تهدید عواملی داخلی یک خطر امنیتی است که از سازمان مورد نظر نشات می‌گیرد. این بدین معنا نیست که فرد باید کارمند فعلی یا مسئول در سازمان باشد. آن‌ها می‌توانند یک مشاور، کارمند سابق، همکار تجاری یا عضو هیئت مدیره باشند.

34 درصد تخلف داده در گزارش تحقیقاتی تخلف داده شرکت خدمات امنیتی varinos در سال 2019 شامل متخلفان داخلی بوده است. همچنین بر اساس گزارش خطر داده  شرکت خدمات امنیتی Varonis در سال 2019، 17 درصد تمام فایل‌های حساس در دسترس تمام کارکنان قرارداشته است.

این آمار به ما چه می‌گوید؟ عوامل داخلی توانایی، انگیزه و امتیاز مورد نیاز برای دزدیدن اطلاعات مهم را دارند – که این وظیفه CISO است که دفاعی در مقابل تمام حمله‌ها مشخص کند و بسازد.

هرکس که آگاهی یک عامل داخلی را داشته باشد و یا به داده‌های حساس سازمان، IT یا منابع شبکه دسترسی داشته باشد یک تهدید داخلی بالقوه است. در ادامه دراره مباحث زیر به تفصیل بحث خواهیم کرد.

  • مشخص‌کننده تهدید داخلی
  • مثال‌هایی از تهدید داخلی
  • چطور از آن‌ها جلوگیری کنیم
  • سوالات متداول در مورد تهدید داخلی

انواع تهدیدات داخلی

به منظور محافظت از سازمان خود در مقابل تهدیدات داخلی، باید بدانید که عوامل داخلی چه خصوصیاتی دارند. دو نوع اصلی از عوامل داخلی خائن‌ها و گروگان‌ها هستند که به ترتیب همان عامل داخلی بدجنس و شرکت کننده بی‌میل خواهند بود.

  • خائنین

خائن یک عامل داخلی است که کینه توزانه داده‌ها را می‌دزدد. در بیشتر موارد این فرد یک کارمند یا پیمانکار است- کسی که باید در شبکه باشد و اختیار قانونی دارد ولی از دسترسی خود برای سودجویی سو استفاده می‌کند. ما انواع مختلفی از محرک‌هایی که این رفتار را هدایت می کند دیده‌ایم: بعضی افراد بدذات اسرار شرکت را به دولت خارجی لو می‌دهند و دیگران به سادگی تعدادی از اسناد را به یک رقیب در ازای استعفا می‌دهند.

Gregory Chung یک مهندس در بوینگ یک خائن بدنام است. آقای چانگ محکوم به استفاده از از عدم سوء پیشینه خود در بوئینگ برای لو دادن رازهای تجاری به چین در ازای ثروت ناچیزی شد.

  • گروگانان

گروگان یک کارمند معمولی است. کسی که کار درست را انجام می‌دهد و اشتباهی مرتکب می شود و عوامل داخلی متوجه آن می‌شوند یا حتی ممکن است منجر به از دست رفتن اطلاعات یا تعهدات شود. این اتفاق ممکن است گم شدن یک لپتاپ یا ایمیل کردن یک سند حساس از روی اشتباه به فردی دیگر باشد. در هر حال یک گروگان عضو ناخواسته‌ای در یک اتفاق امنیتی است.

 

چطور یک عامل تهدید داخلی را شناسایی کنیم؟

رفتارهای معمول و رایجی در عوامل داخلی وجود دارد که ممکن است دیجیتالی باشد یا توسط خود شخص رخ دهد. این علائم برای CISOها، معماران امنیتی و تیم آن‌ها مهم هستند تا عوامل تهدید داخلی بالقوه را کنترل، شناسایی و متوقف کنند.

علائم معمول در یک عامل تهدید داخلی

علائم دیجیتالی و رفتاری معمول در یک عامل تهدید داخلی در زیر آمده است.

نشانه‌های اخطارهای دیجیتال

  • دانلود کردن یا دسترسی به حجم قابل توجهی از داده
  • دسترسی به داده‌هایی که خارج از رفتارهای خاص فرد باشد
  • درخواست‌های متعدد برای دسترسی به منابعی که به کار فرد مربوط نمی‌شود.
  • استفاده از ابزار ذخیره سازی غیر مجاز (‌مثل USB یا فلاپی)
  • جستجوی شبکه برای داده‌های حساس
  • ذخیره داده و کپی کردن فایل‌ها از پوشه‌های حساس
  • ایمیل کردن داده‌های حساس برای خارج از سازمان

نشانه‌های اخطار رفتاری

  • تلاش برای حذف امینت
  • حضور در دفتر در خارج از ساعات اداری
  • نشان دادن رفتار ناراضی به همکاران
  • خشونت در سیاست‌های همکاری
  • بحث در مورد استعفا یا فرصت‌های شغلی جدید

در حالی که اخطارهای رفتارهای انسانی ممکن است نشانه بر مسائل بالقوه باشد، قانون دیجیتال و تحلیل‌ها مؤثرترین روش‌ها برای شناسایی عوامل داخلی هستند. تحلیل رفتاری کاربر (UBA) و تحلیل امنیتی برای شناسایی عامل تهدید داخلی بالقوه به کمک ما می‌شتابد، مسائل را بررسی می کند و در صورتی که کاربری رفتار مشکوکی داشت یا رفتاری خارج از رفتار عادی بروز داد هشدار می‌دهد.

