Как создать программу инсайдерских угроз, 10 шагов

Эффективная программа инсайдерских угроз является основной частью любой современной стратегии кибербезопасности. Наличие средств контроля для обнаружения, сдерживания и реагирования на инсайдерские атаки и непреднамеренные утечки данных является необходимостью для любой организации, которая стремится защитить свои конфиденциальные данные. Это также требуется многими ИТ-правилами, стандартами и законами: NISPOM, NIST SP 800–53, HIPAA, PCI DSS и другими.

Что такое программа инсайдерских угроз?

Создание эффективной и последовательной программы инсайдерских угроз является проверенным способом обнаружения ранних показателей инсайдерских угроз, предотвращения инсайдерских угроз или смягчения их последствий. Программа инсайдерских угроз — это «координированная группа возможностей под централизованным управлением, которая организована для обнаружения и предотвращения несанкционированного раскрытия конфиденциальной информации», согласно специальной публикации Национального института стандартов и технологий (NIST) 800–53. Это также часто называют программой или фреймворком для инсайдерской угрозы.

Обычно программа инсайдерских угроз включает в себя меры по обнаружению инсайдерских угроз, реагированию на них, устранению их последствий и повышению осведомленности о кибербезопасности в организации. Но прежде чем мы подробнее рассмотрим элементы программы инсайдерских угроз и лучшие практики ее реализации, давайте посмотрим, почему стоит инвестировать свое время и деньги в такую программу.

Почему стоит построить программу инсайдерских угроз?

Злоумышленники действующие из вне считаются основными источниками нарушений кибербезопасности. Но есть много причин, по которым инсайдерская угроза более опасна и дороже:

  • Инсайдеры знают все о вашей сети.
  • Инсайдеры знают, какие ценные данные они могут украсть.
  • Инсайдеры имеют законные учетные данные, поэтому их вредоносные действия могут оставаться незамеченными в течение длительного времени.

Из-за этих факторов инсайдерские атаки могут сохраняться в течение многих лет, что приводит к тому, что расходы на исправление растут непропорционально. В Глобальном отчете Института Понемона «Стоимость инсайдерских угроз: Глобальный отчет» за 2020 год [PDF] говорится, что общая средняя стоимость инцидента, связанного с инсайдерами, составляет 11,45 миллиона долларов США.

Создание эффективной программы инсайдерских угроз вознаграждает организацию ценными преимуществами:

  • Снижение затрат на инсайдерскую атаку. Программа инсайдерских угроз максимизирует ваши шансы быстро обнаружить и сдержать атаку, минимизируя ущерб, который может нанести инсайдер.
  • Соблюдение стандартов, законов и нормативных актов.Специальная публикация NIST 800–53, NISPOM, Национальная политика инсайдерских угроз США, а также локальные ИТ-стандарты и правила обязывают организации разрабатывать и поддерживать программы инсайдерских угроз.
  • Раннее обнаружение инсайдерских угроз. Обнаружение инсайдерских угроз сложнее, чем обнаружение внешних атак. Программа инсайдерских угроз помогает обнаружить угрозу до того, как она станет атакой, и причиняет вред.
  • Быстрое и эффективное реагирование на инсайдерскую атаку.Программа инсайдерских угроз четко описывает процедуры, инструменты и персонал, ответственный за смягчение угрозы. Благодаря этим знаниям сотрудники могут эффективно справляться с инцидентом с кибербезопасностью.

10 шагов для создания эффективной программы инсайдерских угроз

Чтобы помочь вам получить максимальную отдачу от вашей программы инсайдерских угроз, компания Ekran System создала этот 10-шаговый контрольный список. Давайте рассмотрим 10 шагов, которые вы можете предпринять, чтобы защитить свою компанию от инсайдерских угроз.

1. Приготовьтесь создать программу инсайдерских угроз

Подготовка является ключом к успеху при создании программы инсайдерских угроз и сэкономит вам много времени и усилий позже. На этом этапе вам нужно собрать как можно больше информации о существующих мерах кибербезопасности, требованиях соответствия и заинтересованным сторонам, а также определить, каких результатов вы хотите достичь с помощью программы.

Вот что вы должны сделать:

  • Оцените свои текущие меры кибербезопасности
  • Изучите ИТ-требования к программе инсайдерских угроз, которую вам нужно выполнить
  • Определите ожидаемые результаты программы инсайдерских угроз
  • Сформируйте список заинтересованных сторон для вовлечения

2. Выполните оценку риска

Определение того, какие активы вы считаете чувствительными, является краеугольным камнем программы инсайдерских угроз. Эти активы могут быть как физическими, так и виртуальными: данные клиентов и сотрудников, технологические секреты, интеллектуальная собственность, прототипы и т. д. Проведение оценки рисков является идеальным способом обнаружения таких активов, а также возможных угроз для них. Это поможет вам сформировать точную картину состояния вашей кибербезопасности.

Обычно процесс оценки рисков включает в себя следующие этапы:

После того, как вы записали и оценили все риски, сообщите результаты высшему руководству вашей организации. Также хорошей идеей является сделать эти результаты доступными для всех сотрудников, чтобы помочь им уменьшить количество непреднамеренных угроз и повысить осведомленность о рисках.

3. Оцените ресурсы, необходимые для создания программы

Разработка эффективной программы инсайдерских угроз является сложной и трудоемкой. Прежде чем начать, важно понимать, что для реализации такого рода программ требуется больше, чем отдел кибербезопасности. Чтобы добиться успеха, вам также понадобятся:

  • Административные ресурсы — Поддержка различных отделов вашей организации и их участие в разработке вашей программы инсайдерских угроз
  • Технические ресурсы — Развертывание специального программного обеспечения для управления инсайдерскими угрозами вместе с перенастройкой существующих решений и инфраструктуры
  • Финансовые ресурсы — Деньги на покупку программного обеспечения для кибербезопасности и найм специализированных специалистов

Подготовьте список необходимых мер, чтобы вы могли сделать верхнеуровневую оценку финансов и сотрудников, которые вам понадобятся для реализации вашей программы инсайдерских угроз. Это необходимо, чтобы обсудить программу с руководством вашей компании.

4. Получить поддержку высшего руководства

На этом этапе вы можете использовать информацию, собранную на предыдущих этапах, чтобы получить поддержку ваших ключевых заинтересованных сторон для реализации программы. В список ключевых заинтересованных сторон обычно входят генеральный директор, финансовый директор, CISO и CHRO.

Чтобы получить их одобрение и поддержку, вы должны подготовить бизнес-обоснование, которое четко показывает необходимость реализации программы инсайдерских угроз и возможные положительные результаты. Обязательно включите преимущества внедрения, примеры инсайдерских атак в вашей отрасли (и их последствия), а также способы, с помощью которых программа инсайдерских угроз может помочь сотрудникам уровня C в достижении их бизнес-целей.

5. Создайте инсайдерскую группу реагирования на угрозы

Инсайдерская группа реагирования на угрозы — это группа сотрудников, отвечающих за все этапы управления угрозами, от обнаружения до исправления. Вопреки распространенному мнению, эта команда должна состоять не только из ИТ-специалистов. Он должен быть кросс-функциональным и иметь полномочия и инструменты для быстрых и решительных действий.

При создании инсайдерской группы реагирования на угрозы обязательно определите:

  • Миссия инсайдерской группы реагирования на угрозы
  • Лидер команды и иерархия в команде
  • Объем ответственности для каждого члена команды
  • Политики, процедуры и программное обеспечение, которые команда будет поддерживать и использовать для борьбы с инсайдерскими угрозами

6. Определите меры по обнаружению инсайдерских угроз

Раннее обнаружение инсайдерских угроз является важнейшим элементом вашей защиты, так как оно позволяет быстро реагировать и снижает затраты на исправление. Внедрение программного обеспечения и методов, направленных на обнаружение угроз, также является частью многих требований к соответствию ИТ.

Для эффективного обнаружения инсайдерских угроз необходимо:

  • Отслеживайте активность пользователей и собирайте подробные журналы каждого действия пользователя в вашей сети. Мониторинг данных помогает сотрудникам службы безопасности просматривать подозрительные сеансы в режиме реального времени, расследовать инциденты и оценивать общее состояние кибербезопасности.
  • Управляйте доступом пользователей к конфиденциальным ресурсам. Это позволяет предотвратить несанкционированный доступ и обнаружить подозрительные попытки доступа.
  • Анализ поведения пользователей для выявления ранних показателей угрозы. Аналитика поведения пользователей и сущностей (UEBA) — это инструмент, который обычно использует алгоритмы искусственного интеллекта для анализа нормальной активности пользователей, создания базового уровня поведения для каждого пользователя и уведомления инсайдерской группы реагирования на угрозы о подозрительных действиях.

7. Формируйте стратегии реагирования на инциденты

Чтобы быстро реагировать на обнаруженную угрозу, ваша команда реагирования должна разработать общие сценарии инсайдерских атак. Самое главное в плане реагирования на инсайдерские угрозы заключается в том, что он должен быть реалистичным и простым в выполнении. Не пытайтесь охватить каждый возможный сценарий отдельным планом; вместо этого создайте несколько базовых планов, которые охватывают наиболее вероятные инциденты.

Ваш ответ по каждому из этих сценариев должен включать в себя:

8. Планируйте расследование и устранение инцидентов

Чтобы эффективно управлять инсайдерскими угрозами, спланируйте процедуру расследования инцидентов кибербезопасности, а также возможные мероприятия по исправлению положения.

Расследование инцидентов обычно включает в себя следующие действия:

  • Сбор данных об инциденте (просмотр пользовательских сессий, записанных UAM, опрос свидетелей и т. д.)
  • Оценка вреда, причиненного инцидентом
  • Обеспечение доказательств
  • Сообщение об инциденте вышестоящим должностным лицам и регулирующим органам (по мере необходимости)

После расследования вы поймете масштабы инцидента и его возможные последствия. Исходя из этого, вы можете разработать подробный план исправления, который должен включать в себя коммуникационные стратегии, необходимые изменения в программном обеспечении кибербезопасности и программу инсайдерских угроз.

9. Обучите своих сотрудников

Содержание учебного курса будет зависеть от рисков, инструментов и подходов, используемых в конкретной организации. Однако во время любого обучения обязательно:

  • Объясните причину реализации программы инсайдерских угроз и включите примеры недавних атак и их последствий
  • Опишите общую деятельность сотрудников, которая приводит к утечке данных и утечкам, обращая внимание как на небрежные, так и на злонамеренные действия, включая примеры атак социальной инженерии
  • Сообщите своим сотрудникам, с кем они должны связаться в первую очередь, если они заметят индикатор инсайдерской угрозы или нуждаются в помощи по вопросам, связанным с кибербезопасностью.

Заключительная часть тренинга по повышению осведомленности об инсайдерских угрозах измеряет его эффективность. Для этого вы можете провести собеседование с сотрудниками, подготовить тесты или смоделировать инсайдерскую атаку, чтобы увидеть, как реагируют ваши сотрудники. Эти действия раскроют то, что ваши сотрудники узнали во время обучения и на что вы должны обратить внимание во время будущих тренингов.

10. Периодически пересматривайте свою программу

Создание программы инсайдерских угроз не является одноразовым мероприятием. Инсайдерские угрозы меняются и становятся более сложными и опасными, и ваша программа должна развиваться, чтобы оставаться эффективной. Обязательно просмотрите свою программу, по крайней мере, в следующих случаях:

  • Инцидент с инсайдерской угрозой
  • Появление новых требований соответствия или подходов к кибербезопасности
  • Изменения в инсайдерской группе реагирования на угрозы

Как система Ekran может помочь вам реализовать программу инсайдерских угроз?

Система Ekran предоставляет вам все инструменты, необходимые для защиты от инсайдерских угроз. С помощью Ekran вы можете сдерживать возможные инсайдерские угрозы, обнаруживать подозрительные инциденты кибербезопасности

Обратите внимание, что Gartner упоминает систему Ekran в качестве решения для обнаружения инсайдерских угроз в своем отчете Market Guide for Insider Risk Management Solutions (требуется подписка).

Вы можете детально управлять доступом пользователей с помощью легковесного модуля управления привилегированным доступом (PAM), который позволяет настраивать права доступа для каждого пользователя и роли пользователя, проверять личности пользователей с помощью многофакторной аутентификации, вручную утверждать запросы на доступ и многое другое. С помощью этих элементов управления вы можете ограничить доступ пользователей только к данным, необходимым для выполнения своей работы. Таким образом, вы можете снизить риск инсайдерских угроз и ненадлежащего использования конфиденциальных данных.

Функция мониторинга активности пользователей позволяет просматривать сеансы пользователей в режиме реального времени или в захваченных записях. Используя его, вы можете наблюдать за частью сеанса пользователя, просматривать подозрительную активность и определять, были ли действия злонамеренными.

Вы можете настроить систему оповещений и уведомлений, чтобы не пропустить ни одного индикатора инсайдерской угрозы. Когда система Ekran обнаруживает нарушение безопасности, она предупреждает вас об этом и предоставляет ссылку на онлайн-сеанс. Вы можете найти событие безопасности самостоятельно с помощью фильтров метаданных или использовать ссылку в предупреждении, отправленном системой Ekran.

Модуль аналитики поведения пользователей и организаций (UEBA) системы Ekran является еще одной функцией, которая помогает вам обнаруживать инсайдерскую активность. Он присваивает оценку риска каждой сессии пользователя и предупреждает вас о подозрительном поведении. Например, модуль UEBA может предупредить вас, если пользователь входит в систему в необычный час, так как это один из показателей возможной угрозы.

При нарушении правила безопасности вы можете заблокировать процесс, сеанс или пользователя до дальнейшего расследования. Кроме того, система Ekran может сделать все это автоматически.

Эти функции позволяют удерживать пользователей от совершения подозрительных действий, обнаруживать инсайдерскую активность на ранних стадиях, и блокировать ее до того, как инсайдер может нанести ущерб вашей организации.

Вывод

Десять шагов выше представляют собой общий план реализации программы инсайдерской угрозы, который может быть применен практически к любой компании. Вы можете изменить эти шаги в соответствии с конкретными рисками, с которыми сталкивается ваша компания.

С помощью этого плана по реализации программы инсайдерских угроз вы можете начать разработку собственной программы для защиты вашей организации от инсайдерских угроз.

Для проведения пилотного проекта пожалуйста связывайтесь с нами — CS Consulting

We consult, sell and implement innovative solutions in the field of information security

We consult, sell and implement innovative solutions in the field of information security