Průvodce detekcí vnitřních hrozeb: Strategie a nástroje zmírňování
Detekce vnitřních hrozeb je jedním z řady nedávných pokroků v oblasti kybernetické bezpečnosti. Problém vnitřní hrozby se stal tak velkým, že americká vláda zřídila National Insider Threat Task Force (ITTF) v září 2011. Hlavním úkolem pracovní skupiny je stanovit politiku detekce a prevence zasvěcených hrozeb pro vládní agentury. Musíte zajistit, aby vaše organizace podnikla podobné kroky, aby zabránila zasvěceným sabotovat váš systém nebo krást citlivá data.
Co je to vnitřní hrozba?
Každý může pochopit koncept výhružka do systému. Většina nástrojů kybernetické bezpečnosti má za cíl blokovat hackery a malware před útoky na síť nebo jiné firemní zdroje. Zasvěcenec je někdo, kdo je oprávněn používat systém společnosti.
Zatímco útoky zvenčí mohou zahrnovat mnoho softwarových systémů, jako jsou trojské koně se vzdáleným přístupem, útoky DDoS, ransomware, spyware a viry, vnitřní hrozby jsou téměř výhradně manuální procesy . Zasvěcená osoba může poškodit systém smazáním dat, odebráním programů nebo změnou systémových konfigurací, ale hlavním cílem vnitřní hrozby je krádež dat .
I když poškození nebo odstranění systémového softwaru může být problém, v podniku je jen velmi málo majitelů účtů, kteří jsou schopni provádět tyto akce smysluplným způsobem. Například zaměstnanec, který odinstaluje sadu pro produktivitu ze své vlastní pracovní stanice, ve skutečnosti organizaci příliš nepoškodí. Podnikové aplikace, jako je webový server nebo databázové systémy, mohou být pouze manipulováno s velmi omezeným počtem lidí v rámci IT oddělení.
Malé podniky jsou zranitelnější vůči sabotáži kvůli jejich omezenému počtu zaměstnanců a spolupracovníků, protože menší softwarové balíčky používané těmito podniky mívají menší rozdíly mezi operátory a správci. Přesto i v malých podnicích je středem zájmu vnitřních hrozeb problémy s daty .
Jaké zasvěcené osoby představují hrozbu?
Existuje osm typů zaměstnanců, kteří představují hrozbu pro organizaci:
- Nespokojený zaměstnanec – Osoba, která má pocit, že s ní podnik zacházel nespravedlivě, byla vyřazena z důvodu povýšení, byla jí odepřena mzda nebo výdaje za přesčasy nebo chová zášť vůči nadřízenému nebo vedoucímu sekce.
- Leaver – Osoba, která se nechala odlákat konkurenčním podnikem, může být přiměje k tomu, aby si s sebou vzala obchodní data ve prospěch nového zaměstnavatele.
- Pátý fejetonista – Zaměstnanec, který je politicky zaujatý vůči společnosti a jejím aktivitám a snaží se podkopat ziskovost nebo životaschopnost podniku.
- Manipulovaný jedinec – Někdo, kdo je vystaven sociálnímu nebo morálnímu tlaku, aby pracoval proti zájmům podniku.
- Nedbalý zaměstnanec – Někoho, kdo nemá v úmyslu sabotovat obchod nebo zveřejnit informace, ale způsobí škodu tím, že z nedbalosti nedodrží osvědčené postupy a pravděpodobně bude nediskrétní s přístupovými údaji k datům nebo systému.
- přehnaně utrácet – Osoba, která potřebuje více peněz, než vydělává, a může se snažit vydělat peníze prodejem firemních dat.
- Bývalý zaměstnanec – Osoba, která opustila společnost, ale jejíž přístup do systému nebyl zrušen.
- Informátor – Osoba, která se snaží získat morální odměnu tím, že odhalí obchodní tajemství společnosti.
Minimalizace vnitřních hrozeb
Před přiblížením detekce vnitřní hrozby , organizace potřebuje zavést systémové kontroly, které znesnadňují dosažení krádeže dat nebo poškození systému. Minimalizace potenciálu pro jednání zaměstnanců je první fází řízení vnitřních hrozeb .
