Trace Id is missing
Перейти до основного
Захисний комплекс Microsoft

Що таке внутрішня загроза?

Дізнайтеся, як захистити свою організацію від внутрішніх дій, включно з можливими інцидентами з безпекою даних, які навмисно або ненавмисно можуть спричинити працівники з авторизованим доступом.

Визначення внутрішньої загрози

До того, як загрози набувають цього статусу, вони є ризиками. Ризик визначається як можливість навмисного або ненавмисного заподіяння шкоди організації шляхом неналежного використання її ресурсів особою, яка має до них авторизований доступ. Під доступом мається на увазі як фізичний, так і віртуальний доступ, а ресурси включають інформацію, процеси, системи та обладнання.

Хто такий інсайдер?

Інсайдер – це довірена особа, якій надано доступ до будь-яких ресурсів, даних або систем компанії, її бази знань, або яка володіє інформацією про них. Ресурси можуть бути як загальнодоступні, так і не загальнодоступні. Інсайдерами можуть бути наступні категорії користувачів.

  • Користувачі, які мають бейдж або інший пристрій, що надає їм можливість безперервного доступу до фізичної власності компанії, наприклад до центру обробки даних або головного офісу компанії.
  • Користувачі, які мають корпоративний комп’ютер із доступом до мережі.
  • Користувачі, які мають доступ до корпоративної мережі компанії, хмарних ресурсів, програм або даних.
  • Користувачі, яким відома стратегія компанії та її фінансові показники.
  • Користувачі, які працюють над створенням продуктів або послуг компанії.

Типи внутрішніх загроз

Внутрішні ризики важче виявляти, ніж зовнішні, оскільки в першому випадку зловмисники вже мають доступ до ресурсів організації і знають про її заходи безпеки. Знання типів внутрішніх ризиків допомагає організаціям у посиленні захисту цінних ресурсів.

  • Випадковість

    Іноді користувачі припускаються помилок, які можуть призвести до потенційних інцидентів із безпекою. Наприклад, бізнес-партнер надсилає документ із даними клієнтів колезі, не усвідомлюючи, що той не має дозволу на перегляд цієї інформації. Або працівник реагує на фішингову кампанію та випадково встановлює зловмисну програму.

  • Наявність наміру заподіяти шкоду

    У інциденті з безпекою з наявним наміром заподіяти шкоду, спричиненому інсайдером, працівник або довірена особа навмисно робить те, що, на його думку, має негативно вплинути на компанію. Такі особи можуть керуватися особистими образами або іншими особистими причинами. Вони також можуть розраховувати на фінансовий або інший прибуток в результаті своїх дій.

  • Недбалість

    Недбалість схожа на випадковість в тому, що особа не має на меті спричинити інцидент із безпекою даних. Різниця полягає в тому, що вони можуть свідомо порушувати політику безпеки. Типовий приклад недбалості – працівник дозволяє комусь увійти в будівлю без перепустки. Цифровим еквівалентом подібної поведінки буде відмова політики безпеки заради швидкості та зручності без урахування можливих наслідків, або вхід у ресурси компанії з використанням незахищеного безпровідного підключення.

  • Змова

    Деякі інциденти із безпекою, спричинені інсайдерами, є результатом того, що довірена особа співпрацює з кіберзлочинною організацією, допомагаючи їй у шпигунській діяльності або у скоєнні крадіжки. Це також тип інциденту з безпекою з наявним наміром заподіяти шкоду.

Як виникають інциденти з безпекою з наявним наміром заподіяти шкоду?

Інциденти з безпекою з наявним наміром заподіяти шкоду, спричинені інсайдерами, можуть виникати різними способами, окрім типової кібератаки. Нижче наведено кілька поширених способів, якими інсайдери можуть спричинити інциденти з безпекою.

  • Насильство

    Інсайдери можуть застосовувати насильство або загрозу насильства, щоб залякати інших працівників або висловити невдоволення організацією. Насильство може мати форму словесних образ, сексуальних домагань, цькування, нападу або інших загрозливих дій.

