Mối đe dọa nội bộ là gì, Cách để giảm thiểu tác động tới tổ chức

Mối đe dọa nội bộ là gì? Cách để giảm thiểu tác động tới tổ chức

July 21, 2020 | vietsunshine

Một mối đe dọa nội bộ (insider threat) là gì?

Các mối đe dọa trong nội bộ là những người dùng có quyền truy cập hợp pháp vào tài sản của công ty, sử dụng quyền truy cập đó, dù cố tình hay vô ý gây hại cho doanh nghiệp.

Các mối đe dọa trong nội bộ không nhất thiết phải là nhân viên hiện tại, họ cũng có thể là cựu nhân viên, nhà thầu hoặc đối tác có quyền truy cập vào một hệ thống hoặc dữ liệu của tổ chức.

Insider threat là vector chính của 60% các vụ rò rỉ dữ liệu, các tổ chức cần xem xét kỹ lượng các mối đe dọa này với mức độ nghiêm ngặt như khi họ đảm bảo an ninh với những kẻ tấn công bên ngoài.

Vì sao mối đe dọa nội bộ lại cực kỳ nguy hiểm?

Trong báo cáo SANS 2019 về các mối đe dọa nâng cao, các chuyên gia bảo mật đã xác định những lỗ hổng lớn trong phòng thủ mối đe dọa nội bộ do thiếu tầm nhìn về baseline của hành vi người dùng thông thường cũng như quản lý tài khoản người dùng đặc quyền, khiến cho chúng trở thành mục tiêu hấp dẫn hơn trong các trường hợp lừa đảo hoặc xâm phạm thông tin đăng nhập.

Phát hiện các mối đe dọa trong nội bộ không phải là nhiệm vụ dễ dàng đối với các đội an ninh. Người trong nội bộ đã có quyền truy cập hợp pháp vào tổ chức và thông tin, tài sản của tổ chức và việc phân biệt giữa người dùng hoạt động bình thường và hoạt động độc hại tiềm ẩn là một thách thức. Họ là những người biết nơi đặt các vị trí nhạy cảm và cũng thường có level truy cập cao.

Do đó, việc vi phạm dữ liệu do người trong nội bộ gây ra sẽ gây tốn kém hơn đáng kể cho các tổ chức so với việc gây ra bởi kẻ tấn công bên ngoài.

Trong nghiên 2018 Cost of Insider Threats của Ponemon Institute, các nhà nghiên cứu nhận thấy rằng tổn thất trung bình hàng năm của một mối đe dọa trong nội bộ là 8,76 triệu đô la, trong khi chi phí trung bình của một vụ vi phạm dữ liệu trong cùng kỳ là 3,86 triệu đô la.

4 loại mối đe dọa nội bộ

Trong khi thuật ngữ mối đe dọa nội bộ đã phần nào được chọn để mô tả hành vi độc hại nghiêm trọng, không phải tất cả những người trong cuộc đều giống nhau và rất khác nhau về động lực, nhận thức, mức độ truy cập và ý định.

Với mỗi loại mối đe dọa nội bộ, có các biện pháp kiểm soát kỹ thuật và phi kỹ thuật khác nhau mà các tổ chức có thể áp dụng để phát hiện và ngăn chặn. Gartner phân loại các mối đe dọa trong nội bộ thành bốn loại: pawn, goof, collaborator và lone wolf.

Pawn

Pawn là những nhân viên bị thao túng để thực hiện các hoạt động độc hại, thường là vô tình, thông qua phishing hoặc social engineering. Cho dù đó là một nhân viên vô tình tải phần mềm độc hại vào máy trạm của họ hoặc người dùng tiết lộ thông tin đăng nhập cho bên thứ ba giả vờ là nhân viên của bộ phận trợ giúp, vectơ này là một trong những mục tiêu rộng lớn hơn cho những kẻ tấn công đang tìm cách gây hại cho tổ chức.

Một ví dụ liên quan đến Ubiquiti Networks, một nạn nhân của một cuộc tấn công lừa đảo trong đó email từ các giám đốc điều hành cấp cao đã hướng dẫn nhân viên chuyển 40 triệu đô la vào tài khoản ngân hàng của công ty con. Các nhân viên đã không biết rằng các email bị giả mạo và tài khoản ngân hàng bị kiểm soát bởi những kẻ lừa đảo.

Goof

Goof không hành động với mục đích xấu mà thực hiện những hành động có chủ ý và có khả năng gây hại. Goofs là những người dùng không biết gì hoặc kiêu ngạo, họ tin rằng họ được miễn các chính sách bảo mật, vì điều đó không thuận tiện hay không đủ năng lực. 95% các tổ chức có nhân viên đang cố gắng vượt qua sự kiểm soát an ninh mạng và gần 90% các sự cố nội bộ là do goof.

Một ví dụ về Goof có thể là một người dùng lưu trữ thông tin nhận dạng cá nhân không được mã hóa (PII) trong tài khoản lưu trữ đám mây để dễ dàng truy cập trên thiết bị của họ, mặc dù biết rằng điều đó là trái với chính sách bảo mật.

Collaborator

Collaborator là những người dùng hợp tác với bên thứ ba, thường là đối thủ cạnh tranh, để sử dụng quyền truy cập của họ theo cách cố ý gây tổn hại cho tổ chức. Collaborator thường sử dụng quyền truy cập của họ để đánh cắp thông tin khách hàng hoặc gây gián đoạn cho hoạt động kinh doanh.

