Виды инсайдерских угроз и методы противодействия им

Современные системы ИБ в первую очередь ориентированы на защиту ИТ-инфраструктур от внешних атак. Но что, если угроза исходит изнутри организации? Предлагаем подробнее рассмотреть виды инсайдерских угроз и способы противодействия.

Инсайдерская угроза — это любая деятельность, угрожающая безопасности и конфиденциальности данных, осуществляемая сотрудниками, партнерами или другими лицами, имеющими легальный доступ к информационным системам организации.

Что делает инсайдерские угрозы столь опасными?

• Легальный доступ: Инсайдеры могут свободно перемещаться по сети, использовать приложения, получать доступ к данным, что значительно затрудняет их обнаружение.

• Невидимость: Самая опасная атака — та, которая проходит незаметно.

• Серьезные последствия: Утечка конфиденциальной информации, финансовые потери, репутационный ущерб, полная остановка бизнес-процессов — это лишь некоторые из возможных последствий инсайдерской деятельности.

Типы инсайдеров

• Преднамеренные: мотивированы личной выгодой, местью или идеологическими мотивами.

• Непреднамеренные: действуют по незнанию, невнимательности или из-за отсутствия должного обучения.

Традиционные методы борьбы с инсайдерскими угрозами

• Разработка политик безопасности: Чёткие правила доступа, использования информации, действий в случае возникновения инцидента.

• Управление доступом: Ограничение доступа к информации и системам, основанное на «принципе наименьших привилегий».

• Обучение сотрудников: Повышение осведомленности о рисках, правилах безопасности, методах защиты от фишинга и других угроз.

• Мониторинг пользовательской активности: Анализ сетевой активности, действий пользователей, поиск подозрительных паттернов или параметров действий.

Ограничения традиционных методов

• Чрезмерный объем данных: Системы анализа событий могут быть перегружены большим количеством информации, что затрудняет выявление реальных угроз.

• Необходимость человеческого вмешательства: Анализ данных и принятие решений требуют участия специалистов, что может быть трудоемким и медленным.

Другие методы

Для преодоления ограничений традиционных методов, современные системы безопасности применяют более продвинутые подходы, такие как психометрический и поведенческий анализ. Эти методы позволяют выявлять изменения в поведении пользователей, которые могут указывать на возможную угрозу.

Правда, в отличие от психометрического анализа, который пока не нашел широкого применения в продуктах информационной безопасности, поведенческий уже прочно вошел в арсенал средств защиты.

Хорошим стартом для работы с ним могут стать UEBA-модули, расширяющие функционал классических систем защиты информации. Подобные решения можно встретить в отечественных SIEM-системах и продуктах класса DLP. Так, модуль поведенческого анализа в нашем SIEM Alertix «из коробки» позволяет отслеживать около 50 типов аномалий, связанных с сетевым трафиком и пользовательской активностью.

Если бизнесу нужны средства поведенческого анализа с большей «самостоятельностью», чем UEBA-модули классических СЗИ, стоит обратить внимание на аналитические платформы с функциями профилирования по множеству параметров с применением алгоритмов машинного обучения. При выборе продукта важно оценить количество используемых функций, а также с какими данными и источниками она может работать.

Наша аналитическая платформа Dataplan со встроенным модулем UEBA выявляет признаки инсайдерской деятельности, компрометации учетных данных, обхода политик безопасности и других признаков скрытых действий злоумышленника. Платформа дает возможность собрать только необходимые для анализа поведения объектов данные, подключить не только средства защиты информации, но и разные прикладные системы. Модуль поведенческой аналитики выполняет оценку параметров поведения объектов контроля, автоматически формирует границы нормального поведения (без необходимости внесения жестких ограничений вручную), выявляет отклонения и оповещает о них службу безопасности. Таким образом, выявление инсайдерских угроз выполняется не только по данным средств защиты информации, но и по данным об устоявшихся паттернах поведения пользователей и обнаруженных в них отклонениях. Кроме того, механизмы модуля Role Mining позволяют оценивать привилегии пользователя по отношению к другим коллегам аналогичных должностей или подразделений, а выявленные отклонения помогут убрать излишний доступ для предотвращения как преднамеренного, так и непреднамеренного доступа к чувствительным данным.

Важно понимать, что UEBA-алгоритмы в первую очередь обогащают инцидент или подозрение на инцидент контекстом. Принимать решения только на основе изменений поведенческих профилей было бы опрометчиво, поэтому не следует забывать и про классические вышеупомянутые средства защиты. Кроме того, почти все платформы способны генерировать сообщения об аномалиях, так называемые "алерты", и делиться ими со смежными системами. Таким образом, у специалистов ИБ появляется возможность выстраивать более сложную детектирующую логику, например, включив уведомление о конкретных аномалиях в правила корреляции своей SIEM-системы. Такой подход при правильном использовании способен значительно сократить количество false-positive срабатываний и, как следствие, снизить нагрузку на аналитический штат.