تهدید عواملی داخلی یک خطر امنیتی است که از سازمان مورد نظر نشات میگیرد. این بدین معنا نیست که فرد باید کارمند فعلی یا مسئول در سازمان باشد. آنها میتوانند یک مشاور، کارمند سابق، همکار تجاری یا عضو هیئت مدیره باشند.
34 درصد تخلف داده در گزارش تحقیقاتی تخلف داده شرکت خدمات امنیتی varinos در سال 2019 شامل متخلفان داخلی بوده است. همچنین بر اساس گزارش خطر داده شرکت خدمات امنیتی Varonis در سال 2019، 17 درصد تمام فایلهای حساس در دسترس تمام کارکنان قرارداشته است.
این آمار به ما چه میگوید؟ عوامل داخلی توانایی، انگیزه و امتیاز مورد نیاز برای دزدیدن اطلاعات مهم را دارند – که این وظیفه CISO است که دفاعی در مقابل تمام حملهها مشخص کند و بسازد.
هرکس که آگاهی یک عامل داخلی را داشته باشد و یا به دادههای حساس سازمان، IT یا منابع شبکه دسترسی داشته باشد یک تهدید داخلی بالقوه است. در ادامه دراره مباحث زیر به تفصیل بحث خواهیم کرد.
- مشخصکننده تهدید داخلی
- مثالهایی از تهدید داخلی
- چطور از آنها جلوگیری کنیم
- سوالات متداول در مورد تهدید داخلی
انواع تهدیدات داخلی
به منظور محافظت از سازمان خود در مقابل تهدیدات داخلی، باید بدانید که عوامل داخلی چه خصوصیاتی دارند. دو نوع اصلی از عوامل داخلی خائنها و گروگانها هستند که به ترتیب همان عامل داخلی بدجنس و شرکت کننده بیمیل خواهند بود.
- خائنین
خائن یک عامل داخلی است که کینه توزانه دادهها را میدزدد. در بیشتر موارد این فرد یک کارمند یا پیمانکار است- کسی که باید در شبکه باشد و اختیار قانونی دارد ولی از دسترسی خود برای سودجویی سو استفاده میکند. ما انواع مختلفی از محرکهایی که این رفتار را هدایت می کند دیدهایم: بعضی افراد بدذات اسرار شرکت را به دولت خارجی لو میدهند و دیگران به سادگی تعدادی از اسناد را به یک رقیب در ازای استعفا میدهند.
Gregory Chung یک مهندس در بوینگ یک خائن بدنام است. آقای چانگ محکوم به استفاده از از عدم سوء پیشینه خود در بوئینگ برای لو دادن رازهای تجاری به چین در ازای ثروت ناچیزی شد.
- گروگانان
گروگان یک کارمند معمولی است. کسی که کار درست را انجام میدهد و اشتباهی مرتکب می شود و عوامل داخلی متوجه آن میشوند یا حتی ممکن است منجر به از دست رفتن اطلاعات یا تعهدات شود. این اتفاق ممکن است گم شدن یک لپتاپ یا ایمیل کردن یک سند حساس از روی اشتباه به فردی دیگر باشد. در هر حال یک گروگان عضو ناخواستهای در یک اتفاق امنیتی است.
چطور یک عامل تهدید داخلی را شناسایی کنیم؟
رفتارهای معمول و رایجی در عوامل داخلی وجود دارد که ممکن است دیجیتالی باشد یا توسط خود شخص رخ دهد. این علائم برای CISOها، معماران امنیتی و تیم آنها مهم هستند تا عوامل تهدید داخلی بالقوه را کنترل، شناسایی و متوقف کنند.
علائم معمول در یک عامل تهدید داخلی
علائم دیجیتالی و رفتاری معمول در یک عامل تهدید داخلی در زیر آمده است.
نشانههای اخطارهای دیجیتال
- دانلود کردن یا دسترسی به حجم قابل توجهی از داده
- دسترسی به دادههایی که خارج از رفتارهای خاص فرد باشد
- درخواستهای متعدد برای دسترسی به منابعی که به کار فرد مربوط نمیشود.
- استفاده از ابزار ذخیره سازی غیر مجاز (مثل USB یا فلاپی)
- جستجوی شبکه برای دادههای حساس
- ذخیره داده و کپی کردن فایلها از پوشههای حساس
- ایمیل کردن دادههای حساس برای خارج از سازمان
نشانههای اخطار رفتاری
- تلاش برای حذف امینت
- حضور در دفتر در خارج از ساعات اداری
- نشان دادن رفتار ناراضی به همکاران
- خشونت در سیاستهای همکاری
- بحث در مورد استعفا یا فرصتهای شغلی جدید
در حالی که اخطارهای رفتارهای انسانی ممکن است نشانه بر مسائل بالقوه باشد، قانون دیجیتال و تحلیلها مؤثرترین روشها برای شناسایی عوامل داخلی هستند. تحلیل رفتاری کاربر (UBA) و تحلیل امنیتی برای شناسایی عامل تهدید داخلی بالقوه به کمک ما میشتابد، مسائل را بررسی می کند و در صورتی که کاربری رفتار مشکوکی داشت یا رفتاری خارج از رفتار عادی بروز داد هشدار میدهد.
