מקורבים מכירים את כל היתרונות והפרטים של התשתית וכלי אבטחת הסייבר של הארגון שלך. זו הסיבה שחברות ברחבי העולם נופלות קורבן למספר רב של אירועי אבטחה פנימיים זדוניים ורשלניים מדי חודש, מה שמוביל לפרצות מידע והשלכות שליליות רבות אחרות. התקפות כאלה עלולות לגרום להפסדים כספיים ומוניטין ואף להוביל לשיבוש עסקי.
במאמר זה, אנו מנתחים שבע דוגמאות מהחיים האמיתיים של איומים פנימיים שגרמו לפרצות מידע ומספקים טיפים כיצד ניתן היה למנוע אותם.
איומים פנימיים והשלכותיהם
נתחיל בהגדרה של איש פנים. פרסום מיוחד 800-53 של המכון הלאומי לתקנים וטכנולוגיה (NIST) מגדיר איום פנימי כ"איום שגורם פנימי ישתמש בגישה המורשית שלו, במודע או שלא במודע, כדי לפגוע באבטחת הפעולות והנכסים הארגוניים, יחידים, ארגונים אחרים והאומה".
ישנם שלושה מקורות עיקריים לאיומי פנים:
התקפות פנימיות מסוכנות במיוחד משלוש סיבות עיקריות:
- מקורבים לא פועלים בזדון רוב הזמן. לכן קשה יותר לזהות פעילויות פנימיות מזיקות מאשר התקפות חיצוניות.
- מקורבים מכירים את החולשות באבטחת הסייבר של הארגון שלך.
- מקורבים יודעים את המיקום והטבע של נתונים רגישים שהם יכולים לנצל.
מסיבות אלו, התקפות פנימיות מכוונות בדיוק לנכסים הרגישים ביותר ולוקחות זמן רב להכילם, מה שגורם להפסדים הרסניים לארגונים. העלות הממוצעת הכוללת של אירועי איומים פנימיים עלתה מ-8.3 מיליון דולר ב-2018 ל-16.2 מיליון דולר ב-2023, על פי הדוח העולמי של 2023 Cost of Insider Threats של מכון Ponemon.
התקפות פנימיות יכולות להוביל להשלכות שליליות שונות, החל מעונשים על אי עמידה בדרישות אבטחת סייבר ועד לאובדן אמון הלקוחות. להלן התוצאות הנפוצות ביותר של אירועי אבטחת סייבר בחיים האמיתיים:
במאמר זה, אנו בוחנים את מקרי האיומים הפנימיים הידועים לשמצה, מנתחים את תוצאותיהם וחוקרים כיצד התרחשו התקפות אלו. אנו גם נראה כיצד ניתן היה למנוע את הדוגמאות הפנימיות של הפרת מידע.
7 דוגמאות לפרצות נתונים מהחיים האמיתיים שנגרמו על ידי איומים פנימיים
בחרנו לניתוח שבע דוגמאות של איומים פנימיים בפרופיל גבוה שהובילו לפרצות נתונים. הם ממחישים מניעים נפוצים ומקורות לאיומים פנימיים. התקפות אלו גם מדגישות כיצד אירוע בודד יכול להזיק לחברה שלמה.
תחילה נסקור את הסוגים העיקריים של איומים פנימיים:
כעת, לאחר שהצגנו את הסוגים העיקריים של איומים פנימיים, הבה נעמיק כיצד הסיכונים התיאורטיים הללו התרחשו בתרחישים בעולם האמיתי.
מקרה מס' 1: חשיפת נתונים בחברת Pegasus Airlines עקב רשלנות עובדים
ישות מושפעת
מָקוֹר
תצורה שגויה של ענן על ידי מנהל מערכת
השלכות
- מידע אישי מזהה (PII) חשוף
- בטיחות הנוסעים ואנשי הצוות עלולה להיפגע
- הפרה של תקנת הגנת המידע הטורקית
פתרונות
- מדיניות אבטחת סייבר בנושא טיפול בנתונים
- תוכנת ניטור עובדים
- הכשרת עובדים נכונה
מה קרה?
במרץ 2022, צוות אבטחת סייבר בשם SafetyDetectives הודיע ל-Pegasus Airlines שכמות גדולה מהנתונים הרגישים שלהם נותרה ללא הגנה באינטרנט. דלי ה-AWS S3 החשוף השייך לפגסוס איירליינס הכיל נתוני טיסה רגישים המקושרים לתוכנת מערכת הטיסה שלהם. תוכנה זו עזרה לטייסים לנהל תהליכים בטיסה והכילה תרשימי טיסה, חומרי ניווט, PII של צוות וקוד מקור תוכנה.
