Δείκτες εσωτερικής απειλής: Πως να αναγνωρίσετε τις επιθέσεις εκ των έσω ! Η BeyondTrust μας συμβουλεύει!

Τι είναι μία απειλή εκ των έσω;

Μια εσωτερική απειλή ή απειλή εκ των έσω είναι ένα εσωτερικό πρόσωπο που ενεργεί ως αξιόπιστο περιουσιακό στοιχείο (π.χ. ένας υπάλληλος, εργολάβος, προμηθευτής, συνεργάτης κ.λπ.) και συμπεριφέρεται ως παράγοντας απειλής. Τυπικά, οι κάτοχοι εμπιστευτικής ή εσωτερικής πληροφόρησης, οι «insiders» δηλαδή, επιδεικνύουν κακόβουλη συμπεριφορά εκ προθέσεως, όμως κάποιες φορές, δεν γνωρίζουν ότι οι ενέργειές τους κατευθύνονται από έναν εξωτερικό παράγοντα απειλής. Σε κάθε περίπτωση, ο κάτοχος εμπιστευτικής πληροφόρησης κάνει κατάχρηση της πρόσβασης και των προνομίων του σκοπίμως για δόλιους και παράνομους λόγους ή σύμφωνα με τις εντολές μίας εξωτερικής δύναμης.

Σήμερα, πρέπει να είμαστε ρεαλιστές σχετικά με το τι είναι μια εσωτερική απειλή και να αναγνωρίσουμε ότι συμβαίνουν, με διάφορες μορφές, εδώ και αιώνες. Χρόνια δεδομένων από απειλές δείχνουν ότι οι εσωτερικές απειλές είναι συνήθως και δυσκολότερο να εντοπιστούν, ενώ επιπλέον έχουν τη δυνατότητα να προκαλέσουν τη μεγαλύτερη ζημιά. Έχοντας την ικανότητα να αναγνωρίζουν και να ερμηνεύουν σωστά τους δείκτες εσωτερικών απειλών, οι επιχειρήσεις και οι οργανισμοί θα είναι σε θέση να ανιχνεύσουν ταχύτερα τις επιθέσεις εκ των έσω και να αποτρέψουν ή να μετριάσουν τη ζημιά.

Οι κίνδυνοι από τις απειλές εκ των έσω

Μέχρι στιγμής, οι περισσότεροι επαγγελματίες ασφάλειας γνωρίζουν καλά τους κινδύνους από τις εσωτερικές απειλές. Πριν από χρόνια, τέτοιες επιθέσεις βρίσκονταν τακτικά στα «πρωτοσέλιδα» των ειδησεογραφικών ιστοσελίδων και των εφημερίδων αλλά σήμερα αποτελούν τη σιωπηλή απειλή που ελάχιστοι οργανισμοί θέλουν να αποκαλύψουν ή να παραδεχτούν δημοσίως.

Ανεξάρτητα από τις κακόβουλες τεχνικές που μπορεί να χρησιμοποιεί ένας εσωτερικός παράγοντας απειλής, όπως είναι φυσικό δεν συμπεριφέρεται με γνώμονα το συμφέρον της εταιρείας. Ο κάτοχος εμπιστευτικής ή εσωτερικής πληροφόρησης ενδέχεται να παραβιάζει τη νομοθεσία και πιθανόν να αντλεί πληροφορίες που δεν έχει την άδεια να κατέχει ή να εκτελεί άλλες επιζήμιες ενέργειες.

Ένα μακροχρόνιο παράδειγμα εσωτερικής απειλής είναι η κλοπή της λίστας πελατών από έναν πωλητή ή κάποιο ανώτερο στέλεχος που σχεδιάζει να αποχωρήσει από την εταιρεία. Ίσως έχει φωτοτυπήσει ή εκτυπώσει τη λίστα ή τις λίστες πελατών και τις παραγγελίες, ώστε να έχει το ανταγωνιστικό πλεονέκτημα όταν αναλάβει τα νέα του καθήκοντα υπό νέα εργοδοσία.

