Každoročne Verizon vydáva Data Breach Investigation Report (DBIR), ktorý vyhodnocuje stav bezpečnosti a poskytuje detailné štatistiky o hlavných zraniteľnostiach, sektoroch zasiahnutých najväčšími incidenty a ďalšie kyberbezpečnostní dáta. V správe za rok 2019 môžeme nájsť zaujímavé informácie o hrozbách insiderov (insider threats).
Na rozdiel od vonkajších hrozieb, ako sú hackeri alebo malware, hrozby insiderov vychádzajú zvnútra z organizácie – môžu to byť napr. záškodnícki alebo len nedbalí zamestnanci. V správe spoločnosti Verizon z roku 2019 výskumníci zistili, že približne 34 % bezpečnostných incidentov sa týkalo interných zamestnancov. Navyše sa toto percento od roku 2015 zvyšuje. Ďalším problémom je skutočnosť, že 29 % incidentov zahŕňalo použitie odcudzených prihlasovacích údajov a 15 % pochádzalo od legitímne autorizovaných používateľov.
Čo to pre podnik znamená? Ak za jedným z troch incidentov stoja interní ľudia, je potrebné sa zamerať na zabezpečenie dát pred hrozbami insiderov. K tomu slúži riešenia ako Cloud Access Security Broker (CASB), ktoré poskytujú sadu funkcií adresujúcich tieto výzvy. Nižšie uvádzame vybrané funkcie, ktoré sa v týchto prípadoch ukazujú ako veľmi užitočné.
Kontextové riadenie prístupu
Správne nastavenie prístupu k cloudovým aplikáciám a dátam v nich uložených môže predstavovať dlhú cestu k zabezpečeniu prevencie narušenia. Kontextové riadenie prístupu (Contextual access control) je funkcia CASB, ktorá riadi prístup k dátam na základe rôznych súvislostí a faktorov, vrátane používateľských skupín, typov zariadení, geografického umiestnenia, alebo kategórie informácií, ku ktorým sa pristupuje. To neznamená len, že neoprávneným užívateľom nie je umožnený k dátam prístup – skôr je to o tom, že je prístup pridelený iba správnym osobám.
Analýza správania užívateľov a entít
Je jedno, či sú užívatelia neobozretní, zákerní alebo nezámerne odovzdali svoje prihlasovacie údaje hackerovi prostredníctvom phishingového útoku, kritickým nástrojom ochrany podnikových zdrojov je analytika správania užívateľov a entít (User Identity Behaviour Analytics – UEBA). Tá je založená na vyhodnocovaniu správania užívateľov pomocou strojového učenia. Aktívne detekuje podozrivé alebo neobvyklé odchýlky od normálneho stavu, čím dokáže v reálnom čase identifikovať užívateľa, ktorý sa napr. prihlasuje do Office 365 v neobvyklom čase a sťahuje netypické množstvo alebo typ dát. Na základe toho možno ihneď vykonať nápravné akcie, ako je postupné, multifaktorové overovanie používateľa za behu.
Vzhľadom k tomu, že v posledných niekoľkých rokoch hrozby insiderov stále rastú, je nevyhnutné, aby sa pred nimi organizácie začali účinnejšie brániť. To bude vyžadovať využitie nástrojov, ako sú vyššie uvedený CASB, ako aj funkcie pre správu externého zdieľania, šifrovanie, bezpečného zero-trust prístupu a ďalšie. Ak sa organizácie budú týmito radami riadiť, malo by do konca roku 2020 dôjsť k poklesu počtu incidentov spôsobených insidermi.
Autor: Jacob Serpa, Bitglass
Preklad a úpravy: Jan Mazal, VPGC
Zdroj: Bitglass – The Rise of Insider Threats in Verizon’s DBIR