  • Промислове шпигунство

    Промисловим шпигунством вважається викрадення відомостей, що містять комерційну таємницю, конфіденційної інформації або інтелектуальної власності, що належить організації, з метою надання переваг конкуренту або іншій стороні. Наприклад, в організацію може бути направлений інсайдер з наміром заподіяти шкоду, який збиратиме фінансову інформацію або креслення продуктів, щоб передати ці відомості іншому учаснику ринку, таким чином надавши йому конкурентну перевагу.

  • Саботаж

    Інсайдери можуть бути незадоволені організацією, що слугуватиме для них мотивацією заподіяти шкоду фізичній власності організації, її даним або цифровим системам. Саботаж може здійснюватися у різний спосіб: це може бути умисне пошкодження обладнання або розкриття конфіденційної інформації.

  • Шахрайство

    Інсайдери можуть вдаватися до шахрайських дій з метою отримання особистої вигоди. Наприклад, інсайдер, що має на меті заподіяння шкоди, може використовувати кредитну картку компанії для особистих витрат чи подавати помилкові або завищені дані про витрати.

  • Крадіжка

    Інсайдери можуть викрадати ресурси, конфіденційні дані або інтелектуальну власність організації задля отримання особистої вигоди. Наприклад, працівник, що залишає, з метою отримання особистої вигоди може видобути конфіденційну інформацію для свого майбутнього роботодавця. Або ж підрядник, найнятий організацією для виконання певних завдань, може викрасти конфіденційні дані для використання у власних інтересах.

Сім індикаторів внутрішніх ризиків

У виявленні внутрішніх ризиків відіграють роль як люди, так і технології. Ключова умова – визначити межі норми поведінки, що дозволить легше виявляти незвичні дії.

  • Зміни в діях користувача

    Колеги, керівники та партнери можуть найкраще знати, чия поведінка становить загрозу безпеці організації. Наприклад, вони здатні помітити зміни в поведінці схильного до ризику інсайдера, який має на меті спричинити інцидент із безпекою даних.

  • Аномальна ексфільтрація даних

    Працівники часто отримують доступ до конфіденційних даних і діляться ними на роботі. Коли користувач раптово ділиться незвично великим обсягом конфіденційних даних або завантажує його, можна порівняти його дії зі звичним для цього працівника показником або показниками колег на аналогічних посадах. Така поведінка може свідчити про потенційний інцидент із безпекою даних.

  • Послідовність пов’язаних ризикованих дій

    Поодинокі дії користувача, наприклад такі, як один випадок завантаження конфіденційних даних, можуть не становити потенційного ризику. Але низка таких дій може вказувати на потенційні ризики із безпекою даних. Припустімо, користувач перейменував конфіденційні файли, щоб вони виглядали менш конфіденційними, завантажив їх із хмарного сховища, зберіг на портативному пристрої та видалив їх із хмарного сховища. Це може свідчити про те, що користувач міг намагатися видобути конфіденційні дані та уникнути викриття.

  • Ексфільтрація даних звільненим працівником

    Ексфільтрація даних часто зростає разом зі звільненнями та може бути як навмисною, так і ненавмисною. Приклад ненавмисного інциденту: звільнений працівник ненавмисно копіює конфіденційні дані, щоб зберегти для себе свої досягнення на цій посаді. Але якщо дані копіюються з метою отримання особистої вигоди або використання їх на новій посаді в іншій організації, це вже можна вважати інцидентом із наміром заподіяти шкоду. Коли звільнення супроводжується незвичайними діями користувача,це може вказувати на інцидент із безпекою даних.

  • Аномальний доступ до системи

    Потенційні внутрішні ризики можуть починатися з того, що користувачі отримують доступ до ресурсів, які зазвичай не потрібні їм для роботи. Наприклад, користувачі, які зазвичай використовують доступ лише до систем, пов’язаних із маркетингом, раптово починають користуватися доступом до фінансових систем кілька разів на день.