מה היו ההשלכות?
כמעט 23 מיליון קבצים נמצאו על הדלי, שהיוו כ-6.5 טרה-בייט של נתונים. לו הייתה מתרחשת פרצת נתונים, היא הייתה יכולה להשפיע על אלפי נוסעים וצוות טיסה. חשיפת PII של עובדים היא הפרה של החוק הטורקי להגנה על נתונים אישיים (LPPD), שגוררת קנס מרבי של $183,000. גם שותפי פגסוס איירליינס עלולים להיות מושפעים. למרבה המזל, הרשלנות שהוצגה במקרה זה לא הובילה לתוצאות ידועות מתמשכות.
למה זה קרה?
רשלנות עובדים וטעות אנוש היו המקורות העיקריים לאירוע סיכון פנימי זה, שכן לא התרחשה פעילות זדונית או הונאה. זה קרה בגלל שמנהל המערכת של החברה עשה טעות ולא הצליח להגדיר כראוי את סביבת הענן, והותיר נתונים רגישים ללא הגנת סיסמה. ייתכן שלמנהל המערכת לא הייתה מספיק הכשרה בהגדרה נכונה של סביבות ענן וניהול נתונים, מה שהעמיד את החברה בסכנה.
לפגסוס איירליינס הייתה צריכה להיות גם ראיית הנולד לנטר אינטראקציות של משתמשים עם מערכות ונתונים רגישים. אילו היו עושים זאת, הם היו מבחינים בתצורת אחסון הענן השגויה. למשתמשים בעלי זכות יש גישה לתשתית ה-IT ולמשאבי ה-IT הקריטיים ביותר, לכן ניטור הפעילות שלהם הוא חובה. אתה יכול גם להגן על חשבונות מועדפים מפני פגיעה על ידי ביצוע השיטות המומלצות בנושא אבטחת סייבר של מנהל מערכת .
מקרה מס' 2: דליפת נתוני לקוחות של אפליקציית Cash על ידי עובד ממורמר
ישות מושפעת
מָקוֹר
פעילות זדונית של עובד לשעבר
השלכות
- נתונים אישיים של 8.2 מיליון לקוחות דלפו
- תביעה משפטית נגד Cash App Investing ושותפה
פתרונות
- הליך סיום תקין
- ביצוע סקירות גישה שוטפות של משתמשים
- ניטור רציף של פעילות המשתמש
מה קרה?
באפריל 2022, עובד ממורמר לשעבר הוריד את הנתונים האישיים של משתמשים בשירות התשלומים הנייד Cash App. לאחר סיום העבודה ב-10 בדצמבר 2022, העובד גנב את המידע הבא על לקוחות אפליקציית Cash:
- שמות מלאים
- ערכי תיקי תיווך
- אחזקות תיקי תיווך
- פעילות מסחר במניות
מה היו ההשלכות?
הפרצה הביאה לפשרה של נתונים של 8.2 מיליון לקוחות. החברה הודיעה ללקוחות המושפעים על ההפרה רק ארבעה חודשים לאחר גילוי התקרית, שהובילה לתביעה ייצוגית נגד Cash App Investing ובלוק, חברת האם שלה.
למה זה קרה?
למרות שהעובד פוטר, החברה לא טרחה לבטל את הרשאות הגישה של המשתמש, כך שהעובד עדיין יכול היה להוריד משאבים רגישים מחוץ לחברה. יצירת נוהל סיום תקין וביצוע סקירות גישה רגילות של משתמשים עוזרים לעתים קרובות להגן על ארגונים מפני גניבת נתונים על ידי עובד עוזב ויכולים היו למנוע את האירוע הזה.
בנוסף, הטמעת פתרון ניטור פעילות משתמש מתמשך היה מאפשר ל-Cash App Investing להבחין בפעילות חשודה בחשבון של עובד לשעבר שלהם ולהגיב מיידית.
מקרה מס' 3: גניבת קניין רוחני על ידי מקורב זדוני ב-Yahoo
ישות מושפעת
מָקוֹר
פעילות פנימית זדונית לרווח אישי
השלכות
- מידע חשוב על קוד מקור ואסטרטגיה דלף
- אובדן פוטנציאלי של יתרון תחרותי
פתרונות
- ניטור עובדים
- ניהול התקן USB
- התראות בזמן אמת על פעילות המשתמש
מה קרה?
