Insider Threat Detection and Prevention

Σήμερα, το κυβερνοέγκλημα και η διαρροή πληροφοριών αναπτύσσονται σε μία αγορά πολλών εκατομμυρίων ευρώ. Πληθώρα κακόβουλων ομάδων μεταδίδουν ιούς και worms με σκοπό να βάλουν τις επιχειρηματικές δραστηριότητες ενός οργανισμού, αλλά και να επωφεληθούν οικονομικά από αυτό.

Παναγιώτης Γεωργίου
Information Security Consultant, Networking Division
Space Hellas
www.space.gr

Η κλοπή ταυτότητας, η πώληση ευαίσθητων πληροφοριών σε ανταγωνιστές, η κατάχρηση εμπιστευτικών δεδομένων πελατών και η ζημία του εταιρικού brand, είναι μόνο μερικοί από τους τρόπους με τους οποίους αυτές οι ομάδες, μπορούν να επωφεληθούν από την παραβίαση της ασφάλειας και την κλοπή εμπιστευτικού περιεχομένου.

Η απειλή επίθεσης στην εξωτερική περίμετρο της εταιρείας αποτελεί πλέον καθημερινότητα και απαιτεί ανάπτυξη στρατηγικής και μέτρα αντιμετώπισης. Η μαζική απώλεια δεδομένων όμως, μπορεί να προκύψει και από εσωτερικές δραστηριότητες (Insider Threat).

Ως εσωτερική απειλή (Insider Threat), χαρακτηρίζεται συχνά ο εργαζόμενος που εκτελεί κακόβουλη συμπεριφορά, κλοπή δεδομένων ή φυσικών συσκευών ή σκόπιμη διαρροή εμπιστευτικών πληροφοριών. Insider Threat, αποτελεί ωστόσο και κάθε εργαζόμενος ή συσκευή με πληροφορίες. Οι χρήστες είναι απειλές εμπιστευτικών πληροφοριών, ακόμα και όταν μιλούν δυνατά για εμπιστευτικές πληροφορίες μέσω τηλέφωνου σε έναν κοινόχρηστο χώρο, όπως το αεροδρόμιο ή αν χάσουν ένα φορητό υπολογιστή με μη-κρυπτογραφημένα εταιρικά δεδομένα.

Αίτια και προέλευση

Εξετάζοντας τα αίτια και την προέλευση του Insider Threat, καταλήγουμε σε εγγύς και οικείες περιοχές: το εσωτερικό του οργανισμού. Αυτό, δεν επισυνάπτεται απλά στο δίκτυο ή τις υπηρεσίες πληροφορικής, αλλά κυρίως στην οργάνωση και τις διαδικασίες της εταιρείας οι οποίες υποβοηθούν την απώλεια πληροφορίας.

Η διαρροή δεδομένων συχνά προκύπτει από την επικίνδυνη συμπεριφορά των υπαλλήλων που δεν γνωρίζουν ότι οι ενέργειές τους, δεν είναι ασφαλείς. Μερικά από αυτά τα προβλήματα μπορούν να αποδοθούν στην έλλειψη εταιρικής πολιτικής ή στην ανεπαρκή επικοινωνία αυτής, προς τους εργαζόμενους. Σε άλλες περιπτώσεις, οι διαχειριστές θεωρούν δεδομένο τον επαγγελματισμό, την επίγνωση (awareness) και τις προφυλάξεις κοινής λογικής από την πλευρά των εργαζομένων.

Συνηθισμένα παραδείγματα συμπεριφοράς των εργαζομένων που δείχνουν έλλειψη επιμέλειας σε σχέση με τη διαφύλαξη ευαίσθητων πληροφοριών, περιλαμβάνουν την αφιλτράριστη ομιλία σχετικά με εμπιστευτικές πληροφορίες, ξεκλείδωτους σταθμούς εργασίας, εκτεθειμένους κωδικούς και πρόσβαση σε μη εξουσιοδοτημένους ιστότοπους. Μια ιδιαίτερα μεγάλη απειλή σε αυτόν τον τομέα, προέρχεται από τους χρήστες που χάνουν εταιρικές συσκευές, όπως φορητοί υπολογιστές, κινητά τηλέφωνα και μέσα αποθήκευσης δεδομένων. Τα φυσικά μεγέθη και η χωρητικότητα των φορητών δίσκων επιτρέπουν πλέον την εύκολη διακίνηση μεγάλου συνόλου ευαίσθητων δεδομένων.

