Vnútorné hrozby zostávajú jedným z najnáročnejších bezpečnostných problémov, ktorým dnes organizácie čelia. Tieto hrozby zvyčajne najskôr nevykazujú zjavné varovné signály.
Namiesto toho sa odhaľujú prostredníctvom malých, nezvyčajných činností, ktoré sa často prelínajú s bežnými každodennými operáciami.
Mnohé spoločnosti majú problém identifikovať tieto včasné indikátory, pretože sa vyskytujú v rámci legitímnych používateľských účtov a schválených systémov.
Bez riadneho monitorovania a analýzy zostanú tieto varovné signály nepovšimnuté, kým už nedôjde k vážnemu poškodeniu, vrátane straty údajov, poškodenia značky alebo narušenia systému.
Hlavná výzva pri odhaľovaní vnútorných hrozieb pramení zo základného problému pripisovania. Keď zamestnanec pristupuje k podnikovým systémom alebo presúva údaje medzi autorizovanými miestami, jeho konanie sa javí úplne normálne.
Tradičné bezpečnostné nástroje sa zameriavajú na blokovanie zjavných hrozieb, ale často im chýbajú jemné vzorce správania, ktoré naznačujú zlý úmysel.
Táto priepasť sa ešte zväčší, keď sa organizáciám nepodarí prepojiť to, čo sa deje vo vnútri ich siete, s aktivitami, ktoré sa vyskytujú vonku, ako sú napríklad zamestnanci komunikujúci na tmavých webových fórach alebo predaj firemných tajomstiev konkurentom.
Bezpečnostní analytici spoločnosti Nisos poznamenali, že zmysluplné indikátory vnútorných hrozieb sa často objavujú týždne alebo dokonca mesiace predtým, ako dôjde ku skutočnej krádeži údajov alebo ohrozeniu systému.
Tieto indikátory sú jasnejšie, keď organizácie skúmajú viaceré zdroje údajov spoločne, pričom kombinujú interné protokoly aktivít s externými informáciami získanými z verejných zdrojov.
Varovné signály
Výskum identifikuje šesť kritických varovných signálov, ktorým musia bezpečnostné tímy porozumieť a pozorne ich monitorovať.
Tu sú uvedené nižšie: –
Nezvyčajná autentifikácia a prístupové správanie Pohyb údajov mimo zaužívaných noriem Posuny v digitálnom správaní, ktoré naznačujú záujem o citlivé aktíva Indikátory, ktoré naznačujú plánovanie exfiltrácie údajov Externá aktivita, ktorá je v súlade s vnútornými anomáliami Pokusy skryť aktivitu
Najvýraznejší skorý indikátor sa objavuje v nezvyčajnom správaní autentifikácie a prístupu. Výskumníci spoločnosti Nisos zistili, že zamestnanci, ktorí plánujú ukradnúť údaje, sa často pokúšajú pristupovať k podnikovým systémom z neočakávaných miest, rýchlo sa prihlasovať cez viacero platforiem alebo meniť svoje bežné vzorce časovania prístupu.
Jeden používateľ sa môže náhle prihlásiť z troch rôznych krajín v priebehu niekoľkých hodín alebo pristupovať k súborom v nezvyčajnom čase mimo svojho typického pracovného plánu.
Zatiaľ čo jediné zvláštne prihlásenie môže odrážať bežné služobné cesty, opakované vzorce tohto správania signalizujú, že je potrebné hlbšie preskúmanie.
Tieto akcie často predchádzajú väčším aktivitám zberu údajov, pretože zasvätení musia otestovať, či sa môžu pohybovať v systémoch bez spúšťania automatických upozornení.
Pochopenie týchto anomálií autentifikácie si vyžaduje kontext a koreláciu s inými aktivitami. Organizáciám, ktoré sa zameriavajú výlučne na tieto jednotlivé incidenty, často chýba širší vzorec.
Keď spoločnosti kombinujú nezvyčajné prístupové vzorce s informáciami o zamestnancoch, ktorí diskutujú o ich spoločnosti online alebo sa objavujú v databázach narúšajúcich priestupky, objaví sa oveľa jasnejší obraz.
Tento integrovaný prístup premieňa izolované udalosti na zmysluplné indikátory hrozieb, na základe ktorých môžu bezpečnostné tímy konať skôr, ako dôjde k poškodeniu.
Sledujte nás na Google News, LinkedIn a X a získajte ďalšie okamžité aktualizácie, nastavte CSN ako preferovaný zdroj v Google.