  • Залякування та переслідування

    Однією з перших ознак внутрішніх ризиків може бути те, що користувач у спілкуванні вдається до погроз, переслідування або дискримінації. Це не тільки шкодить культурі компанії, але й може призвести до інших потенційних інцидентів.

  • Перевищення прав

    Організації зазвичай захищають цінні ресурси та керують ними, призначаючи привілейований доступ і ролі обмеженому колу співробітників. Якщо працівник намагається перевищити свої повноваження доступу без чіткого ділового обґрунтування, це може бути ознакою потенційного ризику витоку інсайдерської угоди.

Приклади внутрішніх загроз

Протягом багатьох років в організаціях будь-якого розміру виявлялися такі інциденти виникнення внутрішніх загроз, як крадіжка даних, шпигунство або саботаж. Нижче наведено кілька прикладів.

  • Крадіжка відомостей, що містять комерційну таємницю, та продаж їх іншій компанії.
  • Злом хмарної інфраструктури компанії та видалення тисяч облікових записів клієнтів.
  • Використання відомостей, що містять комерційну таємницю, для створення нової компанії.

Важливість цілісного керування внутрішніми ризиками

Цілісна програма керування внутрішніми ризиками, яка визначає пріоритетність відносин між працівниками та роботодавцем та інтегрує елементи керування конфіденційністю, може зменшити кількість потенційних внутрішніх інцидентів із безпекою, і прискорити їх виявлення. Нещодавнє дослідження, проведене корпорацією Майкрософт, виявило, що компанії з цілісною програмою керування внутрішніми ризиками на 33% частіше швидко виявляють ризики витоку інсайдерської інформації, та на 16% частіше швидко усувають такі ризики, ніж компанії з більш фрагментарним підходом.1

Як захиститися від внутрішніх загроз

Організації можуть цілісно підходити до боротьби із внутрішніми ризиками, зосереджуючи увагу на процесах, людях, інструментах та освіті. Скористайтеся наведеними нижче практичними порадами, щоб розробити програму керування внутрішніми ризиками, яка створить довіру між працівниками та допоможе посилити безпеку.

  • Визначте пріоритетами довіру та конфіденційність працівників

    Створення довіри серед працівників починається з визначення їхньої конфіденційності пріоритетом. Радимо впровадити багаторівневий процес затвердження для ініціювання внутрішніх розслідувань, щоб сприяти створенню відчуття комфорту за допомогою програми керування внутрішніми ризиками. Крім того, важливо перевіряти дії тих, хто проводить розслідування, щоб переконатися, що вони не перевищують свої повноваження. Збереженню конфіденційності також сприятиме упровадження елементів керування доступом на основі ролей для обмеження кількості членів команди безпеки, які можуть отримати доступ до даних розслідування. Знеособлення імен користувачів під час розслідувань може додатково захистити конфіденційність працівників. Нарешті, радимо видаляти позначки користувачів через певний проміжок часу, якщо розслідування не буде продовжено.

  • Використання позитивних стримувальних факторів

    Багато програм внутрішніх ризиків використовують негативні стримувальні фактори, такі як політики й інструменти, які обмежують ризиковану діяльність працівників. Але дуже важливо збалансувати ці заходи за допомогою превентивного підходу. Позитивні стримувальні фактори, такі як події, спрямовані на підвищення морального стану працівників, ретельний інструктаж, постійне навчання та тренування з безпеки даних, ефективний зворотний зв’язок та програми з балансу роботи та особистого життя можуть зменшити ймовірність внутрішніх ризиків. Залучаючи працівників у ефективний і проактивний спосіб, позитивні стримувальні фактори усувають джерела ризику та сприяють розвитку культури безпеки в організації.

  • Забезпечення підтримки всієї компанії

    ІТ-відділи та відділи безпеки можуть нести основну відповідальність за керування внутрішніми ризиками, але важливо залучати до цих зусиль усіх працівників компанії. Відділи кадрів, відповідності та дотримання вимог, а також юридичні відділи відіграють важливу роль у визначенні політик, спілкуванні із зацікавленими сторонами та прийнятті рішень під час розслідування. Щоб розробити більш комплексну та ефективну програму керування внутрішніми ризиками, організаціям слід залучити до цього процесу співробітників, що представляють усі напрямки діяльності компанії.

