Trace Id is missing
Перейти к основному контенту
Microsoft Security

Что такое внутренняя угроза?

Узнайте, как защитить свою организацию от внутренних рисков, включая угрозу безопасности данных, которую случайно или преднамеренно могут создать сотрудники с санкционированным доступом.

Определена внутренняя угроза

Перед тем как стать угрозой, информированные участники являются рисками, которые определяются как потенциальные риски использования этими лицами санкционированного доступа к активам организации — будь то случайно или преднамеренно — что отрицательно влияет на организацию. Доступ может быть как физическим, так и виртуальным, а ресурсы подразумевают информацию, процессы, системы и объекты.

Кто является информированным участником?

Информированный участник — это доверенное лицо, имеющее доступ к ресурсам, данным или системам компании, которые обычно недоступны для широкой общественности, в том числе:

  • Люди, у которых есть пропуск или другое устройство, позволяющее им непрерывно получать доступ к физическому имуществу компании, например, к центру обработки данных или корпоративному головному офису.
  • Люди, у которых есть корпоративный компьютер с доступом к сети.
  • Люди, у которых есть доступ к корпоративной сети компании, облачным ресурсам, приложениям или данным.
  • Люди, располагающие знаниями о стратегии компании и ее финансах.
  • Люди, создающие продукты или услуги компании.

Типы внутренних угроз

Внутренние риски сложнее обнаружить, чем внешние угрозы, поскольку у инсайдеров уже есть доступ к активам организации и они знакомы с корпоративными мерами безопасности. Знание типов внутренних рисков может помочь организациям лучше защитить ценные ресурсы.

  • Происшествие

    Иногда люди совершают ошибки, которые могут привести к потенциальным нарушениям безопасности. Например, бизнес-партнер отправляет коллеге документ с данными клиента, не зная, что этому коллеге нельзя просматривать эту информацию. Или сотрудник отвечает на фишинговое сообщение и случайно устанавливает вредоносную программу.

  • Преднамеренные действия

    Преднамеренная угроза безопасности по вине инсайдера означает, что сотрудник или доверенное лицо намеренно совершает действия, зная, что оно негативно повлияет на компанию. Таким образом эти лица могут мстить за нанесенную им обиду или действовать исходя из других личных причин, а также пытаться получить финансовую или личную выгоду с помощью своих действий.

  • Неосторожность

    Неосторожность похожа на происшествие в том смысле, что сотрудник не хотел создавать угрозу безопасности данных. Разница заключается в том, что сотрудник может намеренно нарушить политику безопасности. Рассмотрим типичный пример: сотрудник позволяет постороннему лицу войти в здание, не спрашивая пропуск. Цифровым эквивалентом будет неосмотрительное переопределение политики безопасности, чтобы ускорить процесс или сделать его удобнее, или вход в ресурсы компании через незащищенное беспроводное подключение.

  • Сговор

    Некоторые внутренние угрозы безопасности являются результатом сотрудничества доверенного лица с киберпреступниками для осуществления шпионажа или кражи. Это еще один тип преднамеренного внутреннего риска.

Как осуществляются преднамеренные внутренние угрозы?

Вредоносные инциденты по вине инсайдеров могут возникать различными способами помимо стандартных кибератак. Вот несколько распространенных способов, с помощью которых инсайдеры нарушают безопасность:

  • Насилие

    Инсайдеры могут применять насилие или угрозу насилия, чтобы запугать других сотрудников или выразить свое недовольство организацией. Насилие может принимать форму словесного оскорбления, сексуального домогательства, притеснения, нападения или других действий угрожающего характера.

  • Шпионаж

    Под шпионской деятельностью подразумевается кража коммерческих секретов, конфиденциальной информации или интеллектуальной собственности, принадлежащих организации, с целью предоставления преимуществ конкуренту или другой стороне. Например, в организацию может проникнуть злоумышленник, который собирает финансовые сведения или схемы продуктов для получения конкурентных преимуществ на рынке.

  • Саботаж

    Инсайдер может быть не доволен организацией и быть заинтересован в том, чтобы нанести вред ее физическому имуществу, данным или цифровым системам. Саботаж может быть реализован разными способами, такими как нанесение ущерба оборудованию или компрометация конфиденциальной информации.

  • Мошенничество

    Инсайдеры могут совершать мошеннические действия в целях извлечения личной выгоды. Например, злоумышленник может использовать кредитную карту компании в личных целях или предоставлять для отчетности ложные или завышенные расходы.

  • Кража

    Для получения личной выгоды злоумышленники могут похитить активы организации, конфиденциальные данные или интеллектуальную собственность. Например, увольняющийся сотрудник может извлечь конфиденциальную информацию для своего будущего работодателя в целях личной выгоды, или подрядчик, нанятый организацией для выполнения определенных задач, может похитить конфиденциальные данные для использования в собственных интересах.

Семь индикаторов внутренних рисков

Для обнаружения внутренних рисков применяются как человеческие ресурсы, так и технологии. Главное — определить базовые показатели нормы, чтобы было проще выявлять необычные действия.

  • Изменения в действиях пользователей

    Сотрудники, руководители и партнеры могут быть первыми, кто распознает внутренний риск для организации. Например, в поведении инсайдера, который вознамерился нарушить безопасность данных, могут внезапно обнаружиться очевидные изменения.

  • Аномальная кража данных

    Сотрудники часто получают доступ к конфиденциальным данным на работе и делятся ими по долгу службы. Однако если пользователь внезапно предоставляет или скачивает необычно большой объем конфиденциальных данных по сравнению со своими предыдущими действиями или действиями коллег с похожей ролью, это может указывать на потенциальную угрозу безопасности данных.

  • Последовательность связанных рискованных действий

    Отдельное действие пользователя, например, загрузка конфиденциальных данных, может не представлять потенциальный риск само по себе, но ряд определенных действий может указывать на потенциальные угрозы безопасности данных. Предположим, пользователь переименовал конфиденциальные файлы, чтобы они казались менее конфиденциальными, скачал их из облачного хранилища, сохранил на переносное устройство и затем удалил их из облачного хранилища. В этом случае можно предположить, что пользователь вознамерился украсть конфиденциальные данные, действуя незаметно.

  • Кража данных увольняющимся сотрудником

    Кража данных часто возникает на фоне увольнения и может быть как преднамеренной, так и непреднамеренной. Непреднамеренный инцидент может выглядеть так, будто увольняющийся сотрудник случайно копирует конфиденциальные данные, чтобы зафиксировать свои достижения на этой должности, а в случае преднамеренной кражи он будет намеренно скачивать конфиденциальные данные для получения личной выгоды или в качестве помощи на следующей работе. Если увольнение совпадает с другими необычными действиями, это может указывать на угрозу безопасности данных.

  • Аномальный доступ к системе

    На потенциальные внутренние риски может указывать доступ пользователя к ресурсам, которые ему обычно не нужны для работы. Например, пользователи, которые обычно имеют доступ только к системам, связанным с маркетингом, внезапно начинают заходить в финансовые системы несколько раз в день.

  • Оскорбления и притеснения

    Одним из ранних признаков внутреннего риска могут быть угрозы, оскорбления или дискриминирующее общение со стороны пользователя. Это не только наносит вред культуре компании, но может привести и к другим потенциальным инцидентам.

  • Эскалация привилегий

    Организации обычно защищают и контролируют ценные ресурсы, назначая привилегированный доступ и роли ограниченному кругу сотрудников. Если сотрудник пытается эскалировать свои привилегии без четкого бизнес-обоснования, это может быть признаком потенциального внутреннего риска.

Примеры внутренних угроз

В организациях любого размера периодически страдают от таких инцидентов, как кража данных, шпионаж или саботаж. Вот несколько примеров:

  • Кража коммерческих тайн и продажа их другой компании.
  • Взлом облачной инфраструктуры компании и удаление тысяч учетных записей клиентов.
  • Использование коммерческих тайн для создания новой компании.

Важность комплексного управления рисками внутри организации

Комплексная программа управления внутренними рисками, которая уделяет приоритетное внимание отношениям между сотрудником и работодателем и интегрирует средства контроля конфиденциальности, может снизить количество потенциальных нарушений безопасности и ускорить выявление рисков. В ходе недавнего исследования, проведенного корпорацией Майкрософт, было обнаружено, что в компаниях с комплексной программой управления рисками на 33 процента выше вероятность быстрого обнаружения внутренних рисков и на 16 процентов выше вероятность быстрого устранения этих рисков, чем в компаниях с более разрозненным подходом.1

Защита от внутренних угроз

Организации могут комплексно решать проблему внутренних рисков, уделяя особое внимание процессам, людям, инструментам и образованию. Используйте следующие советы для разработки программы управления внутренними рисками, которая позволит выстроить доверительные отношения с сотрудниками и поможет усилить безопасность вашей компании:

  • Уделяйте приоритетное внимание доверительным отношениям с сотрудниками и защите их конфиденциальности

    Построение доверия между сотрудниками начинается с приоритезации их конфиденциальности. Чтобы сделать использование программы управления внутренними рисками более комфортным, рассмотрите возможность реализации многоуровневого процесса утверждения для инициации расследований внутри организации. Кроме того, важно проверять действия тех, кто проводит эти расследования, и следить за тем, чтобы они не выходили за рамки своих полномочий. Внедрение средств контроля доступа на основе ролей для ограничения круга сотрудников отдела безопасности, у которых есть доступ к данным расследования, также может помочь поддержать конфиденциальность. Анонимизация имен пользователей во время расследований может дополнительно защитить конфиденциальность сотрудников. Наконец, рассмотрите возможность удаления жалоб пользователей по истечении определенного периода времени, если расследование будет остановлено.

  • Использование положительных сдерживающих факторов

    Несмотря на то, что многие программы управления внутренними рисками применяют отрицательные сдерживающие факторы, такие как политики и инструменты, ограничивающие рискованные действия сотрудников, важно сбалансировать эти меры с помощью превентивного подхода. Положительные сдерживающие факторы, такие как события, поощряющие трудовую дисциплину сотрудников, тщательная адаптация новых сотрудников, непрерывное обучение и тренинги по вопросам безопасности данных, положительная обратная связь и программы поддержания баланса между работой и личной жизнью, помогают снизить вероятность внутренних рисков. Положительные сдерживающие факторы обеспечивают эффективное и упреждающее взаимодействие с сотрудниками, определяют источник риска и способствуют развитию культуры безопасности в организации.

  • Обеспечение вовлеченности на уровне всей компании

    В первую очередь, за управление внутренними рисками отвечают ИТ-службы и отделы безопасности, но не менее важно привлечь всю компанию к выполнению этих задач. Отдел кадров, отдел обеспечения соответствия требованиям и юридический отдел играют важную роль в определении политик, общении с заинтересованными лицами и принятии решений во время расследования. Чтобы разработать более комплексную и эффективную программу управления внутренними рисками, организациям следует привлекать к этому процессу всех сотрудников, обеспечивая вовлеченность на всех уровнях компании.

  • Используйте интегрированные и комплексные решения для обеспечения безопасности

    Для эффективной защиты организации от внутренних угроз безопасности требуется не только внедрить лучшие средства защиты безопасности; для этого требуются интегрированные решения, которые обеспечивают видимость и защиту на уровне всего предприятия. При интеграции решений по обеспечению безопасности данных и системы управления идентификацией и доступом, системы расширенного обнаружения и нейтрализации угроз (XDR), а также решений для управления информационной безопасностью и событиями безопасности (SIEM) отделы безопасности могут эффективно обнаруживать и предотвращать внутренние риски.

  • Внедрение эффективного обучения

    Сотрудники играют важную роль в предотвращении нарушений безопасности, что делает их идеальной первой линией защиты. Для обеспечения безопасности активов компании необходимо вовлечь всех сотрудников, что, в свою очередь, повысит общую безопасность организации. Одним из наиболее эффективных способов создания такой вовлеченности является обучение сотрудников. Обучив сотрудников, вы можете уменьшить количество случайных внутренних рисков. В рамках обучения важно объяснить, как внутренние риски могут повлиять и на компанию, и на сотрудников. Кроме того, необходимо рассказать о политиках защиты данных и научить сотрудников избегать потенциальной утечки данных.

  • Использование машинного обучения и ИИ

    Риски безопасности в современном рабочем пространстве являются динамическими и содержат разные постоянно меняющиеся факторы, которые могут затруднить их обнаружение и устранение. Однако с помощью машинного обучения и ИИ организации могут обнаруживать и устранять внутренние риски со скоростью компьютера, обеспечивая адаптивную и ориентированную на людей систему безопасности. Эта передовая технология помогает организациям понять механизмы взаимодействия пользователей с данными, вычислять и назначать уровни риска, а также автоматически подбирать соответствующие средства контроля безопасности. С помощью этих средств организации могут упростить процесс выявления потенциальных рисков и определить приоритетное распределение своих ограниченных ресурсов для устранения действий, порождающих высокий уровень риска. Это экономит ценное время команд безопасности, обеспечивая более высокую защиту данных.

Решения для управления внутренними рисками

Защита от внутренних угроз может быть сложной задачей, так как вполне естественно доверять тем, кто работает в организации. Быстрое определение наиболее серьезных внутренних рисков и расстановка приоритетов ресурсов для расследования этих рисков и их снижения крайне важно для снижения влияния потенциальных инцидентов и нарушений безопасности. К счастью, многие инструменты обеспечения кибербезопасности , предотвращая внешние угрозы, также могут определять внутренние угрозы.

Microsoft Purview предоставляет функции обеспечения информационной безопасности, управления внутренними рисками и защиты от потери данных (DLP), которые помогают вам лучше контролировать данные, выявлять критические внутренние риски, способные привести к потенциальным нарушениям безопасности данных, и эффективно предотвращать потерю данных.

Microsoft Entra ID помогает управлять доступом к данным и оповещает вас о рискованных действиях, связанных с входом и доступом.

Microsoft Defender 365 — это решение XDR, которое помогает защитить облака, приложения, конечные точки и электронную почту от несанкционированных действий. Государственные организации, такие как Агентство кибербезопасности и безопасности инфраструктуры США, также предоставляют руководство по разработке программы управления внутренними рисками.

Используя эти средства и рекомендации экспертов, организации могут улучшить управление рисками внутри организации и защитить свои критически важные ресурсы.

Подробнее о Microsoft Security

Microsoft Purview

Получите решения для управления данными организации, а также их защиты и обеспечения соответствия требованиям.

Подробнее

Управление внутренними рисками Microsoft Purview

Выявляйте и устраняйте внутренние риски с помощью готовых к использованию моделей машинного обучения.

Подробнее

Адаптивная защита в Microsoft Purview

Защита данных с помощью интеллектуального и ориентированного на людей подхода.

Подробнее

Создание комплексной программы управления внутренними рисками

Узнайте о пяти элементах, которые помогают компаниям усилить защиту данных, одновременно сохраняя доверие пользователей.

Посмотрите отчет

Защита от потери данных Microsoft Purview

Предотвращайте несанкционированный доступ к данным, их передачу или использование в приложениях, на устройствах и в локальной среде.

Подробнее

Соответствие требованиям к обмену данными Microsoft Purview

Соблюдайте нормативные обязательства и устраняйте случаи потенциального нарушения корпоративных правил поведения.

Подробнее

Решения Майкрософт для защиты от угроз

Обеспечьте защиту устройств, приложений, электронной почты, удостоверений, данных и облачных рабочих нагрузок с помощью единой системы защиты от угроз.

Подробнее

Microsoft Entra ID

Используйте надежную проверку подлинности и адаптивные политики доступа на базе рисков для защиты доступа к ресурсам и данным.

Подробнее

Вопросы и ответы

  • Существует четыре типа внутренних угроз. Случайная внутренняя угроза — это риск того, что человек, который работает в компании, сделает ошибку, которая может скомпрометировать организацию, ее данные или сотрудников. Внутренний риск по неосторожности — это намеренное нарушение политики безопасности сотрудником, который не подразумевал этим причинение вреда. Предумышленная угроза — это намеренная кража данных, саботаж или агрессивное поведение. Другая форма предумышленной угрозы — это сговор, подразумевающий, что инсайдер объединяется с кем-то за пределами организации для причинения вреда.

  • Управление внутренними рисками — очень важная задача, так как такие инциденты могут нанести большой ущерб организации и ее сотрудникам. С помощью правильно подобранных политик и решений организации могут опередить потенциальные внутренние угрозы и защитить свои ценные ресурсы.

  • Существует несколько возможных признаков внутреннего риска, включая неожиданные изменения в действиях пользователей, последовательность связанных рискованных действий, попытку доступа к ресурсам, не нужным для их работы, попытку эскалации привилегий, аномальную утечку данных, кражу данных увольняющимися сотрудниками, а также оскорбления или притеснения.

  • Предотвращение внутренних рисков сопряжено с определенными трудностями, так как рискованные действия, которые могут привести к нарушениям безопасности, выполняются доверенными людьми, у которых уже есть установленные отношения в организации и санкционированный доступ. Комплексная программа управления внутренними рисками, которая уделяет приоритетное внимание отношениям между сотрудником и работодателем и интегрирует средства контроля конфиденциальности, может снизить количество нарушений безопасности и ускорить выявление рисков. Помимо элементов управления конфиденциальностью и фокуса на обучении сотрудников, риски можно снизить за счет регулярных тренингов, обеспечения вовлеченности на уровне всей организации и интегрированных средств безопасности.

  • Предумышленная внутренняя угроза — это вероятность того, что доверенное лицо намеренно навредит организации и ее сотрудникам. Она отличается от случайных внутренних рисков, которые возникают, когда кто-то непредумышленно компрометирует компанию или нарушает правило безопасности, но не подразумевает нанести этим вред компании.

[1] Каким образом комплексный подход может помочь организации? Преимущества комплексной программы управления внутренними рисками в рамках программы комплексного управления рисками: 5 элементов, которые помогают компаниям усилить защиту данных, одновременно сохраняя доверие пользователей, Microsoft Security 2022, стр. 41.

Следите за новостями Майкрософт