Anonim
Sergey Nivens / Shutterstock

Banyak sistem keselamatan direka dengan matlamat utama: untuk mencegah penggodam masuk ke dalam rangkaian. Itu permulaan yang baik kerana, menurut Laporan Penyiasatan Pelanggaran Data Verizon 2018, hampir 75 peratus daripada pelanggaran data dan serangan datang dari luar.

Walau bagaimanapun, ini juga bermakna satu perempat daripada ancaman keselamatan datang dari dalam organisasi. Ancaman ini sukar untuk mempertahankan diri, kerana mereka datang dari orang-orang yang telah membenarkan akses ke rangkaian dan data dan tingkah lakunya tidak memadamkan bendera merah. Namun, orang dalam dapat melakukan kerosakan yang serius terhadap perniagaan, secara kewangan dan reputasi.

Apakah ancaman orang dalam?

Ancaman insider datang dalam bentuk yang berbeza. Pertama adalah ancaman insider yang tidak disengajakan, yang berlaku apabila pekerja membuat kesilapan yang tidak bersalah. Ia boleh mengklik pada pautan berniat jahat dalam e-mel pancingan data, menghantar e-mel yang sensitif kepada orang yang salah atau meninggalkan komputer riba tanpa pengawasan. Pekerja itu tidak mendatangkan mudarat kepada syarikat, tetapi ia membuat insiden keselamatan.

Orang dalam berniat jahat adalah pekerja yang bererti menyebabkan bahaya. Orang-orang ini sengaja memanipulasi atau mencuri maklumat syarikat atau sabotaj rangkaian.

Kemudian terdapat orang dalam yang mempunyai keizinan akses tetapi tidak seharusnya . Bekas pekerja jatuh ke dalam kategori ini. Mereka meninggalkan tugas mereka, tetapi jabatan IT tidak membatalkan kebenaran, memberi bekas pekerja itu bebas untuk mengakses bekas akaun. Penjual dan perunding pihak ketiga, serta pekerja semasa, juga boleh dimuatkan ke dalam ancaman insider jenis ini. Mereka dibenarkan di kawasan tertentu rangkaian tetapi menggunakan kebenaran mereka untuk mengakses pangkalan data dan fail yang tidak dibenarkan. Sekali lagi, aktiviti-aktiviti ini tidak semestinya berniat jahat, tetapi ini bermakna data telah dilanggar, yang boleh mendatangkan kerugian kewangan kepada syarikat dengan peraturan privasi data yang ketat baru.

Ancaman insider datang dengan kos. Menurut Anugerah Insider Insan 2018 di Institut Ponemon: Global, kejadian kecuaian oleh seorang insan berharga $ 283, 000 secara purata. Sekiranya ancaman itu melibatkan kelayakan yang dicuri, kos tersebut meningkat kepada lebih daripada $ 600, 000 setiap insiden. Semakin besar syarikat, semakin banyak biaya untuk meringankan ancaman.

Insiden keselamatan insan menyebabkan kehilangan maklumat proprietari dan sulit dan boleh merosakkan reputasi organisasi, tetapi kebanyakan kes dapat dicegah. Mari kita lihat kedua-dua penyelesaian berteknologi tinggi dan berteknologi tinggi.

Penyelesaian tidak berteknologi

Jadi, di manakah anda bermula? Anda boleh mula menghalang isu ancaman orang dalam dengan melaksanakan langkah-langkah berikut:

  • Buat dasar penggunaan data.
  • Mendidik pekerja.
  • Semak hak istimewa pengguna secara berkala.
  • Mewujudkan budaya akauntabiliti dengan pengurus.

Dasar penggunaan data, biasanya sebahagian daripada dasar penggunaan yang boleh diterima (AUP), menyatakan apa yang pekerja boleh dan tidak boleh lakukan dengan maklumat yang dimiliki oleh atau diamanahkan kepada organisasi, merujuk kepada keselamatan, privasi dan pengurusan yang tepat. Pekerja mesti dibentangkan dengan dasar penggunaan data dan berpendidikan atas tujuan perlindungan data dan privasi, dan akibat melanggar peraturan.

Berkenaan dengan keistimewaan pengguna, "salah satu yang paling penting - dan paling sering diabaikan - mengawal semakan akaun pengguna yang kerap, " kata profesor pengajaran IT, analisis dan operasi di University of Notre Dame, Mike Chapple. "Ulasan ini harus mengawasi akaun yang tidak perlu yang tidak dilumpuhkan dan untuk kebenaran diberikan kepada akaun yang tidak diperlukan lagi. Keajaiban hak adalah salah satu isu utama yang membawa kepada serangan orang dalam."