  • Використання інтегрованих і комплексних рішень для захисту

    Ефективний захист вашої організації від внутрішніх ризиків вимагає не лише впровадження найкращих інструментів безпеки; але й інтегрованих рішень, які забезпечують видимість і захист на рівні підприємства. Інтегровані рішення з керування безпекою даних, ідентичністю та доступом, розширеного виявлення та реагування (XDR), а також керування захистом інформації (SIEM) дозволяють командам безпеки ефективно виявляти та попереджати інциденти внутрішньої безпеки.

  • Упровадження ефективного навчання

    Працівники відіграють важливу роль у запобіганні інцидентів із безпекою, що робить їх першою лінією захисту. Щоб захистити ресурси вашої компанії, потрібна підтримка всіх працівників, що, у свою чергу, підвищує безпеку організації в цілому. Одним із найефективніших способів забезпечення підтримки всіх працівників є навчання. Навчаючи працівників, ви можете зменшити кількість ненавмисних інцидентів внутрішніх ризиків. Важливо пояснити, як інциденти внутрішньої безпеки можуть вплинути на компанію, та її працівників. Крім того, дуже важливо обговорювати політики захисту даних і навчати працівників уникати потенційного витоку даних.

  • Використання машинного навчання та штучного інтелекту

    Для сучасного робочого місця характерними є динамічні ризики безпеки з різними факторами, що постійно змінюються. Це ускладнює виявлення й реагування на них. Втім, організації можуть миттєво виявляти та зменшувати внутрішні ризики завдяки використанню машинного навчання та штучного інтелекту, забезпечуючи адаптивну та орієнтовану на людей безпеку. Ця передова технологія допомагає організаціям зрозуміти, як користувачі взаємодіють із даними, обчислюють і призначають рівні ризиків, а також автоматично налаштовують відповідні елементи керування безпекою. За допомогою цих інструментів організації можуть оптимізувати процес виявлення потенційних ризиків і визначити пріоритети використання своїх обмежених ресурсів для запобігання діям з внутрішніми ризиками високого ступеню. Це заощаджує цінний час для команд безпеки та посилює безпеку даних.

Рішення для керування внутрішніми ризиками

Захиститися від внутрішніх загроз може бути складно, оскільки природно довіряти тим, хто працює в організації та разом з нею. Швидка ідентифікація найкритичніших внутрішніх ризиків та визначення пріоритетів використання ресурсів для розслідування та усунення цих ризиків вкрай важливі для зменшення впливу потенційних інцидентів і порушень безпеки. На щастя, багато інструментів кібербезпеки, які запобігають зовнішнім загрозам, також можуть ефективно виявляти внутрішні загрози.

Microsoft Purview пропонує функції захисту інформації, керування внутрішніми ризиками та захисту від втрати даних (ЗВД) , які допоможуть вам забезпечити видимість даних, виявити критичні внутрішні ризики, які можуть призвести до потенційних інцидентів із безпекою даних, а також ефективно запобігти втраті даних.

Ідентифікатор Microsoft Entra допомагає керувати наданням доступу до вмісту та оповіщає вас про ризиковані дії користувачів, пов’язані із входом і доступом.

Microsoft Defender 365 – це рішення XDR, яке допомагає захистити ваші хмари, програми, кінцеві точки та електронну пошту від несанкціонованих дій. Державні організації, наприклад Агентство з кібербезпеки та безпеки інфраструктури США (CISA), також надають рекомендації з розробки програми керування внутрішніми ризиками.

Застосовуючи ці інструменти та використовуючи рекомендації експертів, організації можуть краще керувати внутрішніми ризиками та захищати свої критичні ресурси.

Дізнайтеся більше про Захисний комплекс Microsoft

Microsoft Purview

Рішення, які допоможуть полегшити керування даними вашої організації, захистити їх і забезпечити відповідність вимогам.