יאהו טוענת כי מדען המחקר לשעבר שלהם צ'יאן סאנג, שעבד כמדען מחקר ביאהו, גנב את הקניין הרוחני של החברה בפברואר 2022. לפי טענת יאהו, המקורב הזדוני עמד להשתמש בנתונים הגנובים למטרות רווח כספי מהמתחרה של יאהו, דסק הסחר. לפני התקרית, סאנג קיבל מהם הצעת עבודה.
החברה גם טוענת שסאנג גנב מידע סודי אחר כולל תוכניות האסטרטגיה של יאהו וניתוח תחרותי של The Trade Desk.
מה היו ההשלכות?
לאחר ביצוע חקירה משפטית, יאהו גילתה כי סאנג הוריד לכאורה 570,000 קבצים המכילים מגוון מידע רגיש ואת קוד המקור של AdLearn, המנוע של יאהו לרכישת מודעות בזמן אמת. יאהו תבעה את עובדם לשעבר וטענה שהקניין הרוחני הגנוב יספק למתחרה שלהם "יתרון תחרותי בתחום הפרסום המקוון", שעלול לגרום להפסד כספי.
למה זה קרה?
סאנג העביר לכאורה את הנתונים הרגישים מהמחשב הנייד הארגוני שלו לשני התקני אחסון חיצוניים אישיים בזמן שעדיין עבד ביאהו.
ברוב המקרים, ניתן למנוע בקלות מקרים כאלה של גניבת נתונים של עובדים עם כלי האבטחה הנכונים. תוכנת ניטור עובדים יכלה למנוע פעילות זדונית במקרה זה בכך שהיא מאפשרת לצוות האבטחה להבחין ולהגיב לפעילות חשודה בזמן. פתרון ניהול התקני USB יכול גם לעזור לקציני האבטחה של יאהו לזהות חיבור של התקני אחסון חיצוניים לא ידועים.
הניתוח המשפטי של יאהו גם הראה שהמקורב תקשר עם מישהו ב-WeChat על שימוש במערכת גיבוי קבצי ענן. התראות על פעילות משתמשים בזמן אמת ויכולות אבטחת סייבר של רישום מפתחות יכלו לעזור לחברה לסמן את התקשורת של סאנג בנוגע לעניין חשוד זה לפני התקרית.
מקרה מס' 4: גניבת נתונים על ידי עובד SGMC לשעבר
ישות מושפעת
מָקוֹר
פעולות פנימיות זדוניות
השלכות
- דליפת נתוני לקוח
פתרונות
- פתרון ניהול גישה מועדף
מה קרה?
בנובמבר 2021, עובד לשעבר של המרכז הרפואי דרום ג'ורג'יה בוולדוסטה, ג'ורג'יה, הוריד נתונים פרטיים ממערכות המרכז הרפואי לכונן ה-USB שלו ללא סיבה ברורה למחרת הפרישה. זוהי אחת מדוגמאות רבות של פרצות נתונים של עובדים שבהן המקורב כעס, לא מרוצה או היו לו סיבות אישיות אחרות לפגוע בארגון.
מה היו ההשלכות?
תוצאות בדיקות המטופלים, שמות ותאריכי לידה דלפו. המרכז הרפואי נאלץ לספק לכל החולים שנפגעו מהדליפה שירותי ניטור אשראי ושחזור גניבת זהות בחינם.
למה זה קרה?
לעובד לשעבר הייתה גישה לגיטימית לנתונים שגנב ולא היה שום דבר שמנע ממנו לבצע את כוונותיו. עם זאת, תוכנת האבטחה של המרכז הרפואי דרום ג'ורג'יה הגיבה לאירוע של הורדת נתונים לא מורשית בצורה של התראה שהודיעה לצוות אבטחת הסייבר על עובד שמעתיק מידע רגיש להתקן USB.
במקרה של המרכז הרפואי דרום ג'ורג'יה, התקרית הבחינה והסתיימה מיד. אבל פתרון יעיל לניהול גישה המספק הרשאות גישה על בסיס חובה לדעת היה יכול להרתיע מלכתחילה גישה לא מורשית. שימוש בפתרון ניהול גישה מועדף הייתה דרך טובה למנוע תקרית זו. למידע נוסף, קרא את המאמר שלנו כיצד למנוע גישה לא מורשית בארגון שלך.
מקרה מס' 5: הפרת נתונים מסיבית על ידי שני עובדים לשעבר בטסלה
ישות מושפעת
מָקוֹר
פעילות זדונית של עובדים לשעבר
השלכות
- מידע אישי של עובדים וסודות ייצור דלפו
- פגיעה במוניטין של החברה
- קנסות או תביעות פוטנציאליות לתקנות הגנת מידע
פתרונות
- נהלי הפעלה וסיום נכונים
- ביצוע סקירת גישת משתמשים
- ניטור פעילות המשתמש
מה קרה?
