Поведенческая аналитика: эффективный инструмент для защиты данных

Поведенческая аналитика: эффективный инструмент для защиты данных

Несмотря на регулярные сообщения о хакерских атаках и краже конфиденциальной информации, зачастую наибольшую угрозу представляют инсайдеры, а не сторонние злоумышленники. Как выявить слабые места безопасности и препятствовать утечке данных внутри компании объяснили аналитики Gurucul.

Компания Gurucul, разработчик технологии анализа поведенческой безопасности и эксперт в области управления киберрисками, провела опрос среди руководителей 650 организаций по всему миру, который показал, что 72% чувствуют себя уязвимыми для атак со стороны инсайдеров.

Примечательно, что основными причинами утечки данных респонденты считают ошибки пользователей (39%), хакерские взломы аккаунтов (26%) и злонамеренные действия собственных сотрудников или партнеров (35%). При этом половина опрошенных сообщили, что не способны обнаружить угрозы со стороны инсайдеров до того, как данные покинут пределы компании.

Масштабная фишинговая атака, от которой в начале года пострадали десятки сотрудников индийского аутсорсингового гиганта Wipro, стала серьезным напоминанием о необходимости обеспечения защиты данных от внутренних угроз. Хакерам удалось получить доступ к системе администрирования и более ста компьютерным системам Wipro, после чего с помощью рассылки фишинговых писем собирались учетные данные сотрудников для кражи конфиденциальной информации из зашифрованной электронной почты.

Аналитики отмечают, что самыми популярными целями злоумышленников становятся механизмы цепочки поставок, которые имеют множество уязвимостей. При этом самые слабые звенья – подрядчики, поставщики и партнеры.

Как правило, компании предоставляют привилегированный удаленный доступ к внутренним ресурсам сторонним лицам для выполнения своей части работы и после завершения сотрудничества забывают его отменить, что повышает уязвимость предприятия для атак.

Обычные методы удаленного подключения, такие как VPN, также не гарантируют абсолютной безопасности, поскольку не предоставляют возможности полноценного контроля, а защита может быть взломана с помощью украденных учетных данных или перехвата сеансов.

Сотрудники как угроза безопасности

По мнению специалистов Gurucul, руководителям компаний необходимо помнить, что собственные сотрудники могут представлять серьезную угрозу информационной безопасности.

Недовольные или уволенные работники имеют доступ к конфиденциальным данным, которые могут быть использованы для получения финансовой выгоды или мести за увольнение, административные наказания либо отказ в повышении по службе.

К сожалению, управление информационными событиями безопасности (SIEM), предотвращение потери данных (DLP) и другие инструменты помогают обнаруживать и предотвращать только известные угрозы, и внутренние атаки не входят в этот список.

В то время как хакерам еще нужно постараться, чтобы незаметно проникнуть в сеть, найти и похитить необходимую информацию, сотрудники имеют практически беспрепятственный доступ к ценным данным.

Для защиты от внутренних угроз Gurucul рекомендует организациям использовать следующие передовые практики:

• создавать отдельные точки доступа для каждого сотрудника с уникальными паролями;

• повышать осведомленность сотрудников относительно опасностей фишинга, открытия ненадежных ссылок, вложений электронных писем и других беспечных действий;

• внедрить многофакторную аутентификацию (MFA) в критических системах, приложениях и транзакциях;

• удалить права администратора на рабочих столах;

• сегментировать сеть.

Хотя большинство данных методов хорошо известны, многие крупные предприятия и организации игнорируют рекомендации по безопасности. Кроме того, внутренние атаки не всегда осуществляются сотрудниками. Угрозу представляет общедоступность или недостаточная защита учетных данных, которые могут быть украдены. Это позволяет злоумышленникам долгое время оставаться незамеченными и действовать изнутри компании.

Чтобы минимизировать риск, организации должны предоставлять уникальные учетные данные для каждой критически важной учетной записи в сети и постоянно их обновлять, подчеркивают эксперты.

В дополнение к лучшим практикам рекомендуется использовать новые подходы на основе аналитики поведения человека, способные обнаруживать внутренние угрозы, которые ускользают от внимания традиционных продуктов безопасности. 

Решения на базе машинного обучения позволяют осуществлять профилирование нормального поведения, а затем с помощью специальных алгоритмов и статистического анализа выявлять критические аномалии, которые могут быть связаны с саботажем, кражей данных или неправильным использованием привилегий доступа. 

Когда взломанная учетная запись используется для  входа в систему, алгоритм помечает активность как аномальную, поскольку законный пользователь никогда ранее не входил с незнакомого IP-адреса и местоположения. С этого момента запускается беспрерывный контроль сессии, и если злоумышленник попытается разослать фишинговые электронные письма, службе безопасности мгновенно будет отправлено предупреждение.

Поведенческая аналитика может помочь решить еще одну серьезную проблему – противодействие угрозам при использовании гибридных локальных и облачных сред, которые позволяют создавать расширенную поверхность атаки.

Например, во время недавнего взлома Capital One бывший сотрудник Amazon получил доступ к данным более 106 миллионов пользователей кредитной платформы из-за бреши в защите облачного сервера Amazon Web Services. 

Без реализации надлежащих мер безопасности и мониторинга в облачных инфраструктурах проекты по цифровому преобразованию уязвимы перед угрозами, характерными для традиционных центров обработки данных, утверждают аналитики Gurucul.

Ожидается, что к 2020 году 90% компаний перейдут на гибридную облачную инфраструктуру, что существенно увеличит масштабы рисков в области цифровых преобразований.

Поэтому внедрение инновационных аналитических систем безопасности, отслеживающих поведение пользователей, необходимо для обеспечения надежной защиты данных в новых облачных средах и предотвращения внутренних угроз.

Оставьте свой комментарий