Kako zaštititi računalnu mrežu od unutarnjih prijetnji

VRIJEME ČITANJA: 12 MINUTA

Tradicionalne strategije kibernetičke sigurnosti imaju tendenciju da daju prioritet obrani mreže od vanjskih sila. Međutim, fokusiranje na perimetar može dovesti do unutarnjih slijepih kutova, što može učiniti organizacije ranjivim na insajderske prijetnje.

U ovom postu na blogu pokazat ćemo vam kako funkcioniraju insajderske prijetnje i što možete učiniti da zaštitite svoju organizaciju.

Što je insajderska prijetnja?

Insajder je svaka osoba koja zna ili ima ovlašteni pristup resursima organizacije. Insajderska prijetnja je potencijalna šteta koju insajder može prouzročiti tim znanjem ili pristupom.

Insajderi općenito spadaju u jednu od tri kategorije:

  • Nemaran : nemaran insajder nehotice dovodi organizaciju u opasnost. Oni ne pokušavaju aktivno prouzročiti štetu, ali njihovi postupci mogu nenamjerno ostaviti organizaciju ranjivom na kompromis. Nemar čini više od polovice svih insajderskih prijetnji .
  • Zlonamjerni : Zlonamjerni insajder namjerno nastoji oštetiti organizaciju, često krađom podataka ili pružanjem pristupa sustavu vanjskoj strani. Zlonamjerne osobe često su motivirane financijskom dobiti, nedostatkom priznanja na radnom mjestu ili gubitkom posla. Drugi mogu ukrasti intelektualno vlasništvo u pokušaju da unaprijede svoju karijeru.
  • Treća strana : Insajder treće strane je netko kome je odobrena određena razina pristupa imovini organizacije, ali nije član te organizacije s punim radnim vremenom. Insajderska prijetnja može izravno oštetiti imovinu organizacije ili izložiti tu imovinu zlonamjernim vanjskim stranama.

Bande ransomwarea koje aktivno vrbuju insajdere

Za bande ransomwarea dobivanje početnog pristupa meti često je najzahtjevniji dio operacije. Kako bi riješili ovo usko grlo u lancu napada, mnoge grupe djeluju prema modelu ransomware-as-a-service, pri čemu programeri ransomware-a regrutiraju podružnice da se infiltriraju u ranjive mreže u zamjenu za smanjenje isplate otkupnine.

Neke grupe ransomwarea pokušale su u potpunosti ukloniti srednji korak korištenjem insajdera kako bi dobili neovlašteni pristup korporativnim mrežama – drugim riječima, plaćajući zaposlenicima velikih organizacija kako bi im pomogli ući na vrata.

U ožujku 2022., Lapsus$ ransomware banda – odgovorna za napade visokog profila na Samsung, Nvidiu i Ubisoft, između ostalih – objavila je da regrutuje insajdere u velikim tehnološkim tvrtkama kao što su Microsoft, Apple, EA, AT&T koji bi mogli omogućiti pristup korporativni VPN, Citrix ili AnyDesk. Ove vrste alata za daljinski pristup često koriste akteri prijetnji kako bi stekli početno uporište u ciljnoj mreži, nakon čega je relativno lako izvesti sljedeće korake napada.

Lapsus$ nije prva grupa ransomwarea koja pokušava surađivati ​​s insajderima. Godine 2021. LockBit je ponudio “milijune dolara” korporativnim insajderima koji bi grupi mogli omogućiti pristup korporativnom RDP-u, VPN-u i računima e-pošte.

Kako zaštititi mrežu od unutarnjih prijetnji

S obzirom na to da tehnološke tvrtke često imaju stotine ili tisuće zaposlenika – svaki sa svojim privilegijama, pravima pristupa i uređajima tvrtke – nadzor nad svakom pojedinom imovinom je zastrašujući prijedlog.

Umjesto toga, organizacije bi se trebale usredotočiti na ograničavanje pristupa tim sredstvima. U nastavku su neke učinkovite strategije koje će vam pomoći u upravljanju rizikom od insajderskih prijetnji.

