Sárkány ellen sárkányfű, avagy így lépjünk fel a belső fenyegetések ellen

Nem csak az igazi szépség fakad belülről, a vállalatokat érintő kiberfenyegetések egy része szintén belső forrásból származik. Az óvatlan vagy rosszindulatú alkalmazottak, illetve a beépített emberek akár több százezer dolláros károkat is okozhatnak a vállalatoknak egy friss felmérés szerint. A Micro Focus szakértői szerint a különféle típusú belső fenyegetésekkel szemben hatékony segítséget nyújt az oktatás, az alapvető informatikai szabályok használata és betartatása, valamint az olyan fejlett technológiák, mint például a felhasználók és eszközök viselkedését elemző UEBA megoldások.

Időről időre napvilágot látnak olyan kiberbiztonsági incidensek, amikor egy alkalmazott segíti hozzá a támadókat a céljuk eléréséhez. Ez néha szándékosan történik, néha véletlenül, de mindenképpen óriási károkat okoz. A 2022 Ponemon Cost of Insider Threats Global Report jelentés szerint a belső fenyegetésekből eredő támadások 26 százalékáért felelősek a rosszindulatú bennfentesek, és átlagosan 648 ezer dolláros kárt okoznak incidensenként. Az esetek 56 százalékában a félrevezetett vagy óvatlan alkalmazottak hibájából ered a probléma, és átlagosan 484 ezer dolláros kárral jár. A harmadik típusú belső fenyegetést pedig a beépített emberek jelentik, akik valamilyen módon már korábban megtalálták az utat a cég rendszerébe, például ellopták egy alkalmazott belépési adatait, és ott gyűjtik az információkat csendben meghúzódva. Ők az esetek 18 százalékát teszik ki, ám incidensenként átlagosan 804 ezer dolláros veszteség keletkezik miattuk a vállalatoknál.

A Micro Focus szakértőinek tanácsai szerint vannak módszerek és technológiák, amelyekkel minimalizálható a kockázat. A három különböző típusú fenyegetéssel szemben azonban különféle módszerekkel érdemes védekezni.

Tájékozatlanság ellen oktatás
A gondatlan vagy hanyag alkalmazottak figyelmét fel kell hívni a veszélyekre, és rendszeresen megismertetni velük az aktuális támadási módszereket, hiszen a kiberbűnözők folyamatosan tökéletesítik technikáikat és módosítják stratégiáikat. Jó példa erre, hogy amint van egy új esemény, amely nyugtalanságot kelt az emberekben, a rosszindulatú támadók azonnal kihasználják. A COVID megjelenésekor például néhány napon belül új phishing levelek kezdtek el záporozni, amelyek a járvánnyal kapcsolatban ígértek valamilyen segítséget az aggódó embereknek.

Ahhoz, hogy az alkalmazottak folyamatosan naprakészek, tájékozottak és biztonságtudatosak legyenek, a cégeknek hatékony és rendszeres tréningeket kell tartaniuk. Akad olyan szakértő, aki szerint ráadásul csak az fog rendesen odafigyelni az ilyen oktatásokon, aki egyszer már bedőlt a vállalat által tesztelési céllal szervezett ál-phishing támadásnak. Fontos továbbá, hogy a vállalatok alapvető IT-biztonsági szabályokat alkalmazzanak. Ilyen például az erős jelszavak és a kétlépcsős hitelesítés használata, illetve a legkisebb jogosultság elve, melynek értelmében mindenki csak azokhoz a fájlokhoz fér hozzá, amelyekre valóban szüksége van a munkájához.

Rosszindulat ellen UEBA
Az ellenséges belső támadók és a beépített emberek igyekeznek leplezni a saját tevékenységeiket, ezért velük szemben nagyobb figyelemmel és komolyabb körültekintéssel muszáj fellépni. Hasznos például, ha az IT-biztonsági osztály bevonja a védekezésbe a HR-részleget és a további divíziók vezetőit, hogy felhívja a figyelmet az intő jelekre. A rosszindulatú alkalmazottak rendszerint stresszesek vagy érdektelenek, ami adott esetben gyanúra adhat okot.

Rendkívül hasznos technológia a bennfentes fenyegetések megfékezésére egy átfogó viselkedéselemző rendszer (User and Entity Behaviour Analytics – UEBA). A Micro Focus Interset megoldása például képes felügyelet nélküli gépi tanulást alkalmazva magától elemezni és megállapítani, milyen aktivitások számítanak megszokottnak a felhasználóknál a mindennapi munka során, és melyek lehetnek gyanúsak. Ilyen lehet például, ha egy munkatárs olyan, érzékeny információkat tartalmazó dokumentumokat nézeget, amelyekre nincs szükség a munkájához, vagy nagy mennyiségű céges dokumentumot küld át a privát e-mail címére.

Beépülők ellen zero trust
A beépített emberekkel járó kockázatokat tovább csökkentheti a „nulla bizalom" elve, amely   abból indul ki, hogy mindenki árthat, aki hozzáfér a vállalati rendszerhez. Ezért minden esetben szigorú azonosítási folyamatra van szükség minden olyan felhasználónál, aki el akarja érni a céges erőforrásokat, függetlenül attól, hogy az infrastruktúrán belül vagy azon kívül van.

A jó példa ragadós
A hatékony UEBA megoldás egy jó biztonsági csapattal kiegészülve jelentősen javítja a cégek védekezését és biztonsági protokollját, amint azt a Micro Focus egyik ügyfelének példája jól mutatja. A vállalatnál bevezetett UEBA megoldás minden alkalommal riasztást küldött a biztonsági szakemberekhez, amikor valami gyanúra okot adó esemény történt, akik felvették a kapcsolatot az érintett alkalmazottal, hogy megkérdezzék, mi történt pontosan és van-e engedélye a tevékenységre, illetve egyáltalán tud-e az esetről. Néhány hónapon belül az alkalmazottak maguk is elkezdték előre jelezni a biztonsági csapatnak, ha olyanra készültek, ami gyanúsnak tűnhet, például amikor nagy mennyiségű adatot küldtek ki egy új külsős tanácsadónak, üzleti útra készültek, szokatlan helyről vagy szokatlan időben dolgoztak. Tehát a munkatársak jobban elkezdtek odafigyelni a saját tevékenységeikre, és így a biztonsági szakértőknek is több idejük volt rá, hogy a valóban fontos incidensekkel foglalkozzanak.