Σήμερα, με τα ηλεκτρονικά μέσα ενημέρωσης και το Διαδίκτυο, ένας κάτοχος εμπιστευτικών πληροφοριών μπορεί να πάρει μαζί του μεγάλους όγκους δεδομένων χωρίς να το αντιληφθεί κανείς. Αρκεί να σας υπενθυμίσουμε, ότι εκείνο το «ντουλάπι γεμάτο φακέλους με αρχεία» που περιέχουν ευαίσθητες πληροφορίες μπορεί πλέον να χωρέσει σε μια μονάδα αποθήκευσης USB που χωράει στην τσέπη ενός ατόμου ή να αναρτηθεί σε έναν προσωπικό κοινόχρηστο φάκελο σε κάποια υπηρεσία αποθήκευσης στο cloud, καθιστώντας το περιεχόμενο επιρρεπές και σε άλλες απειλές.

Αν και οι δόλιες συμπεριφορές και οι παρανομίες από «εσωτερικούς» διαπράττονται με ολοένα και μεγαλύτερη ευκολία χάρη στη σύγχρονη τεχνολογία, «η εσωτερική απειλή» είναι ένα θέμα που οι περισσότεροι οργανισμοί δυσκολεύονται να συζητήσουν.

Τα ανθρώπινα όντα θα κάνουν τα πιο ασυνήθιστα πράγματα στις πιο πιεστικές ή δύσκολες καταστάσεις, αλλά αν δεν τους επιτραπεί ή δεν τους δοθεί το δικαίωμα, μπορούν να μετριαστούν πολλοί κίνδυνοι από εσωτερικές απειλές.

Μια σύντομη λίστα που αντιπροσωπεύει μερικές από τις πιο ενδιαφέρουσες και καλά τεκμηριωμένες εσωτερικές απειλές περιλαμβάνει:

Edward Snowden – Εσωτερική απειλή της NSA και αυτοαποκαλούμενος πληροφοριοδότης (Κυβέρνηση)
Elliot Greenleaf Law Firm – Πολλοί δικηγόροι εξήγαγαν και διέγραψαν ευαίσθητες πληροφορίες (Δίκαιο)
South Georgia Medical Center – Ένας πρώην υπάλληλος κατέβασε προσωπικά δεδομένα (Υγειονομική περίθαλψη)

Πως να εκτιμήσετε κατά πόσο είστε ευπαθείς στις εσωτερικές απειλές

Καθώς γίνεται αξιολόγηση του τρόπου αναγνώρισης και μετριασμού των κινδύνων που σχετίζονται με εσωτερικές απειλές, λάβετε υπόψη τα παρακάτω γεγονότα σχετικά με την επιχείρηση σας:

Πόσοι άνθρωποι έχουν πρόσβαση μαζικά σε ευαίσθητες πληροφορίες;
Ποιος μπορεί να εξάγει μεγάλες ποσότητες πληροφοριών από ένα αίτημα (query) ή ένα σύστημα τρίτων;
Είναι έγκυροι όλοι οι ενεργοί λογαριασμοί;
Σχετίζονται όλοι οι λογαριασμοί με άτομα που εξακολουθούν να εργάζονται στον οργανισμό ή υπάρχει συνεργασία μέσω τρίτων;
Πως αναγνωρίζετε τους απατηλούς ή τους σκιώδεις λογαριασμούς IT;
Πόσο συχνά αλλάζετε τους κωδικούς πρόσβασης για ευαίσθητους λογαριασμούς;
Παρακολουθείτε την προνομιακή πρόσβαση σε ευαίσθητα συστήματα και δεδομένα;

Και για να είμαστε δίκαιοι, αν απαντήσετε ειλικρινά στις παραπάνω ερωτήσεις ενδέχεται να σημάνει το άνοιγμα του κουτιού της Πανδώρας. Μπορεί να μην σας αρέσουν οι απαντήσεις ή ακόμα και να μην ξέρετε καν από πού να αρχίσετε για να λάβετε απαντήσεις. Παρόλα αυτά, θα πρέπει να απαντήσετε σε όλα τα παραπάνω αν σας ενδιαφέρει να αντιμετωπίσετε αποτελεσματικά τους κινδύνους που προέρχονται από άτομα που είναι κάτοχοι εμπιστευτικής πληροφόρησης στην εταιρεία σας. Αρχικά ωστόσο, θα πρέπει να κατανοήσετε τους βασικούς κινδύνους καθώς και να οργανώσετε ένα πλάνο που να δίνει προτεραιότητα στις επόμενες ενέργειες μετριασμού.

