Атака №6: Insider Threat
Когато довереният достъп се превръща в риск
Обобщение – Insider Threat
| Категория | Накратко |
|---|---|
| Какво представлява | Инциденти, причинени от хора вътре в организацията, които използват легитимен достъп умишлено или неволно. |
| Най-чести таргети | Организации със чувствителни данни, финансови системи, интелектуална собственост и вътрешен привилегирован достъп. |
| На какво разчита | Доверен достъп, прекомерни права, слаб мониторинг и липса на вътрешни контролни механизми. |
| Как се хваща | Поведенчески аномалии, необичаен достъп до данни, масови изтегляния, нарушения на политики. |
| Основен риск | Изтичане на данни, финансова загуба, прекъсване на дейности, репутационни щети. |
| Какво реално помага | Управление на достъпа, мониторинг, ясни процеси и осведоменост. |
Как работи атаката
Insider threat не започва с пробив.
Тя започва с вече съществуващ достъп.
Служители, външни партньори или изпълнители имат легитимен достъп до системи, данни и процеси. Когато този достъп бъде използван неправилно, ефектът може да бъде сериозен.
Понякога причината е финансова изгода или недоволство.
В други случаи става дума за грешка, натиск или липса на внимание.
За разлика от външните атаки, insider заплахите действат в рамките на доверената среда, което ги прави по-трудни за откриване.
Кого засяга най-често
Insider threat не е ограничена до една роля.
Роли
- служители с достъп до чувствителни системи
- IT администратори
- външни партньори и изпълнители
- разработчици и DevOps екипи
Сектори
- технологични компании
- финансов сектор
- здравеопазване
- научноизследователска дейност
- публичен сектор
Тип организации
- работещи с чувствителни данни
- с високо текучество
- с remote и хибридни екипи
- със слабо управление на достъпа
Колкото повече достъп има един човек, толкова по-голям е рискът.
На какво разчита атаката
Insider инцидентите възникват там, където доверието не се проверява.
Човешки фактор
- грешки и невнимание
- недоволство
- финансова мотивация
- липса на осъзнатост
Технически пропуски
- прекомерни права
- слаб вътрешен мониторинг
- липса на контрол върху достъпа
- недостатъчна видимост
Процесни слабости
- слаб onboarding/offboarding
- неясни политики
- липса на разделение на отговорности
- липса на вътрешен контрол
Insider threat използва достъп, който самата организация е дала.
Как се хваща
Откриването изисква разбиране как изглежда нормалното поведение.
Какво може да се забележи
- липсващи или променени файлове
- необичаен достъп
- странни промени в системи
Какво вижда IT
- големи изтегляния на данни
- необичайни заявки
- нетипични логвания
- опити за неоторизиран достъп
Какво вижда SOC
- поведенчески аномалии
- подозрителен трансфер на данни
- злоупотреба с привилегии
- нарушения на политики
Поведенческите сигнали са ключови.
Как се ограничава въздействието
Реакцията трябва да е балансирана и контролирана.
- ограничаване на достъп
- запазване на логове
- защита на критични системи
- уведомяване на отговорните екипи
- вътрешно разследване
Какво не помага:
- игнориране на сигнали
- забавяне
- прекалена реакция без доказателства
Какво реално помага
Управлението на insider риск изисква системен подход.
Хора
- обучения
- ясно разпределение на отговорности
Процеси
- управление на достъпа
- регулярни проверки
- структурирано offboarding
Технологии
- PAM
- UBA
- DLP
- мониторинг
Сигурността трябва да съществува и вътре в организацията.
Чести митове
„Това се случва рядко“
„Служителите няма да навредят“
„Мониторингът създава недоверие“
В действителност тези инциденти са резултат от натрупани пропуски.
Атака №1: Фишинг и социално инженерство
Атака №2: Злоупотреба с акаунти и превземане на достъп
Атака №3: Компрометиране на бизнес имейли
Следва: Атака №7 – Malware & Infostealers
Получавайте актуални новини и експертни анализи за киберсигурност
