Trace Id is missing
Преминаване към основното съдържание
Microsoft Security

Какво е вътрешна заплаха?

Проучете как да защитите организацията си от вътрешни действия, включително потребители с разрешен достъп, които могат умишлено или неволно да причинят инцидент, свързан със сигурността на данните.

Определяне на вътрешна заплаха

Преди вътрешните лица да се превърнат в заплаха, те са риск, който се определя като възможността дадено лице да използва оторизиран достъп до активите на организацията - злонамерено или непреднамерено - по начин, който оказва отрицателно въздействие върху организацията. Достъпът включва както физически, така и виртуален достъп, а активите включват информация, процеси, системи и съоръжения.

Какво е вътрешен човек?

Вътрешен човек е доверено лице, което е получило достъп или има познания за ресурси, данни или система на компанията, които не са общодостъпни за обществеността, включително:

  • Хора, които имат обозначителен знак или друго устройство, което им позволява постоянен достъп до физическата собственост на компанията, като например център за данни или централа на компанията.
  • Хора, които разполагат с фирмен компютър с достъп до мрежата.
  • Хора, които имат достъп до корпоративната мрежа, облачните ресурси, приложенията или данните на дадена компания.
  • Хора, които имат познания за стратегията на дадена компания и познават нейните финансови показатели.
  • Хората, които създават продуктите или услугите на компанията.

Типове вътрешни заплахи

Вътрешните рискове са по-трудни за откриване от външните заплахи, тъй като вътрешните лица вече имат достъп до активите на организацията и са запознати с нейните мерки за сигурност. Познаването на видовете вътрешни рискове помага на организациите да защитят по-добре ценните си активи.

  • Инцидент

    Понякога хората правят грешки, които могат да доведат до потенциални инциденти със сигурността. Например бизнес партньор изпраща документ с данни за клиенти на свой колега, без да знае, че той не е упълномощен да преглежда тази информация. Или служител реагира на фишинг кампания и по невнимание инсталира зловреден софтуер.

  • Злонамерен

    При злонамерен инцидент със сигурността, причинен от вътрешен човек, служител или доверено лице умишлено прави нещо, за което знае, че ще се отрази негативно на компанията. Такива лица могат да бъдат мотивирани от лични оплаквания или други лични причини и да търсят финансова или лична изгода чрез действията си.

  • Небрежност

    Небрежността е подобна на злополука, тъй като лицето не е имало намерение да причини инцидент със сигурността на данните. Разликата е, че те могат съзнателно да нарушат политика за сигурност. Често срещан пример е, когато служител позволи на някого да влезе в сградата, без да покаже обозначение. Дигитален еквивалент на това би било пренебрегването на политиката за сигурност без внимателно обмисляне в името на бързината и удобството или влизането в ресурсите на компанията чрез незащитена безжична връзка.

  • Заговор

    Някои вътрешни инциденти със сигурността са резултат от сътрудничество на доверено лице с киберпрестъпна организация за извършване на шпионаж или кражба. Това е друг вид злонамерен вътрешен риск.

Как възникват злонамерени вътрешни инциденти?

Злонамерените инциденти, причинени от вътрешни лица, могат да се проявят по различни начини, освен като типична кибератака. Ето някои често срещани начини, по които вътрешни лица могат да причинят инциденти със сигурността:

  • Насилие

    Вътрешните лица могат да използват насилие или заплаха за насилие, за да сплашват други служители или да изразяват недоволство в организацията. Насилието може да бъде под формата на вербална злоупотреба, сексуален тормоз, сплашване, нападение или други заплашителни действия.

  • Шпионаж

    Шпионажът се отнася до практиката на кражба на търговски тайни, поверителна информация или интелектуална собственост, принадлежащи на дадена организация, с цел осигуряване на предимство на конкурент или друга страна. Например в дадена организация може да проникне злонамерен вътрешен човек, който събира финансова информация или чертежи на продукти, за да получи конкурентно предимство на пазара.

  • Саботаж

    Вътрешният човек може да е недоволен от организацията и да се чувства мотивиран да навреди на нейната физическа собственост, данни или цифрови системи. Саботажът може да се прояви по различни начини, като например повреждане на оборудване или компрометиране на поверителна информация.

  • Измама

    Вътрешните лица могат да извършат измама с цел лична изгода. Например злонамерен вътрешен човек може да използва кредитната карта на компанията за лични цели или да подаде фалшиви или завишени искания за разходи.

  • Кражба

    Вътрешните лица могат да откраднат активи на организацията, чувствителни данни или интелектуална собственост с цел лична изгода. Например напускащ служител, който е мотивиран от лична изгода, може да изнесе поверителна информация за бъдещия си работодател или изпълнител, нает от организацията за изпълнение на конкретни задачи, може да открадне поверителни данни в своя полза.