Συνήθεις δείκτες απειλών και πως να τους αναγνωρίσετε

Ο καλύτερος τρόπος για τον εντοπισμό εσωτερικών απειλών είναι να αναζητήσετε δείκτες παραβίασης ή «συμβιβασμού» (IoC) που ενδεχομένως μπορούν να αποδοθούν σε ακατάλληλη συμπεριφορά. Μερικές φορές, μπορεί να είναι δύσκολο να εντοπιστούν σε συνάρτηση με τις κανονικές λειτουργίες της επιχείρησης, ωστόσο σχεδόν πάντα υπάρχει ένα σύμπτωμα που παραπέμπει σε κακόβουλη πρόθεση ή δραστηριότητα.

Για το σκοπό αυτό, λάβετε υπόψη τους ακόλουθους δείκτες εσωτερικής απειλής μαζί και με τις μεθόδους ανίχνευσης:

Ασυνήθιστη αντιγραφή, λήψη ή μετακίνηση ευαίσθητων πληροφοριών: Αυτό είναι εξαιρετικά σημαντικό, ειδικά όταν τα δεδομένα ή οι πληροφορίες μετακινούνται σε κάποιον μη τυπικό ή μη εξουσιοδοτημένο προορισμό. Η απλή αλληλεπίδραση με ευαίσθητα δεδομένα μπορεί να αποτελεί δείκτη (ένδειξη) παραβίασης εφόσον πραγματοποιείται από άτομα μη εξουσιοδοτημένα. Και αυτό είναι ιδιαίτερα απλό να ανακαλυφθεί με βάση τις ταυτότητες και τα αρχεία καταγραφής πρόσβασης. Παρόλα αυτά, αν ο χρήστης αλληλοεπιδρά κανονικά και συχνά με τα συγκεκριμένα δεδομένα, τότε είναι μόνο ο μη τυπικός ή ασυνήθιστος προορισμός που μπορεί να υποδηλώνει τυχόν παράνομη δραστηριότητα. Οι προορισμοί μπορεί να περιλαμβάνουν μη εξουσιοδοτημένα, αφαιρούμενα μέσα, όπως μονάδες USB, λύσεις αποθήκευσης αρχείων που βασίζονται σε cloud, ακόμη και email.
Ανώμαλη δραστηριότητα αναζήτησης στο εταιρικό δίκτυο: Γενικώς, υποθέτουμε ότι ένας εμπιστευτικός ή εσωτερικός παράγοντας απειλής γνωρίζει ποια είναι τα δεδομένα που θέλει καθώς και που να τα βρει. Αυτό όμως δεν είναι πάντα αληθές. Οι εσωτερικές απειλές μπορεί να είναι τόσο οπορτουνιστικές όσο και ο επόμενος εισβολέας. Οι κακόβουλοι υπάλληλοι, κάτοχοι εσωτερικής πληροφόρησης, ενδέχεται να προχωρούν σε αναζητήσεις σε ενεργά δίκτυα, ενδοδίκτυα (εσωτερικά δίκτυα, intranets), θύρες ή σε εφαρμογές για ευαίσθητες πληροφορίες που μπορούν να εξαχθούν και να αξιοποιηθούν για το κέρδος τους. Επομένως, ξεκινήστε την παρακολούθηση εφαρμογών ή ταυτοτήτων που εκτελούν ευρείες αναζητήσεις και σαρώσεις δικτύου για να εντοπίσουν αρχεία, buckets και εφαρμογές που μπορούν να παραδώσουν δεδομένα και πληροφορίες ως μέρος της αλυσίδας επίθεσης.
