За последние два года количество инсайдерских угроз выросло на 47%, указывая на все возрастающую важность данной проблемы. Это опасность, от которой не застрахована ни одна организация, а руководители прекрасно знают следующее: две трети компаний считают внутренние угрозы более серьезной проблемой, чем внешние. Так считает Рене Тарун, заместитель директора по информационной безопасности в Fortinet (Renee Tarun, Deputy CISO at Fortinet). NBJ публикует ее эксклюзивный материал по актуальной теме.

В данном контексте финансовые организации особенно уязвимы – они являются естественной целью, в первую очередь из-за того, что типы данных, которые они собирают – финансовые и личные – дорого ценятся на рынке при перепродаже. Учитывая это, неудивительно, что в финансовых компаниях фиксируется больше нарушений безопасности, исходящих изнутри, чем в организациях из любого другого сектора рынка,

Виды инсайдерских угроз

Почти каждый сотрудник может нести угрозу – все, что для этого требуется, это доступ к конфиденциальной информации или просто доступ к офису компании, независимо от того, работает ли человек в данной организации или нет. Например, бывшие сотрудники, внешние консультанты, члены совета директоров или текущие сотрудники. Уборщики, кстати, тоже.

В зависимости от намерений субъекта и обстоятельств происшествия, можно выделить 3 основных типа таких угроз:

Ненамеренная инсайдерская угроза

Случаи неумышленного нанесения вреда бывают разные. Сотрудник, который кликает на фишинговое электронное письмо, неосознанно помогая распространить вредоносный код по сети. Или менеджер, который устанавливает несанкционированное ПО или использует Shadow IT. Это может быть человек, который использует дату своего рождения в качестве пароля, или тот, кто записывает свои данные для аутентификации в корпоративной сети на клочке бумаги под клавиатурой. Это даже может быть излишне самоуверенный сотрудник IT подразделения, который некорректно устанавливает патч на системы безопасности, открывая бэкдор для входа в сеть из дома, неправильно настраивает сетевой компонент системы или забывает изменить пароль по умолчанию на устройстве компании. Или кто-то просто забывает запереть дверь или впускает кого-то не того в здание.

Другими словами, случайные внутренние угрозы появляются в результате небрежного, а иногда и безрассудного поведения, помогая злоумышленникам достигать своих целей.

Намеренный взлом

Сотрудники, имеющие злой умысел, с другой стороны, не являются безрассудными, небрежными или недостаточно информированными. Они точно знают, что делают, и у них есть мотив для взлома сети и кражи данных. Например, недовольный специалист или тот, кому платят за использование своего служебного положения для предоставления доступа к сети. Некоторые могут находиться в трудной финансовой ситуации, или работать на конкурентов, ожидая больше вознаграждения и карьерных перспектив. Банки и другие финансовые учреждения – явная мишень, ведь именно они имеют дело с денежными потоками. Бывает даже так, что человек идет на преступление исключительно из интереса или получает удовольствие от процесса.

Угрозы, исходящие от удаленных сотрудников

Это более свежая категория инсайдерских угроз. Уже несколько десятилетий у многих людей есть возможность работать из дома, но вместе с резким ростом количества удаленных сотрудников растут и риски для безопасности. Помимо подключения к корпоративной сети через потенциально небезопасную домашнюю или общедоступную сеть, эти работники могут также использовать личные устройства, которые не были приобретены, настроены и защищены IT-специалистами компании, тем самым еще сильнее усугубляя проблему. Также существует опасность, что люди, имеющие доступ к дому такого сотрудника или его сожители, могут получить доступ и к рабочим устройствам.

Удаленные пользователи, работающие изолированно, с большей вероятностью станут жертвами атак с применением методов социальной инженерии, ведь они не могут просто пододвинутся на стуле к коллеге и спросить легитимны ли запросы злоумышленников. В условиях домашнего офиса меньше контроля и ограничений, что, к сожалению, ведет к ослаблению бдительности.

А в штаб-квартире компании, IT специалисты также сталкиваются с проблемами, вызванными удаленными сотрудниками. Внешние соединения создают больше логов трафика и данных о событиях, которые необходимо анализировать, в то время как ресурсы отнюдь не бесконечны. Атака может просто затеряться в информационном шуме.

Управление рисками, связанными с инсайдерскими угрозами

Так как же IT специалисты компании могут отражать все более многочисленные инсайдерские угрозы?

Хотя управление традиционными внутренними рисками, вероятно, уже является частью IT-стратегии любой финансовой организации, эффективность мер, обеспечивающих кибербезопасность, может быть снижена в виду резкого роста количества удаленных сотрудников. Устранение угроз в таких условиях – сложная задача. Но существует ряд мер, способных помочь и с этим. Вот краткий список действий, которые помогут обезопасить удаленных работников:

1. Обезопасьте удаленные соединения. Шифрование данных в реальном времени имеет важное значение, поэтому следует использовать SSL и IPSec VPN вместе со строгой аутентификацией при подключении удаленных пользователей к сети и предоставлении им доступа к данным. Сюда также входит проверка зашифрованного трафика, поскольку туннели VPN могут быть так же легко, как и легальный трафик, использованы для передачи вредоносных программ и финансовых данных без обнаружения. Это потребует развертывания межсетевого экрана, производительность которого соответствует масштабу организации.
2. Шифруйте хранимые данные. Все конфиденциальные данные, в том числе те, которые хранятся на устройствах сотрудников, должны быть зашифрованы. Если это невозможно, удаленным сотрудникам следует запретить хранить данные на личных устройствах.
3. Применяйте технологии контроля доступа. IT-командам нужны все возможные ресурсы, способные обеспечивать видимость пользователей, устройств и приложений в сети, чтобы контролировать, кто и к каким приложениям имеет доступ. Автоматический контроль доступа – важный инструмент, который необходимо взять на вооружение.
4. Считайте безопасность конечных точек приоритетной. Атаки на конечные точки весьма распространены, что обуславливает необходимость регулярной оценки устройств на предмет наличия уязвимостей и сложных угроз. Важно использовать передовые решения безопасности, такие как EDR (endpoint detection and response – система обнаружения и реагирования на угрозы конечным точкам), обеспечивающая защиту от вредоносных программ и взломов в реальном времени. Эти решения также следует сочетать с целостной структурой безопасности, которая может автоматически обнаруживать, реагировать и управлять угрозами, тем самым защищая данные, сокращая время простоя системы и обеспечивая непрерывность бизнеса.
5. Отслеживайте необычную активность. Используйте технологии SIEM и SOAR для предупреждения об аномальных попытках входа в систему, необоснованной передаче больших объемов данных или других необычных сетевых событиях.
6. Обучайте удаленных сотрудников. Сотрудники должны знать и соблюдать политики безопасности, относящиеся к удаленной работе. Важно также акцентировать внимание на повышении осведомленности работников о методах социальной инженерии, таких как фишинг, смишинг и вишинг.

Борьба с инсайдерскими угрозами жизненно важна для обеспечения непрерывности бизнес-процессов

Сегодня внутренние угрозы представляют беспрецедентную опасность для финансового сектора, особенно для тех организаций, которые перешли на удаленную работу для обеспечения непрерывности бизнеса. Хотя для защиты от внешних киберпреступников введены различные меры безопасности, традиционные методы не всегда учитывают угрозы, которые уже существуют внутри компании. Понимание специфики существующих внутренних угроз и выполнение рекомендаций, изложенных выше, поможет лучше защитить вашу сеть, клиентов и сотрудников от новых рисков, обусловленных стратегией удаленной работы.