić byłemu pracownikowi dostęp do poufnych informacji oraz własności intelektualnej firmy. Nie należy pozostawiać kont byłych pracowników bez podejmowania odpowiednich działań.

5. Badaj nietypową aktywność

Organizacja powinna mieć pełny wgląd w każdego rodzaju nietypową aktywność w sieci. Rozwiązanie PAM umożliwia organizacjom monitorowanie i rejestrowanie dostępu do kont uprzywilejowanych, systemów i danych. Bez możliwości monitorowania nietypowej aktywności organizacje mogą nie wykryć niewłaściwego wykorzystania lub wycieku poufnych informacji aż do momentu, gdy będzie za późno.

6. Prowadź szkolenia pracowników w zakresie rozpoznawania ataków socjotechnicznych

W przypadku braku umiejętności rozpoznawania ataków socjotechnicznych, takich jak wyłudzanie informacji, pracownicy mogą stanowić najsłabsze ogniwo zabezpieczeń organizacji. Wprowadź w organizacji comiesięczną sesję szkoleniową z zakresu oszustw socjotechnicznych oraz sposobów ich rozpoznawania. Jedną z metod szkoleniowych, które można zastosować w organizacji, są testy obejmujące symulowane wyłudzanie informacji, w ramach których pracownicy otrzymują symulowane wiadomości e-mail wyłudzające informacje. Jeśli pracownik nie przejdzie symulowanego testu wyłudzania informacji, przeprowadź szkolenie umożliwiające samodzielne rozpoznawanie takich ataków.

Jak zarządzanie dostępem uprzywilejowanym pomaga zapobiegać zagrożeniom wewnętrznym

Rozwiązania do zarządzania dostępem uprzywilejowanym, takie jak KeeperPAM™, mogą ułatwić ograniczanie zagrożeń wewnętrznych w organizacjach, umożliwiając pełny wgląd, bezpieczeństwo, kontrolę i raportowanie dotyczące każdego uprzywilejowanego użytkownika. Rozwiązanie KeeperPAM łączy trzy produkty, Enterprise Password Management (EPM), Keeper Secrets Management (KSM) i Keeper Connection Management (KCM) w jedną platformę wykorzystującą architekturę zero-trust i zero-knowledge, aby pomóc organizacjom w ograniczeniu powierzchni ataku oraz ryzyka związanego z zagrożeniami wewnętrznymi.

Chcesz chronić organizację przed cyberzagrożeniami? Już dziś poproś o demo rozwiązania KeeperPAM.