Ασυνήθιστες ανωμαλίες πρόσβασης και σύνδεσης: Αν ο χρήστης δεν έχει πρόσβαση σε δεδομένα ή συστήματα ως μέρος του ρόλου του στην επιχείρηση και ξαφνικά διαπιστωθεί ότι έχει αρχίσει να κάνει προσπάθειες για να αποκτήσει πρόσβαση σε εταιρικά δεδομένα εκτός της δικαιοδοσίας του, τότε ενδέχεται να βρίσκεται σε εξέλιξη μία επίθεση εκ των έσω. Η παρακολούθηση των δραστηριοτήτων αυθεντικοποίησης (ελέγχου ταυτότητας) και εξουσιοδότησης είναι κρίσιμης σημασίας για τον εντοπισμό δεικτών παραβίασης (συμβιβασμού). Αν λάβετε υπόψη όλα τα περιουσιακά στοιχεία της επιχείρησης, η ενοποίηση των αρχείων καταγραφής σε μία λύση SIEM είναι ζωτικής σημασίας για να αποκτήσετε αυτή την προοπτική. Η κατ’ εξαίρεση, μεμονωμένη ή έκτακτη δραστηριότητα μπορεί να βοηθήσει στον εντοπισμό πιθανών ανωμαλιών, ειδικά όταν η συγκεκριμένη πρόσβαση αποκτήθηκε προσφάτως ή είναι νέα. Για να γίνει κάτι τέτοιο ωστόσο απαιτείται κάτι περισσότερο από την απλή αντιστοίχιση μοτίβων (συμπεριφορών, δραστηριοτήτων κ.λπ.) σε μία λύση SIEM και την προηγμένη δυνατότητα αναζήτησης μεμονωμένων ή κατ’ εξαίρεση συμπεριφορών.
Κακή χρήση εγγενών ή άλλων ήδη εγκατεστημένων εργαλείων: Οι φορείς εσωτερικών απειλών χρησιμοποιούν συχνά εργαλεία για την εξαγωγή πληροφοριών από βασικά εταιρικά συστήματα με στόχο να ικανοποιήσουν τις κακόβουλες αποστολές τους. Ο εντοπισμός ξένων εργαλείων μπορεί επίσης να επισημάνει έναν δείκτη παραβίασης. Παρόλα αυτά, αν ο υπάλληλος είναι «γνώστης», μπορεί να προχωρήσει στην εκτέλεση μίας επίθεσης τύπου «Living-off-the-Land» (LotL). Η συγκεκριμένη μέθοδος επίθεσης συνεπάγεται την εκμετάλλευση εγγενών σετ εργαλείων και άλλων αξιόπιστων εταιρικών εργαλείων για την προώθηση της επίθεσης τους. Σε αυτή την περίπτωση, η συμπεριφορά είναι ο βασικός δείκτης παραβίασης ή συμβιβασμού. Οι συμπεριφορές που πρέπει να παρακολουθήσετε σχετίζονται με την πρόσβαση εκτός των κανονικών ωρών λειτουργίας, την πρόσβαση από ασυνήθιστες ή ξένες τοποθεσίες κ.ά. Ο προηγμένος έλεγχος εφαρμογών που προστατεύει επίσης από «file-less» απειλές, όπως η κατάχρηση/κακή χρήση αξιόπιστων εφαρμογών, είναι ένα σημαντικό εργαλείο για τον εντοπισμό και την προστασία από τις δραστηριότητες των κακόβουλων υπαλλήλων (απειλών εκ των έσω).