  1. Provedite procjenu rizika
    Prije nego što se sigurnosne mjere mogu implementirati, organizacija mora jasno razumjeti što pokušava zaštititi. Kao takve, organizacije moraju provesti sveobuhvatnu procjenu rizika kako bi identificirale i dokumentirale kritičnu organizacijsku imovinu, njihove ranjivosti i prijetnje koje bi mogle utjecati na njih. Ključni resursi koji su često osjetljivi na unutarnje prijetnje uključuju hardver, softver i komunikacijske sustave, kao i podatke kao što su intelektualno vlasništvo, informacije o korisnicima, vlasnički softver i interni procesi. Ovaj vodič za upravljanje imovinom , ljubaznošću Ministarstva domovinske sigurnosti, može biti koristan izvor za organizacije koje žele naučiti više o definiranju i dokumentiranju važne imovine.
  2. Ograničiti pristup
    Organizacije bi trebale strogo ograničiti pristup zaposlenika sustavima, aplikacijama, procesima i spremištima podataka koji su im potrebni za obavljanje svoje osnovne radne funkcije. To je poznato kao načelo najmanje privilegija. Ograničavanje pristupa ograničava opseg i učinak napada i smanjuje rizik da osjetljivi podaci padnu u pogrešne ruke. U 2021. godini, oko 34 posto organizacija bilo je meta krađe imovine ili oštećenja lanca opskrbe zbog insajdera koji su zloupotrijebili njihove privilegije, prema Agenciji Europske unije za kibernetičku sigurnost.
    Pristup bi se trebao redovito revidirati kako bi se osiguralo da privilegije pristupa točno odražavaju zahtjeve ljudi dok ulaze i izlaze iz različitih uloga u poslovanju. Treba ukloniti pristup bilo kojem resursu koji zaposleniku više nije potreban.
    Slično, račune koji pripadaju zaposlenicima koji više ne rade za tvrtku treba deaktivirati ili osigurati novom lozinkom što je prije moguće. U idealnom slučaju, deaktivacija računa trebala bi biti formalno integrirana u procese izvanbrodskog poslovanja tvrtke kako bi se osiguralo da su podaci tvrtke sigurni kada zaposlenik napusti organizaciju.
  3. Praćenje ponašanja korisnika 
    Praćenje ponašanja korisnika na mreži može pomoći organizacijama da identificiraju sumnjivu mrežnu aktivnost i dopušta im da rano interveniraju kako bi se smanjio utjecaj insajderskog napada. Alati za analizu ponašanja korisnika i entiteta, koji modeliraju osnovno ponašanje ljudi i hardvera unutar mreže, mogu se koristiti za prepoznavanje abnormalnih obrazaca i automatsko upozorenje IT sigurnosnog osoblja. Slično, sustav za otkrivanje upada može biti učinkovit način za praćenje strateških točaka unutar mreže i upozoravanje administratora na zlonamjerne aktivnosti ili kršenja pravila. Prema izvješću IBM Security X-Force Threat Intelligence , 40 posto sumnjivih insajderskih prijetnji otkriva se putem upozorenja generiranih putem internog alata za praćenje.
  4. Osigurajte svoje sustave kibernetičke sigurnosti 
    Čak će i najnaprednija rješenja kibernetičke sigurnosti biti beskorisna ako insajder ima dovoljno privilegija da jednostavno onemogući sigurnosni sustav. Kako bi ublažile ovaj rizik, organizacije moraju osigurati da su sve sigurnosne kontrole ispravno osigurane lozinkom administratora i/ili višefaktorskom provjerom autentičnosti. To je osobito važno za organizacije koje su odgovorne za upravljanje kibernetičkom sigurnošću drugih poduzeća, kao što su MSP-ovi.
    Emsisoft Managment Console osiguran je multifaktorskom provjerom autentičnosti (MFA). Emsisoft zaštitni softver može se dodatno osigurati postavljanjem administratorske lozinke. To osigurava da čak i ako je insajder mogao dobiti pristup Emsisoft Management Console i dobiti MFA kod, i dalje ne bi mogao onemogućiti, izbrisati ili onemogućiti zaštitni softver.
    Da biste postavili administratorsku lozinku, idite na: MyEmsisoft > Workspace > Zaštitna pravila > Prebacivanje lozinke > Administratorska lozinka . Gornji korak osigurava da samo oni s administratorskim povlasticama mogu promijeniti postavke zaštite Emsisofta.
