Według raportu Cybersecurity Insiders, 74 proc. firm zauważa wzrost liczby ataków pochodzenia wewnętrznego (insider attacks). Nazwa ta odnosi się do rodzaju incydentu, w którym pracownicy, partnerzy biznesowi lub członkowie zarządu wykorzystują posiadany przez siebie dostęp do zasobów przedsiębiorstwa w sposób dla niego szkodliwy. Osoby te mogą działać na niekorzyść firmy w sposób świadomy lub nie. Niezależnie od zamiarów insidera, potencjalne konsekwencje ataku od wewnątrz są bardzo poważne. Firma, która pada ofiarą incydentu tego typu, jest narażona na straty finansowe wynoszące średnio ok. 16,2 milionów dolarów. Trudność sprawia również wykrycie takiego ataku - proces ten trwa średnio 86 dni.
Celami ataków „od wewnątrz” padają zazwyczaj firmowe urządzenia końcowe, sieć oraz poufne dane. Incydentem tego typu określić można korupcję, szpiegostwo, dewastację zasobów, sabotaż, terroryzm oraz nieautoryzowane ujawnianie tajnych informacji.
Przypadek czy celowe działanie?
Osoby odpowiedzialne za ataki od wewnątrz nie zawsze działają z premedytacją, choć tak również się zdarza. Ze względu na ten fakt, wyróżnia się dwa typy insiderów:
1. Pionki (pawns) - osoby te nie zdają sobie sprawy, że ich działania są szkodliwe dla firmy. Udostępniają swoje dane uwierzytelniające lub pobierają złośliwe oprogramowanie na urządzenia służbowe, ponieważ zostali zmanipulowani np. przez cyberprzestępcę przeprowadzającego atak phishingowy.
2. Renegaci (turncloaks) - pracownicy, którzy z premedytacją podejmują działania szkodliwe dla ich firmy. Kierują nimi różne motywy, jak chęć wzbogacenia się czy też frustracja warunkami pracy lub wynikająca ze zwolnienia.
"Wielu insiderów-renegatów postrzega swoje działania jako formę wyrównania rachunków z firmą, która w jakiś sposób zawiodła ich oczekiwania. Jeżeli zaś chodzi o nieintencjonalne cyberataki od wewnątrz, to ich główną przyczyną jest wykazywana przez personel niewystarczająca znajomość zasad cyberbezpieczeństwa oraz roztargnienie. O incydencie tego typu możemy bowiem mówić nie tylko w odniesieniu do udanej próby phishingu, ale również w sytuacji, gdzie pracownik np. omyłkowo wysyła wrażliwe informacje do niewłaściwego adresata lub gubi fizyczny nośnik z danymi" - wyjaśnia Robert Dąbrowski szef zespołu inżynierów Fortinet w Polsce.
Oznaki obecności insidera w firmie
Chociaż ataki od wewnątrz są stosunkowo trudne do wykrycia, istnieje kilka oznak, które mogą wskazywać na aktywność insidera w przedsiębiorstwie. Pierwszą z nich jest pojawienie się nieautoryzowanego oprogramowania na firmowym sprzęcie. Sytuacja ta zawsze powinna wzbudzać niepokój. Nowy program może okazać się bowiem tzw. koniem trojańskim, pobranym przez nieświadomego pracownika. Nazwa ta odnosi się do złośliwego oprogramowania, które podszywa się pod realne aplikacje i narzędzia. Ale nieautoryzowane oprogramowanie może także zostać pobrane przez pracownika celowo.
"Zdarza się, że insiderzy-renegaci instalują na firmowym sprzęcie aplikacje umożliwiające im późniejsze zdalne uzyskanie dostępu do zasobów przedsiębiorstwa. Do narzędzi tego typu należą m.in. TeamViewer oraz AnyDesk" - mówi Robert Dąbrowski.
Podejrzenia powinny wzbudzać również sytuacje, w których pracownicy alarmują, iż nie są w stanie uzyskać dostępu do danych, do których wcześniej mieli wgląd. Zgłoszenia tego typu należy jak najszybciej zbadać. Mogą one bowiem oznaczać, że insider zmienił hasła, którymi chronione były firmowe zasoby, celem uzyskania do nich wyłącznego dostępu. Oznaką ataku od wewnątrz mogą być także powiadomienia o próbach uzyskania dostępu do wrażliwego obszaru sieci.
Jak chronić firmę przed atakiem od wewnątrz?
Zabezpieczenie przedsiębiorstwa przed działaniami insiderów wymaga przede wszystkim zaopatrzenia go w narzędzia do wykrywania zagrożeń. Rozwiązania te muszą zapewnia m.in. wygląd w szczegółowe informacje związane z logowaniem się pracowników do firmowej sieci i systemów. Wśród danych tych powinna znajdować się godzina, o której użytkownicy usiłują uzyskać dostęp do zasobów przedsiębiorstwa oraz lokalizacja. Następnie, jeżeli narzędzia ochronne wykryją podejrzaną aktywność, powinna być ona zbadana w trybie natychmiastowym. W ten sposób możliwe staje się zminimalizowanie potencjalnych szkód ataku od wewnątrz. Po ustaleniu, że wykryta aktywność rzeczywiście stanowi zagrożenie dla przedsiębiorstwa, koniecznym jest uruchomienie mechanizmów blokujących konkretnym użytkownikom dostęp do firmowej sieci i systemów.
Przede wszystkim jednak przedsiębiorstwa muszą posiadać i egzekwować określone reguły polityki cyberbezpieczeństwa, które będą chronić ich zasoby oraz zapewnią zgodność z regulacjami prawnymi. Należy zadbać o to, aby personel był dobrze zaznajomiony z tymi zasadami, a także zagrożeniami, na jakie może natknąć się w sieci. Praktyka ta pozwoli na zmniejszenie ryzyka nieintencjonalnego ataku wewnętrznego, będącego skutkiem np. udanej próby phishingu.
Źródło: Fortinet