Πως να αποτρέψετε τη διαρροή δεδομένων από εσωτερικές επιθέσεις

Οι απειλές εκ των έσω περιλαμβάνουν την κλοπή πληροφοριών και τη διεξαγωγή κακόβουλων δραστηριοτήτων. Ένας παράγοντας προηγμένης εσωτερικής απειλής μπορεί να χρησιμοποιήσει εργαλεία που παραδοσιακά συνδέονται με εξωτερικές απειλές. Για παράδειγμα, ένας χρήστης που επιδεικνύει κακόβουλη συμπεριφορά θα μπορούσε να εγκαταστήσει λογισμικό καταγραφής δεδομένων, να εκμεταλλευτεί ένα σύστημα που δεν έχει εγκατεστημένες τις τελευταίες ενημερώσεις ασφαλείας και να αποκτήσει πρόσβαση σε πόρους αξιοποιώντας κερκόπορτες (backdoors) για τη διεξαγωγή ενεργειών και δραστηριοτήτων που σχετίζονται με τη συλλογή δεδομένων.

Τελικώς, οφείλουμε να αναγνωρίσουμε ότι οι απειλές εκ των έσω είναι δυνατόν να επιτύχουν τον στόχο τους εξαιτίας κάποιου από τους ακόλουθους λόγους:

Α. Υπερβολικά προνόμια/ανεπαρκώς διαχειριζόμενα προνόμια (καλύπτονται παρακάτω στα βήματα 1 – 5)

Β. Κακή υγιεινή ασφαλείας (ευπάθεια, διαχείριση διαμόρφωσης, και διαχείριση ελέγχου/καταγραφής (καλύπτονται στα βήματα 5 – 10 παρακάτω)

Έχοντας κατά νου τα παραπάνω (A+B), όλες οι εταιρείες και οργανισμοί θα πρέπει να εφαρμόζουν τις παρακάτω βέλτιστες πρακτικές ασφάλειας για τον μετριασμό των κινδύνων από τις εσωτερικές απειλές:

1.Επιβολή της αρχής του ελάχιστου προνομίου και διαχωρισμός προνομίου: Κανείς δεν πρέπει ποτέ να χρησιμοποιεί λογαριασμό διαχειριστή για καθημερινή χρήση (π.χ. για email, αναζητήσεις στον ιστό κ.λπ.). Και αυτό ισχύει και για τους διαχειριστές, καθώς ο πιθανός κίνδυνος είναι πολύ υψηλότερος σε περίπτωση παραβίασης του λογαριασμού τους, όπως στην περίπτωση που γίνει κλικ σε έναν κακόβουλο σύνδεσμο ηλεκτρονικού ψαρέματος. Όλοι οι υπάλληλοι/χρήστες θα πρέπει να περιορίζονται στα τυπικά δικαιώματα χρήστη έχοντας τη δυνατότητα να αποκτήσουν στιγμιαία προνομιακή πρόσβαση αποκλειστικά και μόνο μέσω ελεγχόμενων και αυστηρώς παρακολουθούμενων ροών εργασίας. Οι λύσεις Privileged Access Management (PAM) έχουν σχεδιαστεί ειδικά για τη διαχείριση αυτής της περίπτωσης χρήσης.

2.Περιορίστε την πρόσβαση στα δεδομένα: Μόνο οι διαχειριστές ή οι υπάλληλοι με συγκεκριμένο ρόλο (όχι στελέχη) θα πρέπει να έχουν πρόσβαση σε δεδομένα μαζικά. Αυτό αποτρέπει έναν υπάλληλο ή κάτοχο εμπιστευτικής πληροφόρησης από το να εξάγει μεγάλες ποσότητες πληροφοριών ή την παραβίαση του λογαριασμού ενός στελέχους για να χρησιμοποιηθεί εναντίον του οργανισμού για την εξαγωγή ή την κλοπή δεδομένων.

3.Ώριμες πολιτικές διαχείρισης της ταυτότητας και της πρόσβασης (IAM): Η πρόσβαση σε ευαίσθητα δεδομένα πρέπει να περιορίζεται μόνο στους κανονικούς και εξουσιοδοτημένους υπαλλήλους. Οι πρώην υπάλληλοι, οι εργολάβοι, ακόμη και οι ελεγκτές, δεν πρέπει να έχουν καμία απολύτως πρόσβαση. Οι λογαριασμοί θα πρέπει να καταργηθούν ή να διαγραφούν σύμφωνα με την πολιτική του οργανισμού σας. Εφαρμόστε ένα μοντέλο «just-in-time-access» για να εξαλείψετε τα μόνιμα προνόμια και να διασφαλίσετε ότι η προνομιακή πρόσβαση είναι καθόλα πεπερασμένη.

4.Χρήση Εταιρικών Εφαρμογών Διαχείρισης Κωδικών Πρόσβασης (Enterprise Password Managers): Οι εργαζόμενοι έρχονται και φεύγουν. Αν οι κωδικοί πρόσβασης παραμένουν ίδιοι όταν φεύγουν από την εταιρεία άνθρωποι ή όταν ενσωματώνονται νέοι υπάλληλοι μετά από προσλήψεις, ο κίνδυνος για τα ευαίσθητα εταιρικά δεδομένα αυξάνεται, καθώς οι πρώην υπάλληλοι εξακολουθούν από τεχνικής άποψης να γνωρίζουν κωδικούς πρόσβασης στα ευαίσθητα δεδομένα της εταιρείας. Οι κωδικοί πρόσβασης πρέπει να είναι τυχαίοι και απρόβλεπτοι. Χρησιμοποιήστε λύσεις διαχείρισης κωδικών πρόσβασης για να αυτοματοποιήσετε τις βέλτιστες πρακτικές ασφάλειας κωδικών πρόσβασης μέσω ενός κεντρικού θησαυροφυλακίου (vault).

