Константин Рензяев, генеральный директор CorpSoft24, поделился с РБК PRO мыслями о том, как распознать и остановить инсайдеров, работающих против вас и вашего бизнеса. Ссылка на оригинал статьи — https://clck.ru/S9SyT
По данным отчета Киберцентра НАТО в Таллине (CCD COE), компании в Германии теряют до $71 млрд в год из-за международного экономического и промышленного шпионажа. Около 70% краж корпоративной информации происходят с участием инсайдеров. Аналогичный масштаб ущерба шпионаж наносит экономике Южной Кореи и Японии.
Отчет также подчеркивает рост динамики подобных активностей. В 2018 году 53% всех компаний и организаций в мире сообщили, что за предыдущие 12 месяцев работы стали жертвами инсайдерской активности. Средний размер ущерба, который наносят инсайдеры, составляет $8,76 млн. Среднее время, затраченное на сдерживание инсайдерской угрозы, — 73 дня.
В России, по данным «СерчИнформ», 51% компаний, расположенных в Москве, зафиксировали финансовый ущерб от деятельности инсайдеров по итогам 2019 года. При этом 13,4% пострадавших понесли крупные убытки.
В мире современного бизнеса определение инсайдера-«крота» несколько размывается.
Типы «кротов»
Инсайдер — это сотрудник, имеющий законный физический или виртуальный доступ в пределах корпоративного периметра. К инсайдерам относятся постоянные и временные сотрудники, сторонние подрядчики, а также сторонние компании поддержки и аутсорсинговые поставщики услуг.
Инсайдерская угроза — это злоупотребление законным доступом в корыстных целях, которое может нанести организации вред. Провести четкое различие между вредоносным поведением, ошибкой пользователя или даже законной деятельностью не всегда просто.
Тем не менее инсайдеров можно разделить на три категории.
-
Незлонамеренные инсайдеры — это пользователи, которые совершают потенциально опасные действия без злого умысла: нарушают правила производственной среды, теряют корпоративные ноутбуки или используют несанкционированные инструменты (shadow IT). Например, такие сотрудники могут использовать облачные приложения, чтобы увеличить производительность, непреднамеренно подвергая компанию риску.
-
Злонамеренные инсайдеры осознают свои действия и их негативные последствия. Например, эти сотрудники покидают организацию и собирают информацию, которая может оказаться полезна им в будущем. Сюда также относятся пользователи, которые по тем или иным причинам стремятся причинить вред процессам или активам компании.
-
Скомпрометированные инсайдеры — сотрудники, занимающиеся корпоративным шпионажем. Они предоставляют интеллектуальную собственность или другую конфиденциальную информацию организации конкурентам и криминальным группировкам. Иногда сотрудник даже не подозревает, что в результате утечки данных учетных записей или их хищения злоумышленники получают возможность действовать от его лица. При расследовании все выглядит так, будто действовал кто-то из своих.
Разведка угроз
Привычные стратегии информационной безопасности (ИБ), такие как контроль ИТ-периметра компании с акцентом на предотвращение атак извне, неэффективны при реагировании на инсайдерские угрозы.
Поскольку угроза исходит изнутри, лучше ориентироваться на концепцию глубокой защиты. Она подразумевает использование целого набора средств контроля для обнаружения подозрительной деятельности сотрудников всех рангов и из всех департаментов.
Процедурный и пользовательский контроль — набор четко прописанных регламентов работы с документами и ИТ-системами компании, в которых распределены роли, уровень ответственности, сценариев реагирования на инциденты и т.д.
Этот вид контроля при правильном исполнении на практике позволяет обеспечить приемлемость проводимой в компании политики информационной безопасности. То есть сотрудники не должны утрачивать доверие к компании, понимать, как она использует их персональные данные, видеть ее готовность и стремление соблюдать этические нормы и т.д.
Этот уровень контроля также предполагает, что в компании установлены рамки, в которых сотрудники в конфликтных ситуациях могут выносить свои проблемы в публичное поле. Один из главных эффектов этого подхода — сотрудники сами могут выявлять подозрительную деятельность и предупреждать о ней.
Технический контроль включает использование аналитических методов для выявления подозрительной активности. Например, сопоставление активности пользователей с историческими данными и с активностью коллег.
Базовые показатели служат своего рода точкой отсчета для дальнейшего мониторинга. Они рассчитываются в зависимости от специфики каждой компании и вносятся в различные средства контроля. Как правило, их перечень включает в себя контроль входа в корпоративную ИТ-систему (время/расположение), учет доступа пользователей к файлам, мониторинг и контроль сетевого трафика.
Например, инструменты контроля доступа или сети DLP (предотвращение потери данных) могут отслеживать случаи, когда из организации удаляются нетипичные для установленных процедур файлы. Правила SIEM (аббр. от Security Information and Event management — «информация о безопасности и управление системами») также могут быть настроены на оповещение об определенных событиях, указывающих на вредоносную деятельность инсайдеров.
Сотрудник начал логиниться в систему компании в нетипичное время, работает в приложениях, не относящихся к его прямым обязанностям, читает документы, до которых раньше ему не было дело? Есть смысл обратить на его деятельность более пристальное внимание.
Новые методы
Наряду с разведкой угроз разрабатывается ряд новых подходов, которые могут прямо или косвенно помочь в поиске инсайдеров:
-
мониторинг цифровой активности сотрудников в интернете (соцсети, форумы, секции комментариев и т.д.) значительно увеличивает шансы изоляции вредной активности, обычно не учитываемой в традиционных риск-моделях;
-
анализ настроений помогает определить, на каком этапе работы сотрудник может оказаться недоволен положением дел в компании, проявлять активистские тенденции, которые противоречат ценностям бизнеса.
Одна из проблем предприятий — недостаток у них навыков и ресурсов для проведения расследований и реагирования на тревожные сигналы. По этой причине ряд предприятий уходит от оповещений о возникновении угрозы. Вместо этого они используют систему отчетности — последовательно выстраивают представление о пользователе и его деятельности, после чего оценивают риск того, что он совершит противоправные действия, по ряду факторов: статус, доступ к информации, срок пребывания в компании, психологическая оценка и т.д.
Какой бы метод ни использовала организация, для расследования и подтверждения любых подозрений все равно потребуется «ручная работа»: автоматизировать все необходимые компоненты не получится.