Дізнатися більше

Керування внутрішніми ризиками у Microsoft Purview

Виявляйте та зменшуйте внутрішні ризики за допомогою готових моделей машинного навчання.

Дізнатися більше

Адаптивний захист у Microsoft Purview

Захистіть дані за допомогою інтелектуального та орієнтованого на людей підходу.

Дізнатися більше

Створення цілісної програми керування внутрішніми ризиками

Дізнайтеся про п’ять елементів, які допомагають компаніям підвищити безпеку даних і захистити довіру користувачів.

Переглянути звіт

Захист від втрати даних у Microsoft Purview

Запобігайте несанкціонованому передаванню та використанню даних, а також наданню спільного доступу до них у програмах, локальних середовищах і на пристроях.

Дізнатися більше

Відповідність спілкування у Microsoft Purview

Виконуйте зобов’язання щодо дотримання нормативних вимог і усувайте порушення корпоративної поведінки.

Дізнатися більше

Захист від загроз Microsoft

Захистіть пристрої, програми, електронні листи, ідентичності, дані і хмарні завантаженості за допомогою уніфікованого захисту від загроз.

Дізнатися більше

Ідентифікатор Microsoft Entra

Захистіть доступ до ресурсів і даних за допомогою надійної автентифікації та політик адаптивного доступу з урахуванням ризиків.

Дізнатися більше

Запитання й відповіді

  • Існує чотири типи внутрішніх загроз. Внутрішня загроза випадкового характеру – це ризик того, що особа, яка працює в компанії або співпрацює з нею, зробить помилку, що потенційно загрожуватиме організації або її даним чи співробітникам. Внутрішній ризик через недбалість – це випадок, коли хтось свідомо порушує політику безпеки, але не має на меті заподіяння шкоди. Загроза з наявністю наміру заподіяти шкоду – це коли хтось навмисно викрадає дані, займається саботажем або поводиться агресивно. Інша форма загрози з наміром заподіяти шкоду – це коли інсайдер співпрацює з кимось поза межами організації, щоб завдати шкоди компанії.

  • Керування внутрішніми ризиками важливе, оскільки такі інциденти можуть завдати значної шкоди організації та її співробітникам. Наявність правильних політик і рішень дозволяють організаціям діяти на випередження потенційних внутрішніх загроз та захищати цінні ресурси.

  • Існує кілька потенціальних ознак внутрішнього ризику. Зокрема це несподівані зміни в діях користувачів, пов’язана послідовність ризикованих дій, спроба отримати доступ до ресурсів, які не є необхідними для роботи, спроба перевищення повноважень, аномальна ексфільтрація даних працівниками, що звільняються, переслідування або залякування.

  • Попереджати внутрішні загрози може бути складно, оскільки ризиковані дії, які можуть призвести до інцидентів із безпекою, виконують довірені працівники, які мають зв’язки в середині організації та авторизований доступ. Цілісна програма керування внутрішніми ризиками, яка визначає пріоритетність відносин між працівниками та роботодавцем та інтегрує елементи керування конфіденційністю, може зменшити кількість внутрішніх інцидентів із безпекою і пришвидшити процес їхнього виявлення. Окрім елементів керування конфіденційністю допомогти знизити ризик допоможуть увага до підвищення морального стану працівників, регулярне навчання, забезпечення підтримки всіх працівників та інтегровані засоби безпеки.

  • Внутрішня загроза з наміром заподіяти шкоду – це ймовірність того, що довірена особа навмисно заподіє шкоду організації та її працівникам. Це відрізняється від внутрішніх ризиків через випадковість, які виникають, коли хтось ненавмисно спричиняє витік інформації з компанії або порушує правила безпеки без наміру заподіяти шкоду.

[1] "Як цілісність може допомогти організації? Переваги цілісної програми керування внутрішніми ризиками" у "Створенні цілісної програми керування внутрішніми ризиками: 5 елементів, які допомагають компаніям посилити захист і безпеку даних і захищають довіру користувачів", Захисний комплекс Microsoft 2022, стор. 41.

Підпишіться на Microsoft