Významným bezpečnostním problémem jsou hrozby pocházející od vlastního personálu. Mnoho let byla primárním cílem zabezpečení ochrana hranice – zabránit lidem zvenčí dostat se dovnitř a páchat škody.
Statistiky však ukazují, že více rizika existuje uvnitř organizace. Samozřejmě že mnoho regulačních předpisů vyžaduje monitoring systémů, aby se mohla identifikovat a eliminovat hrozba od vlastních zaměstnanců.
Podle analytiků Forresteru stojí za 58 procenty úniků interní incidenty nebo ataky z organizace obchodního partnera. IBM Cyber Security Intelligence Index 2015 zase uvádí, že 55 procent útoků pochází od vlastního personálu.
Mike McKee, šéf společnosti ObserveIT, uvádí některé rady, aby organizacím pomohl rychle najít všechny nesrovnalosti pocházející přímo z firemní sítě.
1. Vytvořte proaktivní program ochrany před interními hrozbami
Klíčové prvky takového programu by měly zahrnovat:
- Tým složený z různých oddělení včetně personálního oddělení, oddělení IT, CSO a vedení společnosti.
- Školení zaměstnanců o zásadách kybernetického zabezpečení a posílení těchto zásad. Oznámení v reálném čase v okamžiku narušení by mělo být klíčovou složkou vzdělávacího programu kybernetického zabezpečení.
- Řešení pro monitorování uživatelských aktivit, které bude sledovat aktivity privilegovaných uživatelů, zaměstnanců s vysokým rizikem, vzdálené dodavatele a každého, kdo má přístup k vašim systémům a datům. Mělo by sledovat a vizualizovat riziko a chování uživatelů v průběhu času kvůli rychlejší a snadnější detekci interních hrozeb.
2. Dejte pozor na přístup privilegovaných osob
Zajistěte jednoznačné záznamy (včetně audiovizuálních) toho, co se stalo předtím, během a poté, co se objevilo varování. Zkracuje to MTTR (střední doba do vyřešení problému) a poskytuje to organizacím nevyvratitelné důkazy, které mohou být nezbytné pro vykonání příslušných opatření.
Organizace obvykle mají dobrý přehled serverových statistik, přístupových protokolů a informací o výkonu, času provozu a systémových událostech. Často však chybějí důkazy a identifikace, kdo měl přímý fyzický přístup k serveru.
Vytvořte oprávnění pro jednotlivé účty a nepoužívejte žádné sdílené přihlašovací účty. Použijte pro IT tiketový systém, abyste zajistili vysokou důležitost veškerých aktivit souvisejících se servery.
3. Pravidelně kontrolujte přístupová oprávnění zaměstnanců
Zrušte veškerá oprávnění, která zaměstnanci nepotřebují ke své práci. Kromě toho uvažte omezení používání aplikací pro vzdálené přihlášení a aplikací cloudového úložiště pro podnikové účty.
Některé organizace dělají tuto kontrolu ročně, ale častější kontrola (čtvrtletní nebo měsíční) může interní hrozby pomoci zmírnit.
4. Monitorujte všechna místa možného úniku dat
Díky monitorování aktivit uživatelů a možnosti přehrávání videa není nutné používat protokoly událostí k prošetřování rozsáhlých tiskových úloh z počítačů, přenášení dat přes disky USB, odesílání na cloudová úložiště, na osobní e-mailové účty a zasílání souborů přes rychlé zprávy.
Díky jednoduchému stisknutí tlačítka pro přehrání je sledování těchto míst možného úniku o mnoho snadnější, a vyšetřování tak může být mnohem rychlejší.
5. Zjišťujte důvody, proč uživatelé instalují či odinstalovávají software
Organizace používají ke kontrole nainstalovaných aplikací virtuální desktopy, bitové kopie bez ukládání stavu a různé nástroje pro správu softwaru a omezení účtů. Ve většině případů neposkytují tyto metody zaměřené na infrastrukturu informace o záměru uživatele a o související firemní potřebě.
Technologie pro detekci interních hrozeb dokážou eliminovat tyto nedostatky viditelnosti a umožňují organizacím zjistit, zda lidé přinášejí organizaci riziko.
6. Věnujte zvýšenou pozornost uživatelům s vysokým rizikem
Ať už prostřednictvím rozhovoru nebo jinou formou přímého sdělení či upozornění vysvětlete vysoce rizikovým uživatelům, že jsou monitorovaní. To je ve většině případů odradí od pokusů o nepřátelské aktivity.
Když zaměstnanec opouští společnost, okamžitě zrušte veškerá přístupová oprávnění, která měl. Dále upozorněte nezávislé dodavatele služeb na ukončení pracovního poměru tohoto zaměstnance, aby mohli i oni zrušit autorizaci jeho účtů.
Zajistěte, aby odcházející zaměstnanci neměli firemní data ve svých osobních zařízeních. Před tím, než zaměstnanci s vysokým rizikem opustí organizaci, zkontrolujte, zda nemají citlivá data podniku ve svých osobních počítačích, mobilních telefonech, tabletech atd.
7. Zrychlete bezpečnostní vyšetřování
Sledujte kouř před požárem. Schopnost rychlé detekce i reakce na incidenty a varování je nezbytná. Bez správných bezpečnostních nástrojů a programů může trvat doba detekce a vyřešení i týdny.
Vyšetřovací orgány často požadují, aby společnosti nezasahovaly proti aktivním zneužitím – jinými slovy, aby se mohly shromáždit důkazy. Integrujte řešení monitorování činnosti uživatelů s dalšími nástroji kybernetického zabezpečení, abyste mohli poskytnout nezvratné důkazy a zkrátit dobu.
Tento příspěvek vyšel v Security Worldu 1/2017. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.