במאי 2023, כלי חדשות גרמני הודיע לטסלה כי הם השיגו את המידע הסודי של החברה . לדברי קצין פרטיות הנתונים של טסלה, Steven Elentukh, "החקירה העלתה ששני עובדי טסלה לשעבר ניצלו את המידע שלא כהלכה תוך הפרה של מדיניות אבטחת ה-IT והגנת נתונים של טסלה ושיתפו אותו עם כלי התקשורת".
מה היו ההשלכות?
העיתון קיבל יותר מ-23,000 מסמכים פנימיים של טסלה – כמעט 100 גיגה-בייט של נתונים סודיים בסך הכל. המסמכים כללו PII של עובדים, מידע פיננסי של לקוחות, סודות הייצור של טסלה ותלונות לקוחות על תכונות המכוניות החשמליות של טסלה.
ההפרה הובילה לחשיפת הנתונים האישיים של 75,000 אנשים, מה שעלול לגרום לקנס של 3.3 מיליארד דולר GDPR עקב הגנה לא מספקת של נתונים אישיים רגישים. פרצות מידע גדולות כמו זה יכולות גם להשפיע לרעה על המוניטין ומחיר המניה של החברה, במיוחד אם נתונים רגישים מגיעים לידיו של האדם הלא נכון.
למה זה קרה?
טסלה הגישה תביעות נגד העובדים לשעבר האחראים, עם זאת, הפרטים על האופן שבו המבצעים השיגו גישה לנתונים הרגישים אינם זמינים לציבור. ככל הנראה, החברה לא הצליחה לבטל את הרשאות הגישה של העובדים עם סיום העבודה.
יישום טכניקות של פסאודונימיזציה יכול היה לסייע במניעת חשיפת נתונים אישיים. יחד עם זאת, ביצוע בדיקות רקע במהלך תהליך ההטמעה יכול להיות מועיל בקביעת המהימנות והכוונות של עובד פוטנציאלי. מעקב אחר פעילות העובדים יכול היה לעזור יותר בזיהוי הפעולות הזדוניות שלהם.
מקרה מס' 6: הפרת נתונים משולשת ב-Mailchimp הנגרמת על ידי הנדסה חברתית
ישות מושפעת
מָקוֹר
התקפות הנדסה חברתית על עובדים
השלכות
- 133 חשבונות משתמש נפרצו
- אובדן מוניטין
פתרונות
- הדרכת אבטחת סייבר לעובדים
- אימות דו-גורמי (2FA)
- ניהול זהויות
מה קרה?
במהלך 2022, Mailchimp ושותפיה היו ממוקדים על ידי פושעי סייבר וספגו מספר התקפות. בינואר 2023, שחקנים זדוניים הצליחו לבצע מתקפת פישינג מוצלחת והוליכו שולל לפחות עובד אחד של Mailchimp לחשוף את האישורים שלהם.
מה היו ההשלכות?
הפרת הנתונים הביאה לפגיעה של לפחות 133 חשבונות משתמש של Mailchimp. חלק מהחשבונות שהושפעו היו שייכים לעסקים כמו WooCommerce, Statista, Yuga Labs, Solana Foundation ו-FanDuel.
למה זה קרה?
העבריינים מיקדו את התקפות ההנדסה החברתית שלהם על עובדי וקבלנים של Mailchimp. רשלנות או חוסר יכולת של עובד לזהות מתקפת הנדסה חברתית אפשרה לשחקנים זדוניים לגשת לחשבונות המשתמש שלהם.
פרצות אבטחה כאלה שנגרמות על ידי עובדים מראות שאין לזלזל בדיוג ובטכניקות אחרות של הנדסה חברתית. מניעת התקפות מסוג זה דורשת הכשרה קבועה לאבטחת סייבר לעובדים ולשותפים במקום להסתמך רק על תוכנת אבטחה בלבד. עם זאת, שימוש בכלי אימות דו-גורמי (2FA) יכול היה למנוע מהתוקפים להשתמש בהצלחה באישורים שנפגעו.
מקרה מס' 7: מאגרי הקוד של סלאק נגנבו בגלל ספק שנפגע
ישות מושפעת
מָקוֹר
פשרה של ספק צד שלישי
השלכות
- נגנבו מאגרי קוד פרטיים
פתרונות
- תגובה לאירוע בזמן אמת
- ניהול זהויות
- אימות דו-גורמי (2FA)
- ניהול סיכונים בשרשרת אספקת סייבר
מה קרה?