    Nakon postavljanja administratorske lozinke, ograničite broj korisnika s administratorskim povlasticama postavljanjem pristupa na razini uređaja na 'Osnovni pristup': MyEmsisoft > Politika dopuštenja > grupa 'Administratori' > Razina > Osnovni pristup . Pogledajte ovaj blog post za više informacija o tome kako zaštititi svoj antivirusni softver .
  5. Segmentirajte svoju mrežu u podmrežu 
    Segmentacija mreže uključuje podjelu mreže na više segmenata ili podmreža, od kojih svaka djeluje kao vlastita mala mreža. Tijek prometa između segmenata može se strogo nadzirati i kontrolirati, dopuštajući organizacijama da ograniče nepotrebno bočno kretanje. Na primjer, razvojni odjel tvrtke možda nikada neće morati pristupiti aplikacijama, datotekama ili mrežnim dionicama koje pripadaju marketinškom timu i obrnuto. Ograđivanje dijelova šire mreže sprječava insajdere u okretanju prema susjednim okruženjima i može pomoći u smanjenju utjecaja napada.
  6. Fizički ograničiti pristup 
    Pristup važnoj fizičkoj imovini također bi trebao biti ograničen. Kontrole pristupa poput brava, sigurnosnih vrata i okretnih vrata mogu se koristiti zajedno sa sustavima za unos ključeva kartica, PIN kodovima, lozinkama i biometrijskim čitačima kako bi se spriječilo insajdere da pristupe kritičnim IT objektima kao što su poslužiteljske sobe. Za praćenje područja od interesa trebali bi se koristiti sustavi videonadzora sa senzorima pokreta, dok geofencing može biti koristan za otkrivanje kada netko ulazi ili napušta unaprijed definiranu virtualnu granicu (npr. posjed, zgrada ili zona unutar zgrade). Stari hardver i dokumentaciju treba sigurno izbrisati ili reciklirati na način koji njihove podatke čini nepovratnim. Stari tvrdi diskovi i drugi IT uređaji koji su sadržavali posebno osjetljive informacije trebali bi se fizički uništiti kako bi se osiguralo da su podaci koji su sadržavali zauvijek nestali.
  7. Uključite modul svjesnosti o insajderskim prijetnjama u obuku o sigurnosti osoblja. 
    Organizacije bi trebale osigurati redovitu obuku koja se usredotočuje na edukaciju osoblja o znakovima potencijalne zlonamjerne aktivnosti unutar tvrtke. Uobičajeni pokazatelji zlonamjerne insajderske aktivnosti mogu uključivati:
    • Ponovljeni pokušaji pristupa ili preuzimanja osjetljivih podataka.
    • Pokušaji zaobići utvrđene sigurnosne procedure.
    • Daljinski pristup mreži u neredovnim satima.
    • Premještanje datoteka na neobična mjesta.
    • Zahtjev za pristup resursima koji nisu povezani s njihovim primarnim poslom.
    • Prijenos podataka izvan uobičajenih komunikacijskih kanala tvrtke.
    • Rad neredovno bez odobrenja.
    • Neopravdano zanimanje za stvari koje nisu povezane s njihovim glavnim dužnostima.
    • Pomno promatrajući radni ekran drugog zaposlenika preko ramena.
    • Slušanje razgovora ili sastanaka.
    • Neobični zahtjevi.
  8. Radite s ljudskim resursima na razvoju procesa kibernetičke sigurnosti od insajderskih prijetnji.
    Organizacije bi trebale nastojati poticati pozitivnu kulturu izvješćivanja i osigurati da svaki član tima razumije s kime treba razgovarati u slučaju sumnje na incident. Osoblje za IT sigurnost i HR trebali bi blisko surađivati ​​kako bi razvili snažne procese ukidanja i isključivanja kako bi se osiguralo da su svi računi zaključani i da se uređaji u vlasništvu tvrtke predaju odmah kada zaposlenik napusti organizaciju. Ovisno o resursima i veličini tvrtke, organizacije bi također trebale razmotriti uspostavljanje tima za upravljanje prijetnjama za procjenu i, ako je potrebno, intervenirati u potencijalnim insajderskim prijetnjama.

Zaštitite uređaj sa Emsisoft Anti-Malware.


Je li vas antivirus iznevjerio? Mi nećemo. Preuzmite besplatnu probnu inačicu Emsisoft Anti-Malware i uvjerite se sami.

Image

Danas je sjedište tvrtke Emsisoft na Novom Zelandu, ali održava globalnu prisutnost putem lokalnih timova u svim vremenskim zonama. Zlonamjerni softver ne spava, a ni mi.

Korisni linkovi

Pratite nas