 

مثال هایی از عوامل تهدید داخلی

در این جا چند مثال از عوامل داخلی در اخبار آورده شده است.

تسلا : یک عامل داخلی سیستم را تخریب کرد و داده‌های متعلق به سازمان را برای دیگری فرستاد.

فیس بوک : یک مهندس امنیت از دسترسی خود سواستفاده کرد.

کوکاکولا: یک عامل داخلی بدذات حافظه اطلاعاتی پر از داده‌های شخصی را دزدید.

بانک سانتراست : یک عامل داخلی داده‌های شخصی یک و نیم میلیون مشتری را دزدید تا به یک سازمان خیانت‌کار بدهد.

 

مبارزه با تهدید عوامل داخلی

تخلف داده‌ای به اندازه 10 میلیون مدرک برای یک سازمان حدود 3 میلیون دلار خرج برداشت – و همانطور که ضرب المثل می‌گوید : پیشگیری بهتر از درمان است.

از آنجا که عامل داخلی در داخل سازمان است، نمی‌توان به پارامترهای قدیمی برای اندازه گیری امنیت اطمینان کرد تا از شرکت محافظت شود. به علاوه، با توجه به اینکه یک عامل داخلی است- چه کسی در اصل مسئول رسیدگی به این موقعیت است، آیا IT یا HR است؟ آیا یک مسئله قضایی است؟ یا هر سه مورد به همراه تیم CISO هستند؟ خلق کردن و همگانی کردن یک سیاست برای مقابله با عوامل داخلی بالقوه باید از مراتب بالای سازمان نشات بگیرد.

کلید مساله عوامل داخلی داشتن مسیر صحیح و راه‌حل صحیح در موقعیت است تا عامل داخلی شناسایی شود و از سازمان در برابر او محافظت گردد.

 

دفاع در برابر عوامل داخلی و برنامه پاسخگویی

۱. کنترل فایل‌ها، ایمیل‌ها و فعالیت‌ها روی منبع داده خودتان

۲. تشخیص و کشف موقعیت فایل‌های حساس خود

۳. مشخص کردن اینکه چه کسی به آن داده‌ها دسترسی دارد و چه کسی باید به آن داده‌ها دسترسی داشته باشد.

  1. پیاده سازی حداقل یک مدل ویژه روی زیرساخت‌های خود

۱. حذف گروه دسترسی کلی

۲. دارندگان داده باید مسئول مدیریت مجوزها برای داده های خود باشند و دسترسی‌های موقت به سرعت منقضی شود.

۵. تحلیل‌های امنیتی اعمال گردد تا رفتارهای غیرطبیعی را تشخیص دهند شامل :

1.تلاش برای دستیابی به اطلاعات حساسی که بخشی از کار عادی محسوب نمی‌شود.

۲. تلاش برای دست یافتن به مجوز دسترسی به داده‌های حساس در فرآیندی غیرعادی

  1. فعالیت افزایش یافته در فایل‌های حساس
  2. تلاش برای تغییر گزارش‌های سیستم یا پاک کردن حجم زیادی از داده‌ها
  3. حجم زیادی از اطلاعات به خارج از شرکت ایمیل شود و خارج از محدوده عملکرد آن شغل باشد.
  4. اجتماعی کردن و آموزش دادن به کارمندان برای داشتن طرز فکر امنیت اطلاعاتی

 

به همان اندازه مهم است که برنامه پاسخی در زمان که باید به تخلف داده بالقوه پاسخ داده شود وجود داشته باشد :

  1. تشخیص خطر و وارد عمل شدن
  2. غیر فعال کردن یا خارج کردن کاربر در صورتی که فعالیت یا رفتار مشکوکی دیده شود.

3. مشخص کنید که کدام کاربران و فایل ها تحت تاثیر قرار گرفته اند.

۲. دقت و جدیت خطر را تعیین کنید و به تیم‌های مورد نظر هشدار دهید ( HR, IT, CISO).

  1. اصلاح
  2. بازگردانی داده‌های حذف شده در صورت لزوم

۲. حذف همه دسترسی‌های اضافی که توسط عامل داخلی استفاده شده است.

  1. جستجو و حذف هر گونه نرم افزار مخرب که در طول حمله استفاده شده است.
  2. فعال سازی مجدد سیستم‌های امنیتی
  3. بررسی و اجرای پیگیری‌های قانونی در حوادث امینیت
  4. هشدار تایید و مراکز تنظیم کردن در صورت لزوم

راز دفاع در مقابل عوامل تهدید داحلی کنترل داده‌های خود، جمع آوری اطلاعات و اعمال هشدار در رفتارهای غیرعادی است.