5.Εφαρμόστε ισχυρή παρακολούθηση: Η παρακολούθηση της συμπεριφοράς των χρηστών και της δραστηριότητας του δικτύου είναι κρίσιμης σημασίας για την ανίχνευση ανώμαλης ή άλλως επικίνδυνης δραστηριότητας και την ανάληψη δράσης αρκετά έγκαιρα προτού προκαλέσει ζημιά. Η προνομιακή δραστηριότητα είναι ιδιαίτερα σημαντική για παρακολούθηση, καθώς ενέχει τον μεγαλύτερο κίνδυνο για ζημιά και μπορεί να σημαίνει ότι μια επίθεση βρίσκεται στο δρόμο της για γρήγορη κλιμάκωση. Παρακολουθήστε αρχεία καταγραφής, περιόδους σύνδεσης, πληκτρολογήσεις και εφαρμογές και εφαρμόστε επίσης εγγραφή οθόνης. Εάν ένας χρήστης έχει πρόσβαση σε ένα ευαίσθητο σύστημα για να κλέψει πληροφορίες, η παρακολούθηση συνεδρίας μπορεί να τεκμηριώσει την πρόσβασή του και να εντοπίσει πώς και πότε εξήγαγε τις πληροφορίες. Οι λύσεις πρόληψης απώλειας δεδομένων (DLP) μπορεί επίσης να βοηθήσουν εδώ, αλλά μόνο εάν το σημείο εξόδου θεωρείται κίνδυνος ή υπάρχουν επιπτώσεις στη συμμόρφωση με τους κανονισμούς.

6.Βεβαιωθείτε ότι είναι εγκατεστημένες, λειτουργούν και παραμένουν ενημερωμένες λύσεις προστασίας endpoint ή anti–virus για τον εντοπισμό τυχόν κακόβουλου λογισμικού που χρησιμοποιείται από τις εσωτερικές απειλές.

7.Επιτρέψτε τόσο στις εφαρμογές των Windows όσο και τρίτων να ενημερώνονται αυτόματα ή εφαρμόστε μία λύση διαχείρισης ενημερώσεων κώδικα για την έγκαιρη εφαρμογή σχετικών ενημερώσεων ασφαλείας για την αποκατάσταση των κινδύνων εκμετάλλευσης ή κατάχρησης (exploiting) μίας ευπάθειας.

8.Χρησιμοποιήστε μία λύση αξιολόγησης ευπαθειών ή διαχείρισης για να προσδιορίσετε που υπάρχουν κίνδυνοι στο περιβάλλον και να τους διορθώσετε έγκαιρα, έτσι ώστε ένας χρήστης να μην μπορεί να εκμεταλλευτεί μια αδυναμία ασφάλειας.

9.Εφαρμόστε μια λύση Ελέγχου Εφαρμογών με Προστασία Αξιόπιστων Εφαρμογών (TAP) για να διασφαλίσετε ότι οι εξουσιοδοτημένες εφαρμογές είναι και οι μόνες που εκτελούνται με τα κατάλληλα προνόμια ώστε να μετριάσετε τον κίνδυνο που αποτελούν οι κακόβουλες εφαρμογές ή τα utilities παρακολούθησης, συλλογής δεδομένων κ.ά. Στην ιδανική περίπτωση, η συγκεκριμένη λύση θα περιλαμβάνει επίσης δυνατότητες προστασίας από file-less απειλές, δυνατότητες που θα μπορούν να εφαρμόσουν πλαίσιο (context) σε δραστηριότητες και αιτήματα από αξιόπιστες εφαρμογές, συμπεριλαμβανομένου και του αποκλεισμού της θυγατρικής διεργασίας (ή της διεργασίας=παιδί).

10.Όπου είναι δυνατόν, τμηματοποιήστε τους χρήστες σε συστήματα και πόρους για να μειώσετε τους κινδύνους “line-of-site”. Δηλαδή, βεβαιωθείτε ότι το δίκτυό σας είναι τμηματοποιημένο -και όχι επίπεδο- για να αποφύγετε να έχετε παραχωρήσει «υπερβολική πρόσβαση».