Седем индикатора за вътрешен риск

Както хората, така и технологиите играят роля в откриването на вътрешни рискове. Ключът е да се установи базова линия за това какво е нормално, така че да е по-лесно да се идентифицират необичайните дейности.

  • Промени в дейността на потребителя

    Колегите, мениджърите и партньорите може би са в най-добра позиция да разберат дали някой е станал рисков за организацията. Например рисков вътрешен човек, който е мотивиран да предизвика инцидент, свързан със сигурността на данните, може да има внезапни наблюдаеми промени в отношението като необичаен признак.

  • Аномална ексфилтрация на данни

    Служителите често имат достъп до поверителни данни и ги споделят по време на работа. Когато обаче даден потребител внезапно сподели или изтегли необичаен обем чувствителни данни в сравнение с предишните си дейности или с други потребители в подобна роля, това може да означава потенциален инцидент, свързан със сигурността на данните.

  • Последователност от свързани рискови дейности

    Едно действие на потребителя, като например изтегляне на поверителни данни, може да не представлява потенциален риск само по себе си, но поредица от действия може да показва потенциални рискове за сигурността на данните. Например да предположим, че даден потребител е преименувал поверителни файлове, за да изглеждат по-малко чувствителни, изтеглил ги е от хранилище в облак, записал ги е на преносимо устройство и ги е изтрил от хранилището в облак. В този случай може да се предположи, че потребителят потенциално се опитва да изнесе чувствителни данни, като избягва откриването им.

  • Ексфилтриране на данни на напускащ служител

    Ексфилтрирането на данни често се увеличава заедно с подаването на оставки и може да бъде умишлено или неумишлено. Непреднамерен инцидент може да изглежда като неволно копиране на чувствителни данни от напускащ служител, за да запази запис на постиженията си в своята роля, докато злонамерен инцидент може да изглежда като съзнателно изтегляне на чувствителни данни с цел лична изгода или подпомагане на следващата му позиция. Когато събитията, свързани с оставката, съвпадат с други необичайни дейности, това може да означава инцидент, свързан със сигурността на данните.

  • Необичаен достъп до системата

    Потенциалните вътрешни рискове могат да започнат с достъп на потребителите до ресурси, които обикновено не са им необходими за тяхната работа. Например потребители, които обикновено имат достъп само до системи, свързани с маркетинга, изведнъж започват да имат достъп до финансови системи по няколко пъти на ден.

  • Заплашване и тормоз

    Един от ранните признаци за вътрешни рискове може да бъде потребител, който изразява заплахи, тормоз или дискриминационна комуникация. Това не само накърнява културата на компанията, но може да доведе и до други потенциални инциденти.

  • Разширяване на правата

    Организациите обикновено защитават и управляват ценни ресурси, като предоставят привилегирован достъп и роли на ограничен персонал. Ако служител се опитва да разшири привилегиите си без ясна бизнес обосновка, това може да е признак за потенциален вътрешен риск.

Примери за вътрешни заплахи

Инциденти, свързани с вътрешни заплахи, като кражба на данни, шпионаж или саботаж, са се случвали в организации от всякакъв мащаб през годините. Няколко примера са:

  • Кражба на търговски тайни и продажбата им на друга компания.
  • Хакване на облачната инфраструктура на компания и изтриване на хиляди клиентски акаунти.
  • Използване на търговски тайни за създаване на нова компания.

Значение на цялостното управление на вътрешен риск

Цялостната програма за управление на вътрешния риск, която дава приоритет на отношенията между служителите и работодателите и интегрира контрола върху неприкосновеността на личния живот, може да намали броя на потенциалните вътрешни инциденти със сигурността и да доведе до по-бързото им откриване. Неотдавнашно проучване, проведено от Microsoft, установи, че компаниите с цялостна програма за управление на вътрешен риск, имат 33% по-голяма вероятност за бързо откриване на риск, свързан с вътрешна информация, и 16% по-голяма вероятност за бързо отстраняване, отколкото компаниите с по-фрагментиран подход.1

Как да се предпазим от вътрешни заплахи

Организациите могат да се справят с риска от вътрешна информация по цялостен начин, като се фокусират върху процесите, хората, инструментите и образованието. Използвайте следните най-добри практики, за да разработите програма за управление на вътрешните рискове, която изгражда доверие у служителите и спомага за укрепване на сигурността ви:

  • Приоритизиране на доверието и поверителността на служителите

    Изграждането на доверие сред служителите започва с приоритизиране на тяхната поверителност. За да създадете усещане за комфорт в своята програма за управление на вътрешен риск, обмислете въвеждането на процес на многостепенно одобрение за започване на разследвания, свързани с вътрешна информация. Освен това е важно да се одитират дейностите на лицата, провеждащи разследвания, за да се гарантира, че те не превишават границите си. Въвеждането на контрол на достъпа въз основа на ролите, за да се ограничи достъпът на екипа по сигурността до данните от разследването, също може да помогне за запазване на поверителността. Анонимизирането на потребителските имена по време на разследванията може допълнително да защити неприкосновеността на личния живот на служителите. И накрая, помислете за изтриване на флаговете на потребителите след определен период от време, ако разследването не продължи.