 

سوالات متداول در مورد عوامل داخلی

در قسمت زیر سوالات متداول در مورد عوامل تهدید داخلی را بررسی کنید.

سوال : نشانه‌های عامل داخلی چیست ؟

جواب : نشانه‌های عامل تهدید داخلی سرنخی است که می‌تواند برای متوقف کردن حمله یک تهدید داخلی به شما کمک کند قبل از اینکه به تخلف داده منجر شود. رفتار انسان نشانگر‌های اولیه در عوامل تهدید داخلی بالقوه محسوب می‌شود. به تیم خود آموزش دهید تا رفتارهای غیر عادی مختلف را تشخیص دهد و از شرکت‌های امنیتی برای تشخیص فعالیتی که یک عامل تهدید داخلی بالقوه را مشخص می کند کمک بگیرید. مثل داده‌های دسترسی کاربر، آنها هیچ وقت تغییر نیافته‌اند و حجم زیادی از این داده‌ها از جایی به جای دیگر کپی نشده است.

سوال: چه چیزی یک عامل تهدید داخلی را تحریک می‌کند ؟

جواب:  اولین انگیزه برای حمله عامل داخلی پول است.34 درصد تخلف داده در سال 2019 حمله عامل داخلی بوده است. 71 درصد تخلف داده‌ها با انگیزه مالی انجام شده است. 25 درصد تخلفات به علت جاسوسی یا تلاش برای دستیابی به منفعتی انجام شده است که این انگیزه دوم است. اکثر عوامل داخلی می‌خواهند داده‌هایی که دزدیده‌اند را انکار کنند.

سوال: چطور یک عامل داخلی که ممکن است به داده‌های حساس دسترسی داشته باشد را شناسایی ‌کنید ؟

جواب: کاربران بر اساس شغل خود به بخشی از داده‌های حساس دسترسی دارند. مسئول امنیت، باید تشخیص دهد که کدام کاربران در حال انجام کار خود هستند. شما نمی‌توانید نیت فرد را با یک عمل شناسایی کنید و شما به داده‌های بیشتری احتیاج دارد. از خودتان بپرسید- آیا این کاربر به طور منظم به این داده‌ها دسترسی دارد؟ آیا از این کاربر رفتارهای غیر عادی دیگر هم داشته است؟ آيا حجم زیادی داده با ایمیل کرده است؟ همچنین شما می‌توانید از شرکت‌های ارائه دهنده خدمات امنیتی برای تحلیل رفتار کاربر استفاده کنید تا به شما در تشخیص رفتار غیر عادی کمک کند.

سوال : آیا هشدارهای مبتنی بر آستانه درست عمل می‌کنند ؟ ( برای مثال بازسازی فایل)

جواب: هشدارهای مبتنی بر آستانه برای مشخص کردن نیت افراد مناسب نیستند و ممکن است نیروهای امنیتی را به دروغگو بودن یا حمله وحشیانه هدایت کنند. در این جا یک سناریو ساده بیان می شود- یک کاربر یک پوشه از داده‌های حساس را به یک مکان دیگر منتقل می‌کند. اگر یک هشدار مبتنی بر آستانه برای “ 500 عملیات روی پوشه های داده‌های حساس در یک ثانیه” داشته باشید، بر این اساس، آن کاربر دچار خطا شده است. زمان تیم امنیتی شما با ارزش‌تر از این است که هر تغییر در فایل‌ها را دنبال کند. از تحلیل امنیتی برای داشتن هشدارهای هوشمندتر استفاده کنید.

سوال: لیست کشیک چه کاربردی دارد ؟‌

جواب: لیست کشیک- لیستی از کاربران که باید مراقب آن‌ها باشید- می تواند کمک کننده باشد ولی جنبه منفی نیز دارد. اگر به اندازه کافی به لیست کشیک فکر کنید می‌توانید ببینید که ممکن است این لیست‌ها بیش از اندازه استفاده شوند و تیم امنیتی شما را در موقعیت سختی برای بقیه کاربران قرار می‌دهد. از طرف دیگر شما می‌خواهید که کاربران شما آگاهی امنیتی داشته باشند و روش سالمی برای گزارش فعالیت‌های مشکوک ارائه دهند. باید بهترین روند را برای لیست کشیک خود ایجاد کنید. کاربران را بررسی کنید و کاربران را سریعا از لیست کشیک خود حذف کنید و با استفاده از تحلیل امنیتی در جستجوی رفتار غیر عادی باشید.

عوامل داخلی را جدی بگیرید و مهم تر از آن کاربران و داده‌های خود را کنترل کنید. سریال آموزشی شکار Troy با نام شناخت عوامل تهدید داخلی را برای اطلاعات بیشتر می‌توانید ببینید.