مثال هایی از عوامل تهدید داخلی
در این جا چند مثال از عوامل داخلی در اخبار آورده شده است.
تسلا : یک عامل داخلی سیستم را تخریب کرد و دادههای متعلق به سازمان را برای دیگری فرستاد.
فیس بوک : یک مهندس امنیت از دسترسی خود سواستفاده کرد.
کوکاکولا: یک عامل داخلی بدذات حافظه اطلاعاتی پر از دادههای شخصی را دزدید.
بانک سانتراست : یک عامل داخلی دادههای شخصی یک و نیم میلیون مشتری را دزدید تا به یک سازمان خیانتکار بدهد.
مبارزه با تهدید عوامل داخلی
تخلف دادهای به اندازه 10 میلیون مدرک برای یک سازمان حدود 3 میلیون دلار خرج برداشت – و همانطور که ضرب المثل میگوید : پیشگیری بهتر از درمان است.
از آنجا که عامل داخلی در داخل سازمان است، نمیتوان به پارامترهای قدیمی برای اندازه گیری امنیت اطمینان کرد تا از شرکت محافظت شود. به علاوه، با توجه به اینکه یک عامل داخلی است- چه کسی در اصل مسئول رسیدگی به این موقعیت است، آیا IT یا HR است؟ آیا یک مسئله قضایی است؟ یا هر سه مورد به همراه تیم CISO هستند؟ خلق کردن و همگانی کردن یک سیاست برای مقابله با عوامل داخلی بالقوه باید از مراتب بالای سازمان نشات بگیرد.
کلید مساله عوامل داخلی داشتن مسیر صحیح و راهحل صحیح در موقعیت است تا عامل داخلی شناسایی شود و از سازمان در برابر او محافظت گردد.
دفاع در برابر عوامل داخلی و برنامه پاسخگویی
۱. کنترل فایلها، ایمیلها و فعالیتها روی منبع داده خودتان
۲. تشخیص و کشف موقعیت فایلهای حساس خود
۳. مشخص کردن اینکه چه کسی به آن دادهها دسترسی دارد و چه کسی باید به آن دادهها دسترسی داشته باشد.
- پیاده سازی حداقل یک مدل ویژه روی زیرساختهای خود
۱. حذف گروه دسترسی کلی
۲. دارندگان داده باید مسئول مدیریت مجوزها برای داده های خود باشند و دسترسیهای موقت به سرعت منقضی شود.
۵. تحلیلهای امنیتی اعمال گردد تا رفتارهای غیرطبیعی را تشخیص دهند شامل :
1.تلاش برای دستیابی به اطلاعات حساسی که بخشی از کار عادی محسوب نمیشود.
۲. تلاش برای دست یافتن به مجوز دسترسی به دادههای حساس در فرآیندی غیرعادی
- فعالیت افزایش یافته در فایلهای حساس
- تلاش برای تغییر گزارشهای سیستم یا پاک کردن حجم زیادی از دادهها
- حجم زیادی از اطلاعات به خارج از شرکت ایمیل شود و خارج از محدوده عملکرد آن شغل باشد.
- اجتماعی کردن و آموزش دادن به کارمندان برای داشتن طرز فکر امنیت اطلاعاتی
به همان اندازه مهم است که برنامه پاسخی در زمان که باید به تخلف داده بالقوه پاسخ داده شود وجود داشته باشد :
- تشخیص خطر و وارد عمل شدن
- غیر فعال کردن یا خارج کردن کاربر در صورتی که فعالیت یا رفتار مشکوکی دیده شود.
3. مشخص کنید که کدام کاربران و فایل ها تحت تاثیر قرار گرفته اند.
۲. دقت و جدیت خطر را تعیین کنید و به تیمهای مورد نظر هشدار دهید ( HR, IT, CISO).
- اصلاح
- بازگردانی دادههای حذف شده در صورت لزوم
۲. حذف همه دسترسیهای اضافی که توسط عامل داخلی استفاده شده است.
- جستجو و حذف هر گونه نرم افزار مخرب که در طول حمله استفاده شده است.
- فعال سازی مجدد سیستمهای امنیتی
- بررسی و اجرای پیگیریهای قانونی در حوادث امینیت
- هشدار تایید و مراکز تنظیم کردن در صورت لزوم
راز دفاع در مقابل عوامل تهدید داحلی کنترل دادههای خود، جمع آوری اطلاعات و اعمال هشدار در رفتارهای غیرعادی است.