Ví dụ về collaborato là Greg Chung một nhân viên quốc tịch Trung Quốc và cựu nhân viên Boeing, người đã tích trữ các tài liệu liên quan đến chương trình tàu con thoi để đưa chúng trở về Trung Quốc. Hoạt động gián điệp của công ty cũng phổ biến với các cộng tác viên như trong trường hợp của Uber và Waymo. Uber đã thuê một kỹ sư Waymo sở hữu công nghệ xe tự lái bí mật và độc quyền và được cho là đã sử dụng nó trong dự án xe tự lái của họ.

Lone Wolf

Lone Wolf hoàn toàn độc lập và hành động độc hại mà không bị ảnh hưởng hay thao túng từ bên ngoài. Họ đặc biệt nguy hiểm khi có mức độ đặc quyền cao, chẳng hạn như quản trị viên hệ thống hoặc quản trị viên DB. Một ví dụ kinh điển về Lone Wolf  là Edward Snowden, người đã sử dụng quyền truy cập của mình vào các hệ thống được phân loại để rò rỉ thông tin liên quan đến gián điệp mạng tại NSA.

Cách chống lại mối đe dọa nội bộ: Tạo kế hoạch phát hiện

Để phát hiện hiệu quả các mối đe dọa trong nội bộ, trước tiên, các tổ chức nên thu hẹp khoảng cách tầm nhìn bằng cách tổng hợp dữ liệu bảo mật vào giải pháp giám sát tập trung cho dù đó là nền tảng quản lý sự kiện và thông tin bảo mật (SIEM) hay giải pháp phân tích hành vi thực thể và người dùng độc lập (UEBA). Nhiều nhóm bắt đầu với nhật ký truy cập, xác thực và thay đổi tài khoản sau đó mở rộng phạm vi sang các nguồn dữ liệu bổ sung như mạng riêng ảo (VPN) và nhật ký endpoint.

Khi thông tin đã được tập trung, hành vi của người dùng có thể được mô hình hóa và chỉ định điểm rủi ro gắn liền với các sự kiện rủi ro cụ thể, chẳng hạn như thay đổi địa lý của người dùng hoặc tải file xuống. Với việc đủ dữ liệu lịch sử, một đường cơ sở (baseline) của hành vi bình thường có thể được tạo cho mỗi người dùng cá nhân. Đường cơ sở này cho biết trạng thái hoạt động bình thường của người dùng hoặc máy để các sai lệch trong hoạt động này có thể được gắn cờ là bất thường. Các sai lệch phải được theo dõi không chỉ đối với một người dùng cụ thể mà còn so với những người dùng khác ở cùng địa điểm, với cùng chức danh hoặc chức năng công việc.

Sự bất thường về hành vi giúp các nhóm bảo mật xác định khi nào người dùng trở thành malicious insider hoặc nếu thông tin đăng nhập của họ bị xâm phạm bởi kẻ tấn công bên ngoài. Việc chỉ định điểm rủi ro cũng mang lại cho các nhóm trung tâm hoạt động bảo mật (SOC) khả năng giám sát rủi ro trên toàn doanh nghiệp cho dù đó là tạo danh sách theo dõi hoặc làm nổi bật những người dùng rủi ro hàng đầu trong tổ chức của họ. Bằng cách áp dụng chế độ xem tập trung vào người dùng, các nhóm bảo mật có thể nhanh chóng phát hiện ra hoạt động đe dọa của người trong nội bộ và quản lý rủi ro người dùng từ một vị trí tập trung thay vì ghép các điểm dữ liệu khác nhau mà không thể hiển thị toàn bộ hình ảnh.

Kết thúc vòng lặp với việc khắc phục

Như đã đề cập, tài khoản đặc quyền đại diện cho các mục tiêu giá trị cao cho người trong nội bộ. Điều quan trọng đối với các tổ chức là áp dụng giải pháp quản lý truy cập đặc quyền (PAM) và cung cấp dữ liệu về quyền truy cập vào các tài khoản đặc quyền từ giải pháp đó vào SIEM của họ. Phân tích hành vi của người dùng có thể phát hiện những thứ như các lần thử đăng nhập bất thường hoặc nhiều lần thử mật khẩu không thành công và tạo cảnh báo khi cần thiết để nhà phân tích xác thực. Sau khi được xác thực, một sự cố đe dọa nội bộ có thể được tạo ra trong một hệ thống Bảo mật, Tự động hóa và Phản hồi (SOAR) tích hợp, trong đó playbook có thể chỉ định những gì cần khắc phục. Để khắc phục có thể sử MFA hoặc thu hồi quyền truy cập, một trong hai cách có thể được thực hiện tự động trong giải pháp IAM.

Có một số loại mối đe dọa nội bộ mà các tổ chức nên biết và mỗi loại biểu hiện các triệu chứng khác nhau để các nhóm bảo mật chẩn đoán. Bằng cách hiểu được động cơ của những kẻ tấn công, các đội an ninh có thể chủ động hơn trong cách tiếp cận để phòng thủ mối đe dọa trong nội bộ.

Lược dịch theo bài viết ‘What Are Insider Threats and How Can You Mitigate Them?‘ của Jeremy Goldstein, Product Marketing Manager của IBM QRadar, IBM Security.

Xem thêm:

Tags: , ,