Každoročně Verizon vydává Data Breach Investigation Report (DBIR), který vyhodnocuje stav bezpečnosti a poskytuje detailní statistiky o hlavních zranitelnostech, odvětvích zasažených největšími incidenty a další kyberbezpečnostní data. Ve zprávě za rok 2019 můžeme nalézt zajímavé informace o hrozbách insiderů (insider threats).

Na rozdíl od vnějších hrozeb, jako jsou hackeři nebo malware, hrozby insiderů vycházejí zevnitř z organizace – mohou to být např. záškodničtí nebo jen nedbalí zaměstnanci. Ve zprávě společnosti Verizon z roku 2019 výzkumníci zjistili, že přibližně 34 % bezpečnostních incidentů se týkalo interních zaměstnanců. Navíc se toto procento od roku 2015 zvyšuje. Dalším problémem je skutečnost, že 29 % incidentů zahrnovalo použití odcizených přihlašovacích údajů a 15 % pocházelo od legitimně autorizovaných uživatelů.

Co to pro podnik znamená? Pokud za jedním ze tří incidentů stojí interní lidé, je potřeba se zaměřit na zabezpečení dat před hrozbami insiderů. K tomu slouží řešení jako Cloud Access Security Brokery (CASB), které poskytují sadu funkcí adresujících tyto výzvy. Níže uvádíme vybrané funkce, které se v těchto případech ukazují jako velmi užitečné.

Kontextové řízení přístupu

Správné nastavení přístupu k cloudovým aplikacím a datům v nich uložených může představovat dlouhou cestu k zajištění prevence narušení. Kontextové řízení přístupu (contextual access control) je funkce CASB, která řídí přístup k datům na základě různých  souvislostí a faktorů, včetně uživatelských skupin, typů zařízení, geografického umístění, nebo kategorie informací, ke kterým se přistupuje. To neznamená jen, že neoprávněným uživatelům není umožněn k datům přístup– spíše je to o tom, že je přístup přidělen pouze správným osobám.

Analýza chování uživatelů a entit

Je jedno, jestli jsou uživatelé neobezřetní, zákeřní nebo nezáměrně předali své přihlašovací údaje hackerovi prostřednictvím phishingového útoku, kritickým nástrojem ochrany podnikových zdrojů je analytika chování uživatelů a entit (User Identity Behaviour Analytics – UEBA). Ta je založena na vyhodnocování chování uživatelů pomocí strojového učení. Aktivně detekuje podezřelé nebo neobvyklé odchylky od normálního stavu, čímž dokáže v reálném čase identifikovat uživatele, který se např. přihlašuje do Office 365 v neobvyklém čase a stahuje netypické množství nebo typ dat. Na základě toho lze ihned provádět nápravné akce, jako je postupné, vícefaktorové ověřování uživatele za běhu.

Vzhledem k tomu, že v posledních několika letech hrozby insiderů stále rostou, je nezbytné, aby se před nimi organizace začaly účinněji bránit. To bude vyžadovat využití nástrojů, jako jsou výše uvedené CASB, jakož i funkce pro správu externího sdílení, šifrování, bezpečného zero-trust přístupu a další. Pokud se organizace budou těmito radami řídit, mělo by do konce roku 2020 dojít k poklesu počtu incidentů způsobených insidery.

Chcete-li se dozvědět více o Cloud Access Security Brokerech a o tom, jak mohou chránit váš podnik před únikem dat, malwarem a dalšími, stáhněte si níže uvedené hlavní příklady použití CASB.


Autor: Jacob Serpa, Bitglass
Překlad a úpravy: Jan Mazal, VPGC
Zdroj: Bitglass – The Rise of Insider Threats in Verizon’s DBIR