Strategie pro snížení potenciálu vnitřních hrozeb spadá do dvou kategorií:
- Správa identity a přístupu (IAM)
- Prevence ztráty dat (DLP)
Tato dvě témata jsou podrobně vysvětlena níže.
Správa identity a přístupu
Správa identit zahrnuje vytváření uživatelských účtů, které lze následně aplikovat na zdroje. Správa uživatelských účtů je účinným odstrašujícím prostředkem proti vnitřním hrozbám, pokud je důkladně implementována.
Správa identity úkoly zahrnují vytváření úrovní a typů uživatelů. To vyžaduje definici různých typů přístupu vyžadovaných různými obchodními rolemi. Obecná uživatelská populace by měla spadat do jedné kategorie. Tuto kategorii lze dále rozdělit podle oddělení. Takže uživatelé finančního oddělení a personální pracovníci budou potřebovat přístup například na různé softwarové balíčky.
Definováním požadavků různých pracovních pozic může správce systému dospět k sadě uživatelských profilů. Každý profil bude definován softwarem, který uživatelská skupina potřeby, hardwarové prostředky, k nimž budou potřebovat přístup, aby mohli pracovat, a datová úložiště, k nimž tato skupina potřebuje přístup. Profily budou dále upřesněny podle úrovně přístupu k datům, kterou každý potřebuje – pouze pro čtení nebo práva na úpravy.
Uživatelské profily které zahrnují vyšší úrovně oprávnění, by měly být přiděleny velmi omezenému počtu uživatelů. Profily techniků by měly být velmi omezené a ty profily techniků které požívají plných privilegií superuživatele, by měly být přiděleny pouze několika členům organizace.
Prevence ztráty dat
Opatření prevence ztráty dat jsou důležitější pro omezený typ dat. Společnosti ukládají data pouze proto, že jsou užitečná. Některé datové typy jsou však důležitější než jiné. Pokud vaše odvětví podléhá právním omezením týkajícím se zveřejňování údajů nebo průmyslových standardů, jako je např PCI-DSS nebo HIPAA , musíte své nejvyšší úsilí v oblasti prevence ztráty dat zaměřit na typy dat specifikované ve standardech, které je vaše společnost povinna dodržovat.
Prevence ztráty dat zahrnuje vyhledání všech úložišť citlivých dat a umístění dalších sledovacích a ochranných opatření v těchto místech. Vzhledem k tomu, že všechna data v držení podniku jsou důležitá, je třeba sledovat všechny události přístupu k datům.
Řízení vnitřních hrozeb
Řízení vnitřních hrozeb je proces kombinování správa identity a přístupu s prevence ztráty dat .
Neexistuje žádný systém, který by vám mohl poskytnout 100% záruku, že nikdy nebudete trpět vnitřní hrozbou. I když je váš IT systém nejtěsnější možný, stále budete čelit hrozbě tužky a papíru. Kromě účinných vnitřních hrozeb IT kontroly, budete také potřebovat implementovat kontroly fyzického přístupu ve vašich prostorách, profilování zaměstnanců a osobní monitorování zaměstnanců.
Svou strategii řízení vnitřních hrozeb můžete vylepšit implementací monitorování transakcí.
Analýza chování uživatelů a entit
Automatizované monitorovací systémy mohou snadno sledovat každou událost, ke které v IT systému dojde. Identifikace události, která je bezpečnostní hrozbou, je však obtížná. Naštěstí se ozvalo pole působnosti analytika chování uživatelů a entit (UEBA) pomáhá s tímto úkolem.
UEBA je nástroj AI a představuje pokročilý typ strojového učení. Systém UEBA zaznamenává každou transakci, ke které dojde, zejména ty, které zahrnují přístup k datům. Postupem času definuje systém UEBA standardem normálního chování . Jakmile je systém UEBA v provozu dostatečně dlouho, aby bylo možné provést rozumný odhad standardního chování, je snazší odhalit podezřelé chování.
Počítači nemůžete dát pokyn, aby si dával pozor na podezřelou aktivitu, protože je téměř nemožné definovat, co je a co není“ podezřelý .“ UEBA se zaměřuje na vypracování čeho pravidelné chování vypadá a pak vyvolá upozornění, když něco takového odchyluje se z tohoto standardu nastává. Tento nástroj umožňuje specialistům na zabezpečení systému zaměřit se na pravděpodobné vnitřní hrozby, spíše než se snažit sledovat každou jednotlivou transakci.