سوالات متداول در مورد عوامل داخلی
در قسمت زیر سوالات متداول در مورد عوامل تهدید داخلی را بررسی کنید.
سوال : نشانههای عامل داخلی چیست ؟
جواب : نشانههای عامل تهدید داخلی سرنخی است که میتواند برای متوقف کردن حمله یک تهدید داخلی به شما کمک کند قبل از اینکه به تخلف داده منجر شود. رفتار انسان نشانگرهای اولیه در عوامل تهدید داخلی بالقوه محسوب میشود. به تیم خود آموزش دهید تا رفتارهای غیر عادی مختلف را تشخیص دهد و از شرکتهای امنیتی برای تشخیص فعالیتی که یک عامل تهدید داخلی بالقوه را مشخص می کند کمک بگیرید. مثل دادههای دسترسی کاربر، آنها هیچ وقت تغییر نیافتهاند و حجم زیادی از این دادهها از جایی به جای دیگر کپی نشده است.
سوال: چه چیزی یک عامل تهدید داخلی را تحریک میکند ؟
جواب: اولین انگیزه برای حمله عامل داخلی پول است.34 درصد تخلف داده در سال 2019 حمله عامل داخلی بوده است. 71 درصد تخلف دادهها با انگیزه مالی انجام شده است. 25 درصد تخلفات به علت جاسوسی یا تلاش برای دستیابی به منفعتی انجام شده است که این انگیزه دوم است. اکثر عوامل داخلی میخواهند دادههایی که دزدیدهاند را انکار کنند.
سوال: چطور یک عامل داخلی که ممکن است به دادههای حساس دسترسی داشته باشد را شناسایی کنید ؟
جواب: کاربران بر اساس شغل خود به بخشی از دادههای حساس دسترسی دارند. مسئول امنیت، باید تشخیص دهد که کدام کاربران در حال انجام کار خود هستند. شما نمیتوانید نیت فرد را با یک عمل شناسایی کنید و شما به دادههای بیشتری احتیاج دارد. از خودتان بپرسید- آیا این کاربر به طور منظم به این دادهها دسترسی دارد؟ آیا از این کاربر رفتارهای غیر عادی دیگر هم داشته است؟ آيا حجم زیادی داده با ایمیل کرده است؟ همچنین شما میتوانید از شرکتهای ارائه دهنده خدمات امنیتی برای تحلیل رفتار کاربر استفاده کنید تا به شما در تشخیص رفتار غیر عادی کمک کند.
سوال : آیا هشدارهای مبتنی بر آستانه درست عمل میکنند ؟ ( برای مثال بازسازی فایل)
جواب: هشدارهای مبتنی بر آستانه برای مشخص کردن نیت افراد مناسب نیستند و ممکن است نیروهای امنیتی را به دروغگو بودن یا حمله وحشیانه هدایت کنند. در این جا یک سناریو ساده بیان می شود- یک کاربر یک پوشه از دادههای حساس را به یک مکان دیگر منتقل میکند. اگر یک هشدار مبتنی بر آستانه برای “ 500 عملیات روی پوشه های دادههای حساس در یک ثانیه” داشته باشید، بر این اساس، آن کاربر دچار خطا شده است. زمان تیم امنیتی شما با ارزشتر از این است که هر تغییر در فایلها را دنبال کند. از تحلیل امنیتی برای داشتن هشدارهای هوشمندتر استفاده کنید.
سوال: لیست کشیک چه کاربردی دارد ؟
جواب: لیست کشیک- لیستی از کاربران که باید مراقب آنها باشید- می تواند کمک کننده باشد ولی جنبه منفی نیز دارد. اگر به اندازه کافی به لیست کشیک فکر کنید میتوانید ببینید که ممکن است این لیستها بیش از اندازه استفاده شوند و تیم امنیتی شما را در موقعیت سختی برای بقیه کاربران قرار میدهد. از طرف دیگر شما میخواهید که کاربران شما آگاهی امنیتی داشته باشند و روش سالمی برای گزارش فعالیتهای مشکوک ارائه دهند. باید بهترین روند را برای لیست کشیک خود ایجاد کنید. کاربران را بررسی کنید و کاربران را سریعا از لیست کشیک خود حذف کنید و با استفاده از تحلیل امنیتی در جستجوی رفتار غیر عادی باشید.
عوامل داخلی را جدی بگیرید و مهم تر از آن کاربران و دادههای خود را کنترل کنید. سریال آموزشی شکار Troy با نام شناخت عوامل تهدید داخلی را برای اطلاعات بیشتر میتوانید ببینید.