ИНСАЙДЕРСКИЕ АТАКИ: СВЯЗЬ С ЧЕЛОВЕЧЕСКИМ ФАКТОРОМ И МЕРЫ ПО СМЯГЧЕНИЮ ИХ ПОСЛЕДСТВИЙ

INSIDER ATTACKS: HUMAN FACTORS AND MITIGATION

Vladislav Strizhkov

Postgraduate student of Federal State Educational Budgetary Institution of Higher Education Financial University under the Government of the Russian Federation, Russia, Moscow

Аннотация. Внутренние угрозы являются одним из основных потенциальных рисков, угрожающих безопасности организации. Многие организации применяют методы сокращения возможностей для повышения безопасности. Эти методы были классифицированы на жесткие и мягкие формы в зависимости от их потенциальной склонности к нарушению личного пространства сотрудников. Методы твердой формы получили широкое распространение благодаря их эффективности в экономии средств и времени. Однако утверждается, что методы жесткой формы ограничивают личную автономию, заставляя сотрудников не уважать политику безопасности организации. В данной статье будет рассмотрена роль человеческого фактора при происшествиях, связанных с реализацией инсайдерских угроз. Как мотивы и установки личности влияют на вероятный сценарий поведения легального пользователя, имеющего авторизованный доступ к информации и информационным активам компании? А главное, как избежать ущерба от инсайдерских действий, своевременно приняв все столь необходимые в первую очередь меры самозащиты? В исследовании выясняется значение управления идентификацией как одного из немаловажных методов, применимых для смягчения последствий инсайдерских атак.

Abstract. Internal threats are one of the main potential risks that threaten the security of an organization. Many organizations use reduction techniques to improve security. These methods have been classified into hard and soft forms, depending on their potential for intruding on employees' personal space. Solid form methods have become widespread due to their effectiveness in saving money and time. However, hard form methods are said to limit personal autonomy by causing employees to disrespect the organization's security policies. This article will consider the role of the human factor in incidents related to the implementation of insider threats. How do the motives and attitudes of the individual affect the likely scenario of the behavior of a legal user who has authorized access to information and information assets of the company? And most importantly, how to avoid damage from insider actions by timely taking all the much-needed self-defense measures in the first place? The study explores the importance of identity management as one of the important methods applicable to mitigate the effects of insider attacks.

Ключевые слова: информационная безопасность; инсайдерcкая атака; внутренний нарушитель; управление идентификацией; снижение инсайдерской угрозы.

Keywords: information security; insider attack; internal intruder; identity management; insider threat reduction.

1. Введение.  Для многих организаций человеческий фактор, как правило, является самым слабым звеном и часто является причиной многих инцидентов, связанных с безопасностью. По мере роста организации вероятность инцидента безопасности по вине человека увеличивается в геометрической прогрессии. Даже человеку, наиболее ориентированному на безопасность, достаточно одного промаха, незначительной ошибки или неудачного дня, чтобы создать инцидент безопасности. Многие инциденты в области безопасности происходят из-за уязвимости человеческого фактора, и, хотя нереалистично или даже невозможно устранить 100% факторов риска, связанных с человеческим фактором, или полностью предотвратить внутренние атаки, существуют рекомендуемые действия, которые профессионалы могут предпринять для смягчения последствий. вероятность того, что они произойдут.

При рассмотрении информационных технологий, информационной безопасности и обработки информации в целом человеческий фактор будет играть роль в какой-то момент в большинстве случаев. В то время как организация может располагать новейшими и лучшими технологиями, независимо от того, насколько продвинута ее безопасность, все это может развалиться из-за человеческого фактора [1]. Очевидно, что люди играют важную роль в обеспечении безопасности организации или компании. Большая роль людей, — не единственная важная причина, по которой люди должны учитываться в политике безопасности. Одного числа атак, происходящих в киберпространстве, должно быть достаточно, чтобы специалист по безопасности изучил все аспекты политики безопасности компании. Мало того, многие решения по обеспечению безопасности для организаций и компаний вращаются вокруг технологических аспектов кибербезопасности — то, что новое оборудование или программное обеспечение может сделать для безопасности организации, часто является основным направлением политики безопасности [2]. На практике человеческий фактор может быть второстепенным или даже не учитываться вообще, и поскольку человеческий фактор рассматривается таким образом, злоумышленники могут использовать это для получения информации или кражи активов у своих жертв, или организация становится более восприимчивой. к случайным инцидентам безопасности, связанным с людьми.

