2018-01-17

Zagrożenia ze strony cyberprzestępców są ciągłym problemem dla wszystkich organizacji. Dowodem na to jest wiele ataków przeprowadzonych w 2017 r. za pomocą oprogramowania ransomware, np. Petya, Bad Rabbit czy WannaCry, które doprowadziły do zainfekowania kilkuset tysięcy komputerów w ponad 100 krajach. Największe zagrożenia cybernetyczne pochodzą jednak nie ze strony hakerów lub złośliwego oprogramowania, ale ze strony pracowników. 

Pokazuje to raport „2018 Insider Threat Report by Cybersecurity Insiders” podsumowujący wyniki badania przeprowadzonego przez Cybersecurity Insiders oraz Crowd Research Partners przy wsparciu firm Quest i One Identity. W badaniu dotyczącym wewnętrznych zagrożeń bezpieczeństwa, na które narażone są organizacje wzięło udział 472 specjalistów ds. bezpieczeństwa IT z organizacji reprezentujących różne branże i wielkość (od 100 do ponad 10 tys. zatrudnionych pracowników).

Wyniki badania[1] pokazują, że aż 90% organizacji jest zagrożonych z powodu dużej liczby użytkowników i urządzeń z nadmiernym dostępem do poufnych danych – zwłaszcza w obszarze Active Directory, baz danych i serwerów plików. Dwie trzecie organizacji (66%) uważa, że ataki ze strony przestępców wewnętrznych lub przypadkowe naruszenia bezpieczeństwa są bardziej prawdopodobne niż ataki z zewnątrz. Ponad połowa (53%) odnotowała ataki wewnętrzne w ciągu ostatnich 12 miesięcy, a 27% zauważyło wzrost częstotliwości takich ataków w ostatnim roku.

Specjaliści ds. bezpieczeństwa są zdania, że ​niewłaściwe działania pracowników – przypadkowe lub złośliwe – mogą spowodować tyle samo szkód, co ataki inicjowane z zewnątrz. Mimo to, firmy nadal koncentrują swoje działania głównie na wykrywaniu zagrożeń zewnętrznych i zapobieganiu im. Z raportu wynika, że największą barierą w lepszym zarządzaniu zagrożeniami wewnętrznymi jest brak wiedzy i szkoleń (52%) oraz odpowiednich technologii (43%). Tylko 36% organizacji posiada formalny program wykrywania zagrożeń, audytu i reagowania na incydenty pochodzące z wewnątrz.

 

Największe zagrożenie to pracownik

W większości przypadków za wyciek danych lub wprowadzenie wirusa odpowiada nie haker, ale pracownik. Ponad połowa przypadków wewnętrznych naruszeń bezpieczeństwa wiąże się z nadużywanymi uprawnieniami. Według raportu największe zagrożenie dla organizacji pochodzi ze strony zwykłych pracowników (56%) oraz uprzywilejowanych użytkowników IT (55%). Głównym problemem jest nadmiar uprzywilejowanych użytkowników, którzy mają więcej uprawnień, niż potrzebują do wykonywania swojej pracy. Mogą oni wykorzystywać swoje uprawnienia w celu kradzieży danych lub dokonywać nieumyślnych zmian, które otwierają luki w zabezpieczeniach. W następstwie może to prowadzić do utraty danych i zgodności (compliance), a także naraża organizacje na duże straty finansowe.

Konta uprzywilejowane są często pozbawione jakiejkolwiek kontroli. Standardowe narzędzia Microsoft nie dostarczają informacji o tym, kto korzysta z danego loginu i hasła oraz w jakim celu go użył. Sposobem na usprawnienie zarządzania „super-kontami” jest wdrażanie najlepszych praktyk bezpieczeństwa i stosowanie rozwiązań informatycznych typu PAM (Privileged Access Management) np. One Identity Safeguard. Narzędzie to pozwala na audyt, rejestrowanie oraz przeglądanie każdej sesji i aktywności użytkowników. Zapewnia pełną kontrolę i bezpieczne zarządzanie dostępem do kont uprzywilejowanych, ograniczając ryzyko wystąpienia wewnętrznych nadużyć i innych zagrożeń.

 

Active Directory na celowniku

Usługa Microsoft Active Directory (AD) jest krytycznym elementem środowiska IT, a także głównym celem cyberataków ze względu na jego znaczenie w uwierzytelnianiu i autoryzacji użytkowników. Administratorzy często niewłaściwie zarządzają AD (natywne rozwiązania Microsoft nie zapewniają odpowiedniej ochrony i możliwości zarządzania AD), co może stanowić realne zagrożenie dla bezpieczeństwa organizacji. Duże ryzyko niepożądanej aktywności występuje ze strony osób, posiadających zbyt wysokie uprawnienia do obiektów AD w organizacji. Konsekwencją tych działań może być spowodowanie awarii lub niedostępności obiektów (np. kont), poprzez ich modyfikacje lub skasowanie. Pomocne może być tutaj rozwiązanie ChangeAuditor for Active Directory, które informuje o odstępstwach od norm oraz wykrywa i diagnozuje naruszenia bezpieczeństwa w czasie rzeczywistym. Dzięki ChangeAuditor administratorzy mogą zabezpieczyć krytyczne obiekty Active Directory, skrzynki pocztowe Exchange oraz pliki i foldery Windows. Innym rozwiązaniem firmy Quest, które może pomóc w zapewnieniu kontroli nad środowiskiem IT jest InTrust. Rozwiązanie pozwala na bezpieczne gromadzenie, przeglądanie i archiwizowanie informacji zawartych w logach systemowych. Umożliwia monitorowanie dostępu do krytycznych danych systemu, śledzenie nadawania dostępu i jego wykorzystywania przez użytkowników. InTrust powiadamia o nietypowej aktywności użytkowników i administratorów (np. próba dostępu do plików poza godzinami pracy czy nieudane logowania) oraz innych wydarzeniach – krytycznych z punktu widzenia bezpieczeństwa organizacji.

 

Zabezpieczyć i edukować

Ryzyko ze strony zagrożeń wewnętrznych jest i będzie coraz większe. Bez stosowania odpowiedniej ochrony organizacja naraża się na kradzież danych i straty finansowe. Dlatego każda firma powinna stosować odpowiednie zasady bezpieczeństwa również w takich obszarach, jak kompleksowe zarządzanie tożsamością i dostępem, monitorowanie kont uprzywilejowanych, kontrola dostępu czy aktywności administratorów. Pomocne są tutaj kompleksowe rozwiązania informatyczne, np. firm Quest i One Identity, które umożliwiają wgląd w czasie rzeczywistym w aktywność administratorów i użytkowników, wykrywają incydenty i powiadamiają o naruszeniu bezpieczeństwa, automatyzują provisioning/deprovisioning, a w razie awarii umożliwiają odtworzenie danych. Jednak trudno jest ochronić informacje przed zaniedbaniami lub szkodliwymi działaniami ze strony pracowników. Dlatego oprócz stosowania odpowiednich rozwiązań informatycznych i praktyk bezpieczeństwa, organizacje muszą edukować pracowników o niebezpieczeństwach i zagrożeniach. Bez stworzenia odpowiedniego poziomu świadomości pracowników w kwestii ochrony informacji oraz bez dodatkowych rozwiązań informatycznych nie można zapewnić bezpieczeństwa organizacji.

 

Raport  „2018 Insider Threat Report by Cybersecurity Insiders” do pobrania 

 


[1] „2018 Insider Threat Report by Cybersecurity Insiders”,
https://www.quest.com/whitepaper/insider-threat-spotlight-report890546/