בדצמבר 2022, צוות האבטחה של סלאק הבחין בפעילות חשודה בחשבון GitHub של החברה. התברר ששחקן זדוני גנב אסימונים של עובדי סלאק והשתמש בהם כדי לקבל גישה לא מורשית למשאבי החברה.
מה היו ההשלכות?
על פי החקירה של סלאק, העבריינים לא ניצלו אף פגיעות של סלאק. הפרת הנתונים הייתה תוצאה של פשרה של ספק צד שלישי. עם זאת, Slack לא שיתף מידע על מי היה הספק ואילו שירותים או מוצרים הם סיפקו ל-Slack.
למה זה קרה?
על פי החקירה של סלאק, העבריינים לא ניצלו אף פגיעות של סלאק. הפרת הנתונים הייתה תוצאה של פשרה של ספק צד שלישי. עם זאת, Slack לא שיתף מידע על מי היה הספק ואילו שירותים או מוצרים הם סיפקו ל-Slack.
דוגמה זו לאירוע אבטחת סייבר אמיתי התרחשה מכיוון שמערכות אבטחת סייבר לא התריעו בפני קציני אבטחה לפני שמאגרי הקוד נגנבו. הקמת תהליך תגובה לאירועים של NIST כמו גם שימוש בתוכנת תגובה לאירועים בזמן אמת כדי לזהות ולהגיב לדפוסי התנהגות חריגים היו יכולים לעזור למנוע את האירוע. ניהול זהויות ואימות דו-גורמי יכלו גם למנוע מהעבריינים לגשת לחשבון GitHub של סלאק. לבסוף, תוכנית לניהול סיכונים בשרשרת אספקה סייבר (C-SCRM) יכולה הייתה לעזור לתקוע את התקרית.
בסעיף הבא, נבחן את הפונקציונליות של זיהוי ומניעת איומים פנימיים של Syteca כדי לעזור לך לנהל את הסיכון של אירועי פרצות נתונים שניתחנו לעיל.
מניעת פריצות נתונים הנגרמות על ידי איומים פנימיים עם Syteca
Syteca היא פלטפורמה מקיפה לניהול סיכונים פנימיים, המספקת כלים מתקדמים לזיהוי, ניטור ומניעה של איומי פנים. הפתרון מאפשר לזהות פעילויות חריגות, להרתיע ניסיונות גישה לא מורשית ולמנוע אירועי הונאה פנימיים, העלולים להוביל לפריצות נתונים חמורות.
באמצעות Syteca, הארגון שלך יכול להגן על נכסים קריטיים ומידע רגיש באמצעות מגוון יכולות אבטחת סייבר מתקדמות, כולל:
- ניטור פעילות משתמש (UAM) מאפשר לך לבצע הקלטות לכידת מסך של פעילות המשתמש יחד עם מטא נתונים על כל פעולה: הקשות שהוקלדו, כתובות אתרים שביקרו בהן, אפליקציות שהושקו, התקני USB מחוברים וכו'. קציני האבטחה שלך יכולים לצפות בהפעלות משתמשים בזמן אמת או סקירה פעילויות קודמות של משתמשים רגילים ומיוחסים. נתוני פעילות משתמשים מוקלטים משמשים גם כראיה במהלך חקירת אירוע אבטחה .
- ניהול גישה פריבילגי (PAM) מאפשר לך לשלוט אילו משתמשים יכולים לגשת לאילו נקודות קצה. Syteca מספקת כלים לניהול מפורט של הרשאות גישה, לאבטחת אישורי משתמש ולאימות זהויות משתמש עם אימות דו-גורמי . לפיכך, פונקציונליות ה-PAM ב-Syteca מאפשרת לך לאבטח נתונים רגישים על ידי שליטה פרטנית בגישה לכל המשתמשים הרגילים והמורשים בתשתית שלך.
- יכולות התראה ותגובה לאירועים מאפשרות הודעה מיידית על פעילות פנימית חשודה והפרות אבטחה. חמושה במערכת כללי התראה הניתנת להתאמה אישית, Syteca מודיעה לצוות אבטחת הסייבר שלך וחוסמת אוטומטית משתמשים ותהליכים בזמן אמת.
- ניטור ספקים ונותני שירותים מעמיד את משתמשי הצד השלישי שלך עם גישה מרחוק לתשתית שלך תחת פיקוח צמוד. בדרך זו, אתה יכול לפקוח עין על הספקים, השותפים וקבלני המשנה שלך ולמנוע מהם להפר את מדיניות האבטחה או לגרום לפרצת נתונים.
מַסְקָנָה