Вы можете защитить себя от кражи личности, если позаботитесь о сохранности своего номера социального страхования и других конфиденциальных документов, будете регулярно проверять свои кредитные отчеты, пользоваться...
Внутрисистемная угроза — это киберугроза, которая возникает в организации. Внутрисистемные угрозы возникают, когда действующие или бывшие сотрудники, партнеры, подрядчики или поставщики компрометируют конфиденциальные данные и системы или крадут данные для собственных злонамеренных целей. Внутрисистемные угрозы могут быть преднамеренными или непреднамеренными, в зависимости от цели инсайдера и того, работает ли он с кем-то еще.
Читайте дальше, чтобы узнать больше о внутрисистемных угрозах и о том, что могут сделать организации для снижения рисков их возникновения.
Типы внутрисистемных угроз
Инсайдеры делятся на три общие категории.
Инсайдеры со злоумышленными намерениями
Инсайдеры со злоумышленными намерениями — это лица, которые имеют доступ ко внутренней информации в организации, например сотрудники или подрядчики, и используют эту информацию для компрометации конфиденциальных данных. Их цель — саботировать работу организации, украсть информацию или деньги ради собственной выгоды. Например, сотрудник может продать конкуренту конфиденциальную информацию организации просто ради финансовой выгоды.
Инсайдеры со злоумышленными намерениями относятся к одной из двух категорий: пособники или волки-одиночки. Пособник — это инсайдер со злоумышленными намерениями, который сотрудничает с третьей стороной, например с конкурентом, чтобы нанести ущерб организации путем утечки конфиденциальной информации или нарушения работы предприятия.
Волк-одиночка — это злоумышленный инсайдер, который работает независимо. У волков-одиночек чаще всего есть личные причины, по которым они хотят атаковать свою организацию, например, обида на компанию и желание нарушить ее работу.
Небрежные инсайдеры
Небрежные инсайдеры — это лица в организации, которые небрежно относятся к методам обеспечения безопасности. Из-за этого они могут совершить простую оплошность или принять неверное решение, что приведет к утечке данных. Например, сотрудник может стать жертвой фишингового мошенничества и нажать вредоносную ссылку, которая скомпрометирует сеть и системы всей организации.
Посторонние лица с доступом к внутренним системам
Еще одним видом распространенных внутрисистемных угроз являются посторонние лица, которые получили доступ к системам и данным организации. Их еще называют «кротами». «Кроты» выдают себя за сотрудников или поставщиков, чтобы получить доступ к системам, к которым иначе его не получить, и чтобы их было нелегко поймать. «Кротам» часто удается получить доступ к этим внутренним системам с помощью компрометации учетной записи сотрудника или возможности физического доступа к зданию организации.
Всегда ли внутрисистемные угрозы преднамеренны?
Нет, внутрисистемные угрозы не всегда преднамеренны. Хотя есть инсайдеры, которые намерены нанести ущерб организации, в которой работают, бывают и инсайдеры, которые просто небрежны. Из-за небрежности они совершают ошибки, которые наносят ущерб организации.
Например, сотрудник может войти на поддельный сайт, не зная этого. Таким образом они предоставляют злоумышленнику законные учетные данные для доступа к законной учетной Затем злоумышленник может использовать эту информацию для компрометации учетной записи сотрудника. Хотя сотрудник мог поддаться на эту уловку, он не делал этого намеренно.
Почему опасны внутрисистемные угрозы
Вот несколько причин, по которым внутрисистемные угрозы опасны для организаций.
Могут привести к утечке данных
Утечка данных — это случайное раскрытие конфиденциальных данных, которое упрощает для злоумышленников сбор и использование информации в злонамеренных целях. Утечка данных чрезвычайно опасна для организаций, поскольку ее могут даже не заметить в течение нескольких дней или даже месяцев. Утечки данных подвергают риску все конфиденциальные данные организации, включая личные идентифицируемые данные клиентов (PII).
Могут привести к взлому данных
A data breach is when a cybercriminal or insider steals sensitive data without the knowledge or authorization of the individual or organization who owns the data. Similar to a data leak, organizations may not notice a data breach until after multiple days or months have passed. This provides enough time for cybercriminals to use the breached data for malicious purposes.
Финансовые потери
Согласно отчету Soft Activity за последние 2 года количество внутрисистемных инцидентов увеличилось на 47%, а средняя стоимость инцидента составила 15,38 млн долларов. В зависимости от последствий внутрисистемной угрозы финансовые потери, с которыми сталкивается организация, могут быть разными.
Репутационный ущерб
Успешная внутрисистемная угроза приводит к тому, что многие организации теряют доверие, что затрудняет привлечение клиентов и партнеров. Это ведет к потере дохода или даже к полному закрытию организации.
Юридические последствия
Внутрисистемные угрозы также могут иметь юридические последствия для организаций, особенно если у них не установлены процедуры защиты своих самых ценных активов, таких как данные клиентов. Юридические последствия сопряжены с большими затратами, в результате чего организация может потерять значительную сумму денег.
Как обнаружить внутрисистемные угрозы?