Οι περισσότερες επιχειρήσεις αποτυγχάνουν να εφαρμόσουν επαρκώς αυτούς τους βασικούς ελέγχους ασφαλείας. Ωστόσο, η τήρηση των παραπάνω 10 πρακτικών μπορεί να βοηθήσει σημαντικά στην προστασία τις επιχείρησης ή του οργανισμού σας από τις εσωτερικές απειλές καθώς και από άλλους φορείς επίθεσης.

Εφαρμόζοντας προστασία από τις απειλές εκ των έσω

Οι εσωτερικές απειλές δεν πρόκειται να πάνε πουθενά. Ο στόχος είναι να σταματήσει η διαρροή δεδομένων και να γνωρίζετε ότι ένας υπάλληλος ή χρήστης εμπιστευτικής πληροφόρησης έχει στη διάθεση του πολλαπλά «διανύσματα» επίθεσης, για να επιτύχει τους στόχους του.

Ως επαγγελματίες ασφάλειας, οφείλουμε να ελαχιστοποιήσουμε τους κινδύνους από τις απειλές εκ των έσω αντιμετωπίζοντας την πηγή του προβλήματος. Ένας χαρτοφύλακας αποτελεί μία εσωτερική απειλή, αλλά πιθανώς δεν είναι και τόσο συναφής πλέον όσο ένα USB flash drive με ολόκληρη τη βάση δεδομένων των πελατών σας.

Εν κατακλείδι, ένας υπάλληλος, κάτοχος εσωτερικής ή εμπιστευτικής πληροφόρησης (insider) εξακολουθεί να χρειάζεται προνόμια για να κλέψει όλες αυτές τις πληροφορίες. Η κατάργηση υπερβολικών προνομίων, όπως με τη περίπτωση της εφαρμογής μίας λύσης διαχείρισης της προνομιακής πρόσβασης (PAM) και το κλείσιμο των κενών ασφαλείας μέσω μίας λύσης διαχείρισης ευπαθειών, θα συμβάλει στην ελαχιστοποίηση της επιφάνειας επίθεσης από τις εσωτερικές απειλές, καθώς και πολλών άλλων τύπων επίθεσης. Εκτός από τους ελέγχους ασφαλείας που σχετίζονται με την πρόσβαση, οι οργανισμοί πρέπει να διαθέτουν ισχυρές δυνατότητες παρακολούθησης για την ανίχνευση των απειλών εκ των έσω. Τέλος, η εκπαίδευση των αναλυτών ασφαλείας και του λοιπού προσωπικού του τμήματος πληροφορικής σχετικά με τους δείκτες εσωτερικής απειλής καθώς και πως να ανταποκριθούν σε αυτούς, είναι σημαντική για την εξάλειψη οποιουδήποτε ενεργού κινδύνου.

Πηγή: NSS – BeyondTrust

Η σημαντική επίδραση των Ευρωπαϊκών οδηγιών NIS2 και DORA

H εμπειρία συναντά την καινοτομία στην PeS Cybersecurity

Η ενίσχυση της εταιρικής κουλτούρας κυβερνοασφάλειας είναι μείζονος σημασίας

Επιχειρηματικές αποφάσεις και προστασία προσωπικών δεδομένων

Η σημασία των λύσεων Managed Detection and Response (MDR)

SIEM, SOC, MDR an evolving journey

Αντιμετώπιση Σύνθετων Κυβερνοαπειλών με την υπηρεσία AI-Driven XDR της ADACOM

Sophos MDR – Προσέχει για εσάς, ακόμα και χωρίς εσάς

Ενίσχυση κυβερνοασφάλειας με Υπηρεσίες Διαχειριζόμενης Ανίχνευσης & Απόκρισης της ESET

Bitdefender MDR: Όλα όσα θέλετε να ξέρετε για το νέο Cyber Security Trend

Ενίσχυση κυβερνοασφάλειας με αξιοποίηση ολοκληρωμένων MDR λύσεων

Trend Micro Worry-Free with CO-Managed XDR

Νέες ευκαιρίες ασφάλειας για τις ελληνικές επιχειρήσεις, με το Security Manager MDR της Alphabit

Το μέλλον της ασφάλειας: Η αυξανόμενη ανάγκη για επενδύσεις IGA

HybridSIEM – Η επόμενη γενιά υπηρεσιών SIEM από την BeSecure