Επίσης, ο χρήστης ο οποίος είναι δυσαρεστημένος ή επιδιώκει οικονομικό όφελος μέσω παράνομων ενεργειών σχετιζόμενων με εταιρικούς πόρους, μπορεί να μετατραπεί σε εσωτερική απειλή με αποτέλεσμα την απώλεια δεδομένων, καταρρίπτοντας τη θεωρία ότι οι σημαντικότερες απειλές για την ασφάλεια, προέρχονται από το εξωτερικό περιβάλλον του οργανισμού. Οι χρήστες με κακή πρόθεση και κίνητρο το κέρδος, μπορούν να χρησιμοποιήσουν το επίπεδο πρόσβασής τους για να προκαλέσουν ακόμη μεγαλύτερες οικονομικές απώλειες από τις εξωτερικές απειλές. Η νόμιμη πρόσβαση στο δίκτυο και η διαχείριση συσκευών, όπως οι φορητοί υπολογιστές και τα smartphones, καθιστούν εύκολη τη διαρροή εταιρικών δεδομένων.

Όλα τα παραπάνω συνάδουν στη δημιουργία του φαινομένου Insider Threat, καθώς η έλλειψη ορατότητας στα δεδομένα και στη μετακίνησή τους το ενισχύει, εμποδίζοντας έτσι την προστασία από αυτό. Σε έναν οργανισμό ο οποίος έχει περάσει την εποχή του Digitization και δε χρησιμοποιεί την τεχνολογία πληροφορικής για να λύσει καθημερινά προβλήματα και να προστατεύσει τα δεδομένα του, η απειλή του Insider Threat θα εγκαθιδρυθεί και θα επεκταθεί και εκτός της εταιρείας, πλήττοντας όχι μόνο τα οικονομικά, αλλά και το όνομα της εταιρείας.

Το τοπίο της διαρροής εταιρικών δεδομένων, αναμένεται να διαμορφωθεί από τη ραγδαία αύξηση τέτοιων περιστατικών και την ήδη μεγάλη δημοσιότητα που λαμβάνουν οι εταιρείες οι οποίες χάνουν λογαριασμούς πελατών και άλλα προσωπικά στοιχεία (PII), με μεγάλο δείκτη την έλλειψη ορατότητας, αλλά και την ενημέρωση για το συμβάν πριν αυτό πάρει διαστάσεις.

Προτεινόμενες πρακτικές αντιμετώπισης

Στα περισσότερα προβλήματα ασφάλειας πληροφορίας και δεδομένων, η τεχνολογία καλείται να δώσει κατεύθυνση. Στην περίπτωση της εσωτερικής απειλής και διαρροής δεδομένων, μόνο μία συγκροτημένη λύση τεχνολογίας και διαδικασιών θα εμποδίσει τη γεωμετρικώς αυξανόμενη απώλεια στην οποία παρασέρνει έναν οργανισμό, το φαινόμενο Insider Threat.

Οι προτεινόμενες πρακτικές και στις δύο πλευρές περιλαμβάνουν:

Προώθηση κουλτούρας με γνώμονα την ασφάλεια, στην οποία η προστασία δεδομένων είναι αναπόσπαστο κομμάτι της εργασίας κάθε υπαλλήλου και όχι απλά, ένα πρόσθετο βαρύ καθήκον.
Παροχή εργαλείων και εκπαίδευσης που χρειάζονται οι εργαζόμενοι για να διατηρούν τα δεδομένα ασφαλή, αρχίζοντας από την πρώτη ημέρα της πρόσληψης τους και αποτελώντας επαναλαμβανόμενη διαδικασία.
Αξιολόγηση συμπεριφοράς των εργαζομένων και των συναφών κινδύνων βάσει παραγόντων όπως, η εντοπιότητα και το διαρκώς μεταλλασσόμενο threat landscape.
Διαρκής ανάλυση των κινδύνων κάθε αλληλεπίδρασης μεταξύ χρηστών, εφαρμογών, δεδομένων και δικτύων, με δυνατότητα ιστορικότητας για χρήση σε υποθέσεις digital forensics και κανονισμών, όπως το GDPR.
Δημιουργία, επικοινωνία και επιβολή πολιτικών ασφαλείας. Η επίγνωση ασφαλούς συμπεριφοράς στο χώρο εργασίας, πρέπει να επεκτείνεται στα δεδομένα και την πληροφορία.

Τεχνολογικές λύσεις

Παλαιότερα, η τεχνολογία η οποία προσπαθούσε να αποτελέσει εργαλείο για λίγα από τα παραπάνω ήταν το Data Loss/Leak Prevention. Η τεχνολογία αυτή βασίζεται στον έλεγχο πολλαπλών καναλιών επικοινωνίας, όπως:

Network Shares
File copy/move/delete
Clipboard (Copy/Paste)
Web (http/https) και FTP upload/download
Removable drives και Printing
E-mail attachment/body text

Δομικό στοιχείο είναι το αρχείο και το κείμενο, ενώ η εφαρμογή της πολιτικής είναι απλά ο περιορισμός χρήσης κάποιου καναλιού ή η κρυπτογράφηση της πληροφορίας. Τα πλέον εξελιγμένα προϊόντα σε αυτό τον τομέα περιλαμβάνουν με μέτρο, τεχνικές fingerprinting, OCR και machine-learning. Πλέον, οι λύσεις αυτές ενσωματώνονται ή ενοποιούνται με αποκλειστικές λύσεις Insider Threat Detection and Prevention.

Σήμερα, η προσέγγιση Insider Threat Detection and Prevention αλλάζει τη βάση αυτή και προσεγγίζει τον χρήστη και την επικοινωνία του με αρχεία, δεδομένα, υπηρεσίες, κοινωνικά δίκτυα και άλλους χρήστες. Ο πυρήνας είναι context και analytics σε αυτό, με το machine-learning και τα στατιστικά μοντέλα να αποτελούν αναπόσπαστα κομμάτια του και όχι προαιρετικά ‘add-on’.

Πλεονεκτήματα

Σημαντικά πλεονεκτήματα περιλαμβάνουν, χωρίς να περιορίζονται μόνο στα παρακάτω:

Ο χρήστης δεν είναι απλά ενσωμάτωση με το οποιοδήποτε Directory Service, αλλά το κέντρο της ανάλυσης και η πηγή context σε μία λύση Insider Threat.
Η συλλογή δεδομένων γίνεται από τη συνολική δραστηριότητα του χρήστη και όχι απλά από κάποια κανάλια επικοινωνίας και συγκεκριμένα πρωτόκολλα.
Ο εντοπισμός ύποπτης συμπεριφοράς ή κατάστασης εκτός πολιτικής υλοποιείται με αυτόματο τρόπο, χωρίς όμως να αποκλείει το διαχειριστή από τη διαδικασία επέμβασης.
Η ορατότητα στη συμπεριφορά της πληροφορίας την οποία χειραγωγεί ο χρήστης, δεν αφορά μόνο στατιστικά και αναφορές, αλλά δυναμικά dashboards, timelines, διαγράμματα συσχετισμού, ακόμα και δυνατότητα καταγραφής εικόνας και ήχου από το σταθμό εργασίας.

Πηγές πληροφορίας και ανάλυσης εκτός αυτών που κληρονομούνται από μία σύγχρονη DLP λύση, αποτελούν:

E-mail message: Το μήνυμα συνολικά, περιεχόμενο, attachment και headers (Subject, senders, time/date).
Web-traffic: Aρχεία, forums, chat (π.χ. Skype, Viber, WhatsApp), social networks (π.χ. Facebook, LinkedIn) και cloud storage (π.χ. Dropbox).
Instant Messaging: Jabber, Google Talk, Yahoo, Skype, Viber, WhatsApp κ.α. Databases: Μεταφορά δεδομένων και queries σε MS SQL, MySQL, PostegreSQL κ.α.
Keyboard monitoring: καταγραφή του πληκτρολογίου στο σταθμό εργασίας.
IP telephony: μηνύματα φωνής και κειμένου SIP.
Remote audio/video recording: Καταγραφή on-demand ή προγραμματισμένα.

Τα παραπάνω επεξεργάζονται από ευφυείς μηχανισμούς και αλγορίθμους, δίνοντας ένα εργαλείο ενημέρωσης και διαχείρισης μέσα από το οποίο λαμβάνονται αποφάσεις, παράγονται αδιάσειστα συμπεράσματα και εκτελούνται ενέργειες.

Έτσι, ο διαχειριστής έχει στη διάθεση του:

Καθημερινή δραστηριότητα του χρήστη με το ακριβές χρονικό διάστημα το οποίο αφιέρωσε στα social media ή σε εταιρικές εφαρμογές.
Παραβίαση κανόνων ασφαλείας και πολιτικών.
Γράφημα αλληλεπίδρασης κάθε χρήστη με εφαρμογές, αρχεία και άλλους χρήστες, π.χ. αριθμό e-mails τα οποία αντάλλαξαν δύο χρήστες ή πόσες φορές άλλαξε ένα πεδίο σε μία βάση δεδομένων.
Αποθηκευμένα video και ηχογραφήσεις σταθμών εργασίας παραβιασμένους από άτομα με κακή πρόθεση.

Συνοπτικά, μία λύση Inside Threat Detection and Prevention δεν είναι απλά η εξέλιξη του DLP, αλλά ένας νέος τομέας προστασίας απειλών κατά της πληροφορίας. Τα επόμενα χρόνια θα αποτελέσει την προηγμένη λύση μέσα στο Data, Information και Endpoint Protection.

Πολιτική Ασφαλείας

Συνεπώς, τα παραπάνω απαιτείται να συνδυαστούν με το σημαντικότερο συστατικό μιας τέτοιας λύσης, την πολιτική ασφάλειας του οργανισμού. Η πολιτική ασφάλειας θα πρέπει να αποτυπωθεί σε μορφή ρυθμίσεων σε ένα σύστημα, αυτό είναι και το πιο απλό βήμα, το δυσκολότερο και σημαντικότερο είναι η μετάφραση της πολιτικής ασφάλειας του οργανισμού σε τεχνολογία.

H Space Hellas διαθέτει κορυφαία τεχνογνωσία στην τεχνολογία ασφάλειας πληροφοριών με εξιδεικευμένο και πιστοποιημένο προσωπικό που σχεδιάζει και υλοποιεί εξελιγμένες λύσεις, οι οποίες προσαρμόζονται στις ανάγκες του πελάτη. Παρέχει προηγμένα professional και managed services και αναλαμβάνει την end-to-end υλοποίηση, αλλά και πραγματοποίηση της πολιτικής ασφαλείας σε μία λύση Inside Threat Detection and Prevention με γνώμονα τις απαιτήσεις του οργανισμού και το νέο κανονιστικό πλαίσιο.

Η σημαντική επίδραση των Ευρωπαϊκών οδηγιών NIS2 και DORA

H εμπειρία συναντά την καινοτομία στην PeS Cybersecurity

Η ενίσχυση της εταιρικής κουλτούρας κυβερνοασφάλειας είναι μείζονος σημασίας

Επιχειρηματικές αποφάσεις και προστασία προσωπικών δεδομένων

Η σημασία των λύσεων Managed Detection and Response (MDR)

SIEM, SOC, MDR an evolving journey

Αντιμετώπιση Σύνθετων Κυβερνοαπειλών με την υπηρεσία AI-Driven XDR της ADACOM

Sophos MDR – Προσέχει για εσάς, ακόμα και χωρίς εσάς

Ενίσχυση κυβερνοασφάλειας με Υπηρεσίες Διαχειριζόμενης Ανίχνευσης & Απόκρισης της ESET

Bitdefender MDR: Όλα όσα θέλετε να ξέρετε για το νέο Cyber Security Trend

Ενίσχυση κυβερνοασφάλειας με αξιοποίηση ολοκληρωμένων MDR λύσεων

Trend Micro Worry-Free with CO-Managed XDR

Νέες ευκαιρίες ασφάλειας για τις ελληνικές επιχειρήσεις, με το Security Manager MDR της Alphabit

Το μέλλον της ασφάλειας: Η αυξανόμενη ανάγκη για επενδύσεις IGA

HybridSIEM – Η επόμενη γενιά υπηρεσιών SIEM από την BeSecure

Insider Threat Detection and Prevention

ΣΧΕΤΙΚΑ ΑΡΘΡΑ

7o συνεχόμενο ρεκόρ στο κύκλο εργασιών της ανακοίνωσε η Space Hellas συνεχίζοντας την αναπτυξιακής της πορεία

O Όμιλος Space Hellas στη διεθνή έκθεση BEYOND

SIEM, SOC, MDR an evolving journey