Существует две основные категории обнаружения внутрисистемных угроз: цифровая и поведенческая. Цифровые индикаторы — это те, которые вы можете заметить на компьютерах или других устройствах. Поведенческие индикаторы — это те, которые вы замечаете по реальным действиям человека.
Цифровые индикаторы
Вот несколько цифровых индикаторов, на которые следует обратить внимание:
- Необычные попытки входа в систему
- Загрузка большого объема данных
- Использование неразрешенного программного обеспечения и инструментов
- Переименование файлов в названия, не соответствующие содержанию
- Просмотр контента, который не связан с выполняемой ролью
Поведенческие индикаторы
Вот несколько поведенческих индикаторов, на которые следует обратить внимание:
- Запрос на доступ к конфиденциальной информации, которая не нужна для выполнения роли
- Изменения в привычках работы или производительности
- Частые инциденты безопасности
- Недовольное поведение
- Отказ следовать политикам безопасности компании
Поведенческие индикаторы не должны быть единственными индикаторами внутрисистемных угроз, и подлежат изучению, прежде чем делать выводы.
Как снизить риски внутрисистемных угроз?
Методы, с помощью которых организации могут снизить риски внутрисистемных угроз.
Управление привилегированным доступом (PAM)
Управление привилегированным доступом относится к тому, как организации управляют доступом к конфиденциальным данным, системам и учетным записям и защищают его. Сюда относятся системы расчета заработной платы и учетные записи для ИТ-администрирования. Решения PAM помогают организациям организовать централизованный доступ к привилегированным системам и учетным записям, облегчая для ИТ-специалистов отслеживание и контроль того, кто имеет к ним доступ. Это также затрудняет доступ к ним злоумышленникам или злоумышленным инсайдерам.
К числу других способов, которыми решение PAM может помочь организациям снизить риски внутрисистемных угроз, относятся следующие:
- Внедрение принципа наименьших привилегий (PoLP). Принцип наименьших привилегий — это концепция кибербезопасности, в которой пользователям предоставляется доступ только к той информации и системам, которые необходимы для выполнения работы, и ни к чему другому. Это означает, что пользователям предоставляется только тот доступ, который им нужен. Ограничение привилегированного доступа помогает организациям свести к минимуму риск внутрисистемных угроз из-за злонамеренной активности, халатности или ошибок сотрудников, которые в противном случае могли бы привести к утечке или краже привилегированных данных.
- Управление привилегированными учетными данными и их защита. Основное преимущество решений PAM заключается в том, что они позволяют организациям надежно хранить привилегированные учетные данные в безопасном хранилище. Многие решения PAM также могут обеспечивать ротацию паролей с заданной частотой и использоваться для внедрения многофакторной аутентификации (MFA) в учетных записях в качестве дополнительного уровня безопасности. Управление привилегированными учетными данными и их защита не позволяют инсайдерам получить доступ к конфиденциальным данным, которые они могут использовать в злонамеренных целях.
- Мониторинг и аудит привилегированного доступа. Решения PAM предоставляют организациям возможность постоянно отслеживать привилегированные учетные записи и системы. Это помогает организациям выявлять подозрительную активность. Это также предоставляет им полную видимость того, какие лица имеют доступ к привилегированным учетным записям, какие действия с ними предпринимают и когда получают к ним доступ.
- Восстановление от внутрисистемных угроз. Восстановиться от внутрисистемной угрозы сложно, если у вас нет инструментов, помогающих расследовать атаку. После обнаружения внутрисистемной угрозы решение PAM предоставляет организациям подробные журналы аудита, которые могут быть использованы для расследования инцидента и определения основной причины атаки.
Осведомленность и обучение сотрудников
Сотрудники должны знать о лучших методах кибербезопасности и следовать им. Их также следует обучать тому, как выявлять распространенные случаи мошенничества, такие как фишинг и компрометация корпоративной электронной почты (BEC), чтобы не стать их жертвой. Информирование сотрудников о внутрисистемных угрозах поможет им лучше понять, на что следует обратить внимание. Сообщите им, что заподозрив коллегу в том, что он инсайдер, они должны сразу же сообщить об этом ИТ-специалистам.
Вы также можете предоставить сотрудникам ресурсы, с помощью которых они могут следить за последними новостями в области кибербезопасности.
Защитите организацию от внутрисистемных угроз
Внутрисистемные угрозы по-прежнему являются киберугрозой, с которой сталкиваются многие организации. Без надлежащих инструментов и знаний организациям будет сложно обнаружить и смягчить эти угрозы. Привилегированные учетные записи, системы и данные должны защищаться в первую очередь, поскольку они представляют собой главное достояние организации.
Хотя полностью предотвратить появление внутрисистемных угроз невозможно, решение для управления привилегированным доступом может быть важным средством предотвращения. Keeper Security имеет собственное решение PAM под названием KeeperPAM™, которое объединяет менеджер паролей Keeper Enterprise Password Manager (EPM), Keeper Secrets Manager (KSM) и Keeper Connection Manager (KCM) на одной простой в использовании платформе.
Чтобы узнать больше о KeeperPAM и о том, как он может помочь вашей организации снизить риски внутрисистемных угроз, закажите демоверсию уже сегодня.