Инсайдерская угроза — риск причинения ущерба организации людьми, которые находятся внутри контура безопасности. К таким людям — их называют инсайдерами — могут относиться как бывшие или действующие сотрудники самой компании, так и специалисты подрядчиков или партнеры, то есть все, кто имеет доступ к конфиденциальной информации и критической инфраструктуре компании.
Инсайдеры могут быть как злонамеренными, так и просто неосторожными. Например, сотрудник, потерявший флешку с секретными данными, — тоже инсайдер. Подробнее о классификации инсайдеров рассказано в «Базе знаний».
Опасность инсайдерской угрозы
Инсайдеры имеют легитимный доступ в компьютерную сеть компании, который нужен им, чтобы выполнять свои обязанности, и средства безопасности не рассматривают их как угрозу. Чтобы получить доступ к данным, им не требуется взламывать чужие аккаунты и обходить средства защиты периметра (межсетевые экраны и антивирусные программы). Используя свое положение, инсайдеры могут изучить действующие в организации политики безопасности и узнать их слабые места.
Какой вред организации может нанести инсайдер:
- Украсть конфиденциальную информацию и передать ее конкурентам.
- Обнародовать персональные данные, подпадающие под действие государственных регламентов.
- Уничтожить информацию, критически важную для работы компании.
- Установить и запустить вредоносные программы.
- Отключить или вывести из строя ИБ-системы для упрощения внешней атаки.
Чаще всего действия инсайдеров приводят к утечке данных.
Борьба с инсайдерскими угрозами
Бороться с инсайдерскими угрозами нужно на двух уровнях:
- организационном — обучать сотрудников и разрабатывать инструкции по безопасности. Уменьшить ущерб от деятельности инсайдера помогут политики нулевого доверия и регулярный аудит прав доступа;
- техническом — применять для предотвращения утечек DLP-системы (Data Leak Prevention). Такие программы анализируют отправляемые документы и блокируют передачу файлов с конфиденциальными сведениями. При помощи решений класса UEBA (User and Entity Behavior Analytics) можно вовремя выявить аномальное поведение пользователя и отозвать у него права доступа.