Три типа людей, которые представляют инсайдерскую угрозу

Внутренние угрозы становятся все более распространенной проблемой для специалистов по ИТ-безопасности, т.к. старая модель укрепления безопасности уступает подходу, ориентированному на обработку данных с интеллектуальным подходом, пишет computing. Но кто из своих представляет инсайдерскую угрозу?

«Все мы, — ответил Нейл Такер из Forcepoint. — Я сам нарушал безопасность, потому что не являлся владельцем всех данных, с которыми приходилось иметь дело. Я послал по электронной почте данные не тому человеку». В действительности, как ИТ-специалист Такер представляет самую большую внутреннюю угрозу, так как у него есть права администратора для доступа к большинству систем компании.

Такер делит внутренние угрозы на 3 категории, указывая, что для защиты от них важно понять поведение и мотивацию заинтересованных лиц.

Скомпрометированный/дискредитированный пользователь


Скомпрометированным пользователем может быть ИТ-специалист или главный директор. Поскольку они имеют доступ к системам и способны злоупотребить привилегиями, они с наибольшей вероятностью станут мишенью преступников — через фишинг и социальную инженерию для доставки вредоносных программ, или с помощью более традиционных методов, таких как шантаж и подкуп.

Умышленный инсайдер


Умышленным инсайдером является тот, о котором большинство подумает при мысли о внутренней угрозе. Они намеренно злоупотребляют системами с целью кражи, диверсии или мошенничества. Тем не менее они, как правило, не представляют самую большую угрозу, и их намерения не всегда вредоносны. Причина действий умышленных инсайдеров, как правило, носит этический характер, например, «Я работаю здесь уже долгое время, так что не должен соблюдать правила».

Случайный инсайдер


Случайный инсайдер — это человек, который работает без систем защиты ради удобства использования внешних (зачастую нелицензионных) инструментов. Они могут передать данные по электронной почте не тому человеку или использовать облачную систему для резервного копирования данных, что небезопасно или противоречит правилам защиты данных.

Такер заявил, что люди представляют собой различные риски на разных этапах своей карьеры. Например, когда они отрабатывают время, оставшееся до увольнения, то их профиль риска возрастает. В источники внутренней угрозой включаются люди, процессы и технологии, но нужно начинать с людей. Необходимо определить типы угроз, установить сотрудничество между ИТ-, HR- и юридическими отделами, а также пересмотреть политику и стратегии. Прежде всего, следует признать, что сотрудники не будут запоминать правила безопасности и советы, и не будут сами принимать меры.

Следующим шагом будет рассмотрение доступных технологий борьбы с уже выявленными угрозами (например, белый список адресов электронной почты может помочь предотвратить случайную отправку конфиденциальных данных; машинное обучение поможет обнаружить аномальное поведение), а также запуск проверки концепции перед переходом к процессу определения норм поведения, выявления аномалий и соотношения стоимости активов с их профилем риска.

Поделиться с друзьями
ASTERA