  • Използване на положителни възпиращи фактори

    Въпреки че много програми за риск от вътрешна информация разчитат на негативни възпиращи мерки, като например политики и инструменти, които ограничават рисковите дейности на служителите, от решаващо значение е тези мерки да бъдат балансирани с превантивен подход. Положителните възпиращи фактори, като например събития, свързани с морала на служителите, задълбочено въвеждане в работата, продължаващо обучение и образование в областта на сигурността на данните, обратна връзка и програми за баланс между професионалния и личния живот, могат да помогнат за намаляване на вероятността от събития с вътрешна информация. Като взаимодействат със служителите по продуктивен и проактивен начин, позитивните възпиращи мерки са насочени към източника на риска и насърчават културата на сигурност в организацията.

  • Постигане на съгласие в цялата компания

    ИТ екипите и екипите по сигурността могат да носят основната отговорност за управлението на риска, свързан с вътрешни лица, но е от съществено значение да се ангажира цялата компания в тези усилия. Такива отдели като човешки ресурси, спазване на изискванията и правен отдел играят важна роля в определянето на политики, комуникацията със заинтересованите страни и вземането на решения по време на разследване. За да разработят по-всеобхватна и ефективна програма за управление на вътрешния риск, организациите трябва да търсят подкрепа и участие от всички области на компанията.

  • Използване на интегрирани и цялостни решения за сигурност

    Ефективната защита на вашата организация от вътрешни рискове изисква не само внедряване на най-добрите инструменти за сигурност, но и интегрирани решения, които осигуряват видимост и защита на цялото предприятие. Когато решенията за сигурност на данните, управление на идентичността и достъпа, разширено откриване и реакция (XDR) и информация за защита и управление на събития (SIEM) са интегрирани, екипите по сигурността могат ефективно да откриват и предотвратяват вътрешни инциденти.

  • Провеждане на ефективно обучение

    Служителите играят ключова роля в предотвратяването на инциденти, свързани със сигурността, което ги прави първата линия на защита. Сигурността на активите на вашата компания изисква да се привлече вниманието на служителите, което от своя страна повишава цялостната сигурност на организацията. Един от най-ефективните методи за създаване на такова разбиране е обучението на служителите. Като обучавате служителите, можете да намалите броя на непреднамерените събития с вътрешна информация. Важно е да обясните как събитията, свързани с вътрешна информация, могат да повлияят както на компанията, така и на нейните служители. Освен това е изключително важно да се съобщават политиките за защита на данните и да се обучават служителите как да избягват потенциално изтичане на данни.

  • Използване на машинно обучение и изкуствен интелект

    Рисковете за сигурността на съвременното работно място са динамични и се характеризират с различни, постоянно променящи се фактори, които могат да затруднят тяхното откриване и реагиране. С помощта на машинното обучение и изкуствения интелект обаче организациите могат да откриват и смекчават вътрешните рискове с машинна скорост, което позволява адаптивна и ориентирана към хората сигурност. Тази усъвършенствана технология помага на организациите да разберат как потребителите взаимодействат с данните, да изчислят и назначат нива на риск и автоматично да приспособят подходящи контроли за сигурност. С помощта на тези инструменти организациите могат да оптимизират процеса на идентифициране на потенциалните рискове и да приоритизират ограничените си ресурси за справяне с високорисковите дейности на вътрешни лица. Това спестява ценно време на екипите по сигурността и същевременно осигурява по-добра сигурност на данните.

Решения за управление на вътрешен риск

Защитата срещу вътрешни заплахи може да бъде предизвикателство, тъй като е естествено да се доверяваме на тези, които работят за и с организацията. Бързото идентифициране на най-критичните вътрешни рискове и приоритизирането на ресурсите за тяхното разследване и смекчаване е от решаващо значение за намаляване на въздействието на потенциалните инциденти и нарушения. За щастие много инструменти за киберсигурност , които предотвратяват външни заплахи, могат да идентифицират и вътрешни заплахи.

Microsoft Purview предлага възможности за защита на информацията, управление на вътрешния риск и предотвратяване на загубата на данни (DLP) , за да ви помогне да получите видимост на данните, да откриете критични вътрешни рискове, които могат да доведат до потенциални инциденти със сигурността на данните, и да предотвратите ефективно загубата на данни.

Microsoft Entra ID ви помага да управлявате кой до какво има достъп и може да ви предупреди, ако активността на някой за влизане и достъп е рискова.

Microsoft Defender 365 е XDR решение, което ви помага да защитите облаците, приложенията, крайните точки и имейлите си от неоторизирани дейности. Правителствени организации като Агенцията за киберсигурност и инфраструктурна сигурност също предоставят насоки за разработване на програма за управление на вътрешни заплахи.

Чрез внедряването на тези инструменти и използването на експертни насоки организациите могат да управляват по-добре рисковете, свързани с вътрешна информация, и да защитават критичните си активи.

Научете повече за Microsoft Security

Microsoft Purview

Получете решения за управление, защита и съответствие за данните на вашата организация.

Научете повече

Управление на вътрешния риск на Microsoft Purview

Откривайте и смекчавайте рисковете, свързани с вътрешни лица, с готови за използване модели за машинно обучение.

Научете повече

Адаптивна защита в полезрението на Microsoft

Защитете данните с интелигентен и ориентиран към хората подход.

Научете повече

Изграждане на цялостна програма за управление на вътрешния риск

Научете повече за петте елемента, които помагат на компаниите да засилят сигурността на данните, като същевременно защитават доверието на потребителите.

Преглед на отчета

Защита от загуба на данни на Microsoft Purview

Предотвратяване на неоторизирано споделяне, прехвърляне или използване на данни в приложения, устройства и локални среди.

Научете повече

Съответствие за комуникациите на Microsoft Purview

Изпълнение на задълженията за спазване на нормативните изисквания и справяне с потенциални нарушения на бизнес поведението.

Научете повече

Microsoft threat protection

Защитете устройства, приложения, имейли, идентичности, данни и работни натоварвания в облака с единна защита от заплахи.

Научете повече

Microsoft Entra ID

Защитете достъпа до ресурси и данни, като използвате сигурно удостоверяване и правила за адаптивен достъп, базирани на риска.

Научете повече

Често задавани въпроси

  • Съществуват четири типа вътрешни заплахи. Случайна вътрешна заплаха е рискът някой, който работи за или с дадена компания, да допусне грешка, която потенциално да компрометира организацията, нейните данни или хора. Небрежен вътрешен риск е, когато някой съзнателно наруши политика за сигурност, но не иска да причини вреда. Злонамерена заплаха е, когато някой умишлено краде данни, саботира организацията или се държи агресивно. Друга форма на злонамерена заплаха е тайното споразумение, при което вътрешно лице си сътрудничи с лице извън организацията, за да причини вреда.

  • Управлението на вътрешния риск е важно, тъй като този вид инциденти могат да нанесат големи щети на организацията и нейните служители. С помощта на правилните политики и решения организациите могат да изпреварят потенциалните вътрешни заплахи и да защитят ценните активи на организацията.

  • Има няколко възможни признака за риск, свързан с вътрешна информация, включително внезапни промени в действията на потребителите, свързана поредица от рискови дейности, опити за достъп до ресурси, които не са необходими за работата им, опити за увеличаване на привилегиите, аномално изтичане на данни, изтичане на данни от напускащи служители и сплашване или тормоз.

  • Предотвратяването на вътрешни събития може да бъде трудно, тъй като рисковите дейности, които могат да доведат до инциденти със сигурността, се извършват от доверени лица, които имат връзки в организацията и оторизиран достъп. Цялостната програма за управление на вътрешния риск, която дава приоритет на отношенията между служителите и работодателите и интегрира контрола върху неприкосновеността на личния живот, може да намали броя на вътрешни инциденти със сигурността и да доведе до по-бързото им откриване. В допълнение към контрола на поверителността и фокуса върху морала на работниците, редовното обучение, ангажираността на цялата компания и интегрираните инструменти за сигурност могат да ви помогнат да намалите риска.

  • Злонамерената вътрешна заплаха е възможността доверено лице умишлено да навреди на организацията и на хората, които работят в нея. Това е различно от непреднамерените вътрешни рискове, които възникват, когато някой случайно компрометира компанията или наруши правило за сигурност, но не иска да навреди на компанията.

[1] „Как холистичният подход може да помогне на организацията? Ползите от цялостна програма за управление на риска, свързан с вътрешна информация“, в Изграждане на цялостна програма за управление на вътрешния риск: 5 елемента, които помагат на компаниите да имат по-силна защита и сигурност на данните, като същевременно защитават доверието на потребителите, Microsoft Security 2022, стр. 41.

Следвайте Microsoft Security