Protokolování událostí
Protože žádný systém není stoprocentně spolehlivý, je dobré doufat v nejlepší, ale plánovat to nejhorší. Musíte zavést systémy, které vám to umožní vyšetřovat vnitřní hrozby jakmile k nim došlo. I když zavedete velmi přísné kontroly, někdo je může jednoho dne obejít.
Protokolování všeho, co se děje, generuje velké množství dat. nicméně , skladování je velmi levné v dnešní době, takže náklady na uchování všech těchto zpráv protokolu jsou minimální. Pokud jsou v úložišti záznamy všech událostí, lze v nich vyhledávat indikátory útoku. Pokud někdy zjistíte, že se o to někdo zasvěcený snaží ukrást data nebo zjistíte, že právě došlo ke ztrátě dat. Chcete-li se podívat na všechny minulé aktivity tohoto uživatele, musíte prohledávat protokoly, protože je nepravděpodobné, že jste ji náhodou chytili při jejím prvním pokusu.
Pokud potřebujete ukázat dodržování podle standardu zabezpečení dat je protokolování událostí požadavkem, nikoli možností.
Třídění
Třídění zahrnuje zaměření vašeho úsilí na nejpravděpodobnější zdroj hrozby. UEBA a automatické sledování aktivity vám pomohou identifikovat pravděpodobně škodlivé uživatelské účty. Jakmile jsou tito kandidáti identifikováni, měli byste jejich činnost velmi pečlivě prozkoumat. Nemůžete vyhodit někoho kvůli podezření ze škodlivé činnosti; potřebujete důkaz.
Ovládání dokumentů
Dokumenty a prezentace obsahují nejen data, ale jsou klíčovou metodou sdílení podnikových strategií. Elektronické soubory lze snadno zkopírovat a odeslat e-mailem nebo vynést z budovy na paměťovou kartu.
První vrstvou ochrany proti krádeži dat prostřednictvím dokumentů je skenování všech odchozí e-maily pro připevnění a blok USB zásuvky na pracovních stanicích.
Ne všechny přílohy e-mailů jsou pokusy o krádež dat – je uznávanou obchodní praxí zasílat nabídky, objednávky, faktury, návrhy, prodejní nabídky a účtenky jako přílohy. Proto musí být skenování odchozích příloh sofistikované.
Další obranná linie pro kontrolu dokumentů spočívá v otisky prstů . Pokud dojde k úniku klíčových dokumentů, mělo by být snazší dohledat odpovědného zasvěcence, pokud všechny systémy přístupu k dokumentům a jejich distribuce označí každou kopii identifikátorem.
Řízení toku dat
V rámci systémů prevence ztráty dat, citlivých údajů je umístěn a sledován s přísnějšími kontrolami. Tyto kontroly by měly věnovat zvláštní pozornost jakémukoli pokusu o odeslání těchto typů dat připojených k e-mailu nebo jejich zkopírování na paměťovou kartu. To platí třídění pro sledování pohybu dat.
Sledování činnosti
Všechny výše uvedené strategie řízení vnitřních hrozeb spoléhají na sledování aktivity. Je třeba používat analytické nástroje protokolování událostí systémy, aby spojily řadu akcí, které by mohly přispět ke ztrátě dat. Důvodem je, že krádež dat obvykle zahrnuje několik kroků. Každý z těchto kroků v izolaci se může zdát neškodný. Krádež se projeví pouze tehdy, když jsou tyto události propojeny.
K tomu přispívají všechny výše uvedené prvky efektivní strategie monitorování činnosti . Kontroly uživatelských účtů implementované prostřednictvím strategie správy identity a přístupu omezují účty, které je třeba důkladně monitorovat. Techniky prevence ztráty dat, které identifikují úložiště citlivých dat, umožňují monitorům aktivity vědět, na které části systému se zaměřit.
Pokud tedy uživatelský účet s vysokými oprávněními přistupuje k úložišti citlivých dat, máte aktivitu, kterou je třeba pečlivě sledovat. Co ten uživatelský účet dělá další je velmi důležité. Nechcete zcela zablokovat přístup k citlivým datům, protože tato data jsou uložena pro referenci a bez nich by mnoho oddělení vaší společnosti přestalo fungovat. Nechcete zablokovat ani tyto superuživatelské účty – byly vytvořeny z nějakého důvodu.
Využití monitorování aktivity třídění vypnout monitor, když dojde k přístupu k citlivým datům, spustit poplach, když se následná akce vymyká běžnému vzorci pracovního chování (stanoveného UEBA), a použít kontrolu a vyšetřovací postupy které prohledávají protokoly událostí.
Nástroje pro správu vnitřních hrozeb
Musíte chránit spoustu dat a sledovat spoustu aktivit. To vše samozřejmě nemůžete udělat ručně. Naštěstí lze implementovat celou vaši strategii řízení vnitřních hrozeb jen několik specializovaných nástrojů . Zde jsou dva nástroje, které demonstrují, jak mohou dvě oblasti specializace pokrýt všechny úkoly, které musíte provádět ve vašem systému detekce vnitřních hrozeb.
Nejsou to jediné nástroje ve svých oborech, ale považujeme je za nejlepší.
Endpoint Protector od CoSoSys (VSTUP ZDARMA DEMO)
Endpoint Protectorje prevence ztráty dat systému, který je hostován v cloudu. Ochrana před vnitřní hrozbou je klíčovou službou v tomto bezpečnostním systému. Služba Endpoint Protector implementuje tři strategie pro blokování vnitřních hrozeb: sledování aktivity zařízení, klasifikace citlivosti dat a monitorování využití aplikací.
Systém Endpoint Protector monitoruje spuštěná zařízení Okna , Operační Systém Mac , a Linux . Kontroluje USB sloty, aby sledoval přenos souborů a může blokovat kopírování určitých souborů. Hodnocení, které soubory vyžadují speciální kontroly, vychází z a klasifikace dat Systém. Poté nastavte bezpečnostní politiky související s různými klasifikacemi dat.
Systém vytváření bezpečnostní politiky dokáže rozlišovat mezi obchodními odděleními, skupinami uživatelů nebo stavy uživatelů. Určitým lidem v konkrétním oddělení by tedy bylo umožněno přenášet kategorii souborů, zatímco ostatní uživatelé by to měli zároveň blokováno od provádění takových akcí.
Aplikace kontroluje v Endpoint Protector aktivity prováděné v Microsoft Outlook , Skype , a Dropbox . Služba může také sledovat data odesílaná do tiskáren. Všechny kanály pro zveřejňování dat jsou tedy hlídány – paměťové karty, e-maily, chatovací aplikace, tiskárny a přenosy souborů.
Endpoint Protector je nabízen jako a SaaS Systém. Balíček si můžete zvolit jako službu AWS , GCP nebo Blankyt servery. Je také možné získat software pro Endpoint Protector a nainstalovat jej na svůj vlastní systém jako virtuální zařízení .
Klady:
- Může zabránit vnitřním hrozbám prostřednictvím různých funkcí
- Vlastní zásady zabezpečení mohou být založeny spíše na uživateli než na počítači
- Automaticky vyhodnocuje riziko na základě zranitelností nalezených v koncovém bodě
- Dokáže upozornit na nesprávný přístup k souborům nebo na vnitřní hrozby (funguje jako řešení DLP)
- Zabraňuje krádeži dat a útokům BadUSB prostřednictvím nastavení ovládání zařízení
Nevýhody:
- Rádi byste viděli zkušební verzi dostupnou pro testování
Můžete požádat o přístup k bezplatné ukázce, abyste mohli službu bez rizika posoudit.
Ukázka přístupu k Endpoint Protector ZDARMA
Správce událostí zabezpečení SolarWinds (ZKUŠEBNÍ ZKOUŠKA ZDARMA)
The Správce bezpečnostních událostí z SolarWinds je kategorie bezpečnostního softwaru tzv SIEM . Shromažďuje a prohledává zprávy protokolu a hledá hrozby – jak vniknutí, tak vnitřní hrozby.
Zprávy protokolu jsou generovány neustále a jejich čtení poskytuje zdroj dat o živé aktivitě . Správce událostí zabezpečení shromažďuje zprávy protokolu ze všech částí systému a vkládá je do společného formátu. To umožňuje SIEM prohledávat hledané protokoly korelace událostí – vzory různých událostí, které se kombinují, aby naznačovaly narušení bezpečnosti.
SEM používá UEBA vytvořit základní linii normálního chování, proti které lze identifikovat anomálie. Když je detekována událost potenciální hrozby zasvěcených osob, SEM vyvolá výstrahu a upozorní na daný uživatelský účet. Všechny záznamy protokolu jsou uloženy, aby bylo možné je aktivovat historická analýza . Jakmile je tedy uživatelský účet identifikován jako zobrazovaný Podezřelé chování lze vyvolat všechny aktivity tohoto uživatele až do tohoto okamžiku.
Security Event Manager je schopen implementovat reakce na incident akce automaticky. Může pozastavit účet, vysunout paměťovou kartu, zablokovat všechny odchozí e-maily od uživatele a odhlásit tohoto uživatele ze systému. Možnost spouštění automatických odpovědí je na správci systému – alternativním přístupem by bylo nechat systém vyvolat výstrahy a po provedení další analýzy nechat odpověď na osobě s rozhodovací pravomocí.
Klady:
- SIEM zaměřený na podniky se širokou škálou integrací
- Jednoduché filtrování protokolů, není třeba se učit vlastní dotazovací jazyk
- Desítky šablon umožňují správcům začít používat SEM s malým nastavováním nebo přizpůsobením
- Snadné použití a přizpůsobení uživatelského rozhraní
- Nástroj historické analýzy pomáhá najít anomální chování a odlehlé hodnoty v síti
Nevýhody:
- SEM je pokročilý produkt SIEM vytvořený pro profesionály, vyžaduje čas, aby se plně naučil platformu
SolarWinds Security Event Manager se nainstaluje na Windows Server a je k dispozici na 30denní bezplatnou zkušební verzi.
SolarWinds Security Event Manager Stáhněte si 30denní zkušební verzi ZDARMA
Teramind DLP
Teramind DLP je prevence ztráty dat systém, který má šablony pro přizpůsobení svých operací podle konkrétních standardů zabezpečení dat. Jedná se o vynikající nástroj systému ochrany před hrozbami zasvěcených osob pro podniky, které se musí řídit PCI DSS , HIPAA , ISO 27001 , a GDPR standardy.
Jak název napovídá, Teramind DLP se zaměřuje na ochranu dat. Je ideální pro blokování vetřelců a vnitřních hrozeb. Nástroj zahájí svou službu hledáním všech datových úložišť v celém IT systému. Poté prohledá každé datové umístění pro konkrétní typy dat a kategorizuje je. To službě umožňuje zaměřit se na konkrétní data, zejména na typy informací, které má daný standard zabezpečení dat chránit.
Vyhledávání citlivých dat pokračuje po celou dobu životnosti systému. Všechny události související s identifikovanými citlivými údaji jsou sledované a přihlášené . Při sledování datových úložišť systém také vše analyzuje uživatelské účty . Realizuje UEBA získat celkový přehled o běžné činnosti, aby pak mohl identifikovat anomální chování. Neobvyklé aktivity, které se dotýkají citlivých dat, přirozeně generují upozornění.
Kromě monitorování dat a uživatelů služba kontroluje datové přenosy přes síť, v e-mailech a na paměťových klíčích. Jakákoli neoprávněná aktivita bude zablokována. Součástí systému jsou i vyšetřovací nástroje pro analýza historických dat a metody odezvy plus sledovací systémy, jako je záznamník úhozů, který lze použít na podezřelé uživatelské účty.
Teramind DLP zabraňuje ztrátě dat, monitoruje události krádeže dat a poté, co k nim došlo, prošetřuje události. Jedná se o kompletní systém ochrany dat pro řízení vnitřních hrozeb .
Klady:
- Vysoce vizuální reporting a monitorování v reálném čase
- Vytvořeno s ohledem na dodržování předpisů a nabízí předem nakonfigurované sestavy
- Překračuje rámec monitorování souborů s možnostmi pro aktivní monitorování relace a keylogging
- Je velmi komplexní – ideální pro složité sítě a podniky
Nevýhody:
- Platforma se o to snaží všechno, což může být ohromující pro ty, kteří chtějí používat pouze nástroje pro detekci zasvěcených hrozeb
- Tato platforma má ve srovnání s konkurenčními produkty strmější křivku učení