Menurut Jeff Jenkins, naib presiden dan ketua pegawai keselamatan internet untuk First Advantage, satu lagi penyelesaian berteknologi yang tidak efektif adalah untuk mewujudkan budaya akauntabiliti dengan pengurus melalui pengakuan atau pengesahan, memastikan mereka memahami tanggungjawab mereka terhadap tindakan kakitangan mereka.

"Dari perspektif yang lebih positif, ia juga berguna untuk melibatkan pengurus kakitangan untuk membantu dalam latihan, pemantauan dan penguatkuasaan tingkah laku yang wajar dari pekerja mereka, " katanya.

Penyelesaian berteknologi tinggi

Sekiranya organisasi anda mempunyai belanjawan untuk melabur dalam penyelesaian teknologi untuk melindungi daripada ancaman orang lain, ini adalah antara yang paling berkesan:

  • Pencegahan kehilangan data (DLP)
  • Pengurusan identiti dan akses (IAM)
  • Pemantauan aktiviti pengguna (UAM)
  • Entiti pengguna dan analisis tingkah laku (UEBA)

DLP, menurut Chapple, "memantau rangkaian untuk tanda-tanda pengaliran masuk yang tidak dibenarkan terhadap maklumat sensitif. DLP boleh menangkap data yang sepadan dengan corak yang jelas, seperti nombor kad kredit atau nombor Keselamatan Sosial, dan juga dapat melihat fail yang sesuai dengan tandatangan harta intelek sensitif. "

Pentadbir IT menggunakan IAM untuk mengawal akses pengguna ke sistem, aplikasi dan dokumen yang selamat, biasanya melalui penggunaan tanda tunggal. Pengguna boleh log masuk ke SSO dan diberikan akses kepada pelbagai aplikasi pada rangkaian.

UAM memantau persekitaran IT organisasi dan mengumpul data aktiviti pengguna masa nyata, seperti e-mel dan muat naik internet dan muat turun. Untuk menjadi berkesan, penyelesaian UAM biasanya berfungsi dengan beberapa jenis maklumat keselamatan dan sistem pengurusan peristiwa (SIEM) untuk menghantar peringatan kepada pentadbir apabila timbul sesuatu yang mencurigakan.

Penyelesaian UEBA merangkak sejumlah besar data yang dikumpulkan dari log IT dan data dari aplikasi rangkaian dan titik akhir untuk mencari corak tingkah laku yang tidak normal, yang mungkin menunjukkan ancaman orang dalam. Jenis penyelesaian ini agak mahal dan memerlukan beberapa kepakaran di pihak kakitangan IT dalam memecahkan amaran dan laporan.

"Walaupun UAM, IAM dan UEBA pastinya teknologi yang lebih umum yang digunakan oleh pemimpin keselamatan atau mempertimbangkan untuk mengesan ancaman orang dalam, sukar untuk mengabaikan beberapa teknologi asas … seperti segmentasi rangkaian, DLP dan pembatasan endpoint (mengehadkan hak admin, melarang peranti USB, dll) untuk membantu memerangi pekerja daripada menyalahgunakan sistem atau data, "kata Jenkins. "Organisasi yang serius menghalang ancaman orang dalam harus memberi pertimbangan kepada semua bentuk kawalan keselamatan, pencegahan dan detektif, walaupun langkah-langkah yang lebih lama dan lebih seperti sekatan endpoint tidak dianggap popular oleh pekerja."

Jenkins juga memberi amaran terhadap hak privasi pekerja, terutamanya di negara-negara di luar AS. "Terdapat beberapa cabaran mengenai penggunaan kawalan untuk membatasi ancaman insider, iaitu untuk syarikat-syarikat global yang menjalankan perniagaan di EMEA atau negara-negara APAC. kawasan tersebut melihat keselamatan atau hak syarikat untuk memantau aktiviti komputer pekerja boleh menyebabkan kesulitan, dari pekerja yang salah faham tanggungjawab keselamatan mereka kepada ketidakupayaan untuk menggunakan beberapa kawalan yang disyorkan. Organisasi harus meneroka cabaran ini dengan lebih baik sebelum cuba melancarkan langkah keselamatan di lokasi antarabangsa. "