تهدیدات داخلی، چه از طرف کارکنان شرکتها (فعلی و سابق) و چه از طرف پیمانکاران، خطری بزرگ برای امنیت کسبوکارها به حساب میآیند. کاربران داخلی به سیستمها دسترسی داشته و با اطلاعاتی که در اختیار دارند قادرند فعالیت کسبوکارها را متوقف کنند.
رویداد رخ داده در شرکت تسلا را میتوان به عنوان نمونهای ناگوار از وقوع یک تهدید داخلی در نظر گرفت؛ جایی که یک کارمند ناراضی با استفاده از دسترسیهای خود مقادیر زیادی از دادههای بسیار حساس را به شخص سوم ناشناخته منتقل کرد.
زمانی که به تهدیدات داخلی فکر میکنیم، اغلب کارکنان ناراضی که قصد انتقامگیری از کارفرمای (سابق) خود را دارند متصور میشویم (مانند رویداد رخ داده در تسلا)؛ اما در واقعیت بخش عظیمی از این تهدیدات توسط اشتباهات غیرعمدی مانند کلیک روی یک لینک مخرب یا باز کردن ایمیلهای فیشینگ[۱] رخ میدهد.
در هر صورت، کشف تهدیدات داخلی میتواند بسیار دشوار باشد. نتیجه یک نظرسنجی اخیرا برگزار شده بیانگر این است که حدود دو سوم از متخصصان IT اعتقاد دارند احتمالا دسترسی کارکنان (به طور مستقیم یا غیرمستقیم) در یک سال گذشته در سازمان آنها منجر به Breach شده است. ۵۸ درصد نظردهندگان، تهدید سوءاستفاده از دسترسی داخلی را به عنوان یک مساله حیاتی امنیت در نظر گرفته و با آن برخورد کردهاند.
با توجه به این موارد، سازمانها چگونه میتوانند اطمینان حاصل کنند که به طور موثر از خود در برابر این خطر محافظت میکنند؟ در ادامه این مطلب چند نکته کلیدی در راستای مبارزه با تهدیدات داخلی بیان خواهد شد.
کنترل یا حذف ضمائم ایمیلها و لینکهای موجود در آنها.
ایمیلها ابزار اصلی مورد استفاده در حملات امروزی هستند. در حالیکه پیام یک ایمیل ممکن است به خودی خود بیخطر باشد، چنین مسالهای در مورد ضمائم و لینکهای موجود در آن پیام صادق نیست. ارائهکنندگان محصولات امنیتی امروزه ارزیابی وجود بدافزار در لینکها و ضمائم را به صورت بلادرنگ ارائه کرده و میتوانند ضمائم مشکوک را قرنطینه کرده و از اتصال به لینکهای خطرناک جلوگیری کنند.
مدیریت و کنترل دسترسی مناسب برای دادهها و سیستمهای حیاتی.
اجازه دسترسیهای مبتنی بر نقش، حذف دسترسیهای مدیریتی و اصل حداقل بودن اختیارات ابزارهای مفیدی در این راستا هستند. با تعامل با تیم منابع انسانی و مدیران کسبوکار به درک نقشهای کاربری پرداخته و نوع دسترسی به دادهها و Applicationهایی که آنها برای انجام کارهایشان نیاز دارند را مشخص کنید. پس از انجام این موارد، تنها لازم است به کاربران بر اساس نقش آنها سطح دسترسی اختصاص دهید. از مزایای راهکارهای Identity Governance و Privileged access management (PAM) برای مدیریت موثر اجازههای دسترسی مبتنی بر نقش (برای اختصاص، تغییر یا حذف نقشها) استفاده کنید.
محل دادههای خود را بدانید.
یک نکته مهم دیگر در راستای نکته قبل دانستن محل قرارگیری دادههای حساس و ضروری در سیستم است. در صورتی که ندانید که این دادهها در کجا قرار دارند چگونه میتوانید با استفاده از سطح دسترسی مناسب از آن محافظت کنید؟!
بر رفتار کاربران نظارت کرده و به دنبال ناهنجاریها بگردید.
نظارت بر رفتار کاربران میتواند در سطوح مختلفی مانند استفاده از نرمافزارهای Action monitoring صورت گیرد. جستجوی کارکنانی که به کپیبرداری بیش از حد از دادهها پرداخته یا مداوما اقدام به دیدن فایلها یا دایرکتوریهایی کرده که به آنها دسترسی ندارند، در این راستا مفید است.
علاوهبراین، آموزش کارکنان برای جستجوی تغییر رفتاری در همکاران خود مناسب است.
برای مثال، به آنها بیاموزید که نشانههای مشکلات مالی و عاطفی که میتواند منجر به یک حمله به سیستمهای شرکت شود چه هستند؟
سازمانها نیاز دارند تا به دنبال نشانههای ساده بهمخاطرهافتادگی مانند کپی یا تغییر حجم زیادی از دادهها یا حتی ایجاد حسابهای کاربری جدید بدون دنبال کردن فرایند مستند شده بدین منظور بگردند.
افزایش هوشیاری امنیتی.
در نهایت به طور مداوم به آموزش هوشیاری امنیتی کارکنان پرداخته و آن را به عنوان بخشی جداییناپذیر از فرهنگ شرکت در نظر بگیرید. مسلما شرکتی که با کارکنان خود برای اطمینان از هوشیاری امنیتی همکاری میکند از شرکتی که تنها برای اهداف انطباق با الزامات به این امر میپردازد، بهتر عمل کرده و نتایج بهتری به دست خواهد آورد.
سخن پایانی
زمان ارزیابی حمله، تحقیق در مورد رقبا و بررسی تهدید از سوی سازمانهای مجرم یا متخاصمین خارجی، بهآسانی میتوان نتیجه گرفت که حملات خارجی باید محور اصلی در دفاع سایبری باشد؛ اما این نتیجهگیری اغلب اشتباه است. مؤلفه حیاتی در بررسی یک تهدید منبع تهدید نبوده بلکه آسیبهای بالقوهای است که میتواند وارد کند. با ارزیابی تهدیدها از این دیدگاه، مشخص خواهد شد که هرچند ممکن است اکثر حملات از خارج سازمان وارد شوند اما جدیترین آسیبها با کمک کاربران داخلی انجام میشود.
[۱] Phishing