2. Инсайдерские угрозы. Одним из таких типов атак, связанных с человеком, в сфере кибербезопасности является инсайдерская угроза. Эти угрозы являются одним из самых сложных рисков для защиты, поскольку злоумышленник исходит из организации и часто имеет определенную степень доверия к сотрудникам организации, а также доступ к ИТ-системе организации.

Можно было бы ожидать, что инсайдерские угрозы будут состоять исключительно из злоумышленников с мотивами преднамеренного совершения действий, наносящих ущерб организации, но внутренние угрозы могут быть как преднамеренными, так и случайными [3]. Преднамеренные могут быть очень сложными для анализа, поскольку они могут основываться на многих различным факторах, включая, помимо прочего, денежную прибыль, организационную культуру и политику самой организации [4, 5]. С другой стороны, инциденты безопасности, связанные с внутренними злоумышленниками, могут быть просто результатом забытых политик и процедур, человеческой ошибки или недопонимания.

3. Вероятный сценарий. Чтобы дополнительно проиллюстрировать и описать возможную инсайдерскую атаку и человеческий фактор, который ее включает, давайте рассмотрим гипотетический, но слишком реальный сценарий, когда номера банковских карт и PIN-коды сотрудников организации украдены другим лицом. В результате, любые деньги, которые были на банковских счетах в то время, были бы немедленно изъяты злоумышленником-инсайдером. Злоумышленник в этом сценарии может работать в финансовом отделе фирмы и проработать в компании довольно долгое время на момент атаки. Что еще хуже, этот сотрудник мог даже понравиться своим коллегам, без каких-либо заметных нарушений до этого нападения.

Кроме того, как член финансового отдела компании, злоумышленник часто работал с финансовой информацией сотрудников компании, поэтому не кажется совершенно ненормальным, что он или она запрашивали эту информацию у жертв. Злоумышленник в данном случае злоупотребил своим положением и доверием, заработанным за время работы в компании, с целью незаконного получения денег и средств. С другой стороны, жертвы также были дополнительным человеческим фактором в этом происшествии. Из-за неуместного доверия к злоумышленнику они непреднамеренно сыграли свою роль в этом инциденте с безопасностью.

В ситуациях, подобных описанной выше, истинная причина внезапного совершения преступления бывшим образцовым сотрудником может быть неясна и неизвестна только злоумышленнику, но текущая ситуация в мире может сыграть роль в мотивах таких внутренних злоумышленников. Из предыдущих экономических спадов, таких как Великая рецессия, которая произошла в период с 2007 по 2009 год, исследования показали, что тяжелые экономические ситуации отрицательно сказываются на поведении людей, в том числе сотрудников компаний. Из опросов, проведенных в 2009 году, была обнаружена прямая корреляция между спадом в экономике страны и ростом уровня преступности в стране в целом. Люди, которые пострадали в финансовом отношении от экономического спада, более склонны обращаться к преступлению, чтобы компенсировать ущерб или финансовые потери, которые они испытывают [6].

Как бы поступил злоумышленник в предыдущем сценарии? Он может просто отправить сообщение жертве в рабочий чат компании и на платформу сообщений, чтобы запросить информацию. Копнув глубже, злоумышленник может запросить номера банковских карт людей и PIN-коды под видом того, что сам банк запрашивает эту информацию. Просто заявив, что банку требуется информация от жертв и что требуется их PIN-код, жертвы могут быть обмануты, и выдана личная информация. Это может показаться очевидной атакой или как минимум подозрительной. Но, к сожалению, поскольку злоумышленник является сотрудником той же компании, работает с жертвами прилично долгое время, судя по всему, заслуживает доверия и работает в отделе, где, казалось бы, нелишним будет задать этот вопрос, жертвы могут поддаться нападению.

4. Самозащита. Учитывая сложность обнаружения или ожидания таких атак, как компания может защитить себя от внутренних атак на ее активы или других сотрудников? Можно утверждать, что масштаб угрозы внутренних злоумышленников выше, чем внешних, благодаря опыту первых в работе с системами организации и доверию персонала, поэтому смягчение последствий чрезвычайно важно для организации, когда речь идет об этом типе злоумышленников. Один из методов заключается в создании модели прогнозирования, оценивающей риск каждого пользователя, или «модели прогнозирования внутренних угроз». На высоком уровне организация должна сначала классифицировать каждого пользователя по одному из четырех типов рисков: возможная внутренняя угроза, потенциальная случайная угроза, подозрительный и безвредный. Затем в модели прогнозирования должны учитываться роли, способности, принадлежащие каждому пользователю документы и файлы, внутренние знания и другие факторы, относящиеся к их положению. Прошлые и текущие действия также могут быть интегрированы в модель для прогнозирования вероятности будущих атак со стороны пользователя. Например, пользователь может хранить файлы с подозрительными именами на личном или рабочем компьютере или постоянно отправлять трафик в подозрительное место назначения на основе анализа сетевого трафика. Другой пользователь может обладать значительными правами администратора, правами доступа к особо важным документам или полномочиями на действия, недоступные для многих членов организации.

Факторы даже не должны ограничиваться действиями, связанными с информационными системами или технологиями в целом; странные замечания или подозрительные вопросы о вещах, о которых люди обычно не спрашивают, изменения в поведении или отношении, а также изменения в личной или финансовой ситуации могут быть идентифицированы как потенциальные факторы риска. Любое значительное сочетание таких факторов может привести к тому, что организация выявит потенциальную внутреннюю угрозу, после чего она сможет предпринять соответствующие ответные действия или меры. Хотя эта модель, по-видимому, существует только для выявления угроз, которые являются как внутренними, так и преднамеренными, она может служить для выявления внутренних угроз, которые могут не причинять преднамеренного вреда компании или организации, но могут случайно стать угрозой в будущем [7].

5. Управление идентификацией. Другим методом может быть внедрение эффективной системы управления идентификацией в организации. Такая система включает в себя сбор всех пользователей в организации и настройку исходных данных для того, чтобы понимать, что они должны делать в системе и что от них ожидается. После этого должны быть установлены параметры, пороги и пределы для обнаружения действий, которые будут считаться аномалиями, отклонениями или выбросами по сравнению с ранее установленными базовыми уровнями [8]. И, наконец, возможно, самый важный метод смягчения внутренних угроз — обеспечить, чтобы все сотрудники были должным образом обучены не только безопасности организации или компании, но и распознаванию и надлежащему реагированию на потенциальную угрозу безопасности или нарушение. Даже если другие коллеги в организации кажутся заслуживающими доверия и выглядят так, как будто у них благие намерения в действиях или запросах, которые они предпринимают или делают, все равно чрезвычайно важно быть бдительными и знать о вещах, которые могут привести к инциденту безопасности, поскольку внутренние угрозы включают не только преднамеренные атаки, но и случайные.

Что касается фактического обучения и содержания, которым должны обучать членов организации, такие вещи, как психологические сигналы (настроение, поведение, речь и т. д.), сигналы окружающей среды (экономика, методы управления, недавние увольнения, стрессоры на рабочем месте и т. д.) и сигналы безопасности (понимание и обеспечение соблюдения политики) должны быть учтены, чтобы сотрудники могли распознавать и предотвращать возможные проблемы [9]. Мало того, в рамках обучения безопасности должна быть реализована способность оценивать и определять, являются ли возможные угрозы высоким риском и могут ли они возникнуть, а также способность предотвращать их фактическое возникновение. Когда все люди осведомлены о проблемах безопасности, у компании может быть много «хранителей» своей политики безопасности для защиты своих данных и активов.

6. Заключение. Внутренние угрозы важно учитывать в политике безопасности организации из-за высокой стоимости взлома и ущерба, который может быть нанесен инсайдерами, обладающими полномочиями, разрешениями и знаниями о системе, а также доверием между коллегами в организации. Однако это лишь одна из многих существующих угроз безопасности.

Важно рассматривать безопасность в целом, а не рассматривать только один аспект риска. Такой целостный подход к безопасности — лучший способ охватить все ваши базы и устранить или предотвратить многие инциденты безопасности. Как можно сделать вывод из этой информации, обеспечение и защита безопасности в организации является в такой же степени психологической и поведенческой проблемой, как и технологической. С момента своего создания и по сей день информационные системы и технологии сталкиваются с постоянно растущим объемом угроз и рисков, как и организации, которые их используют. Поэтому специалисты по безопасности, а также их коллеги должны быть всегда бдительны и хорошо обучены, чтобы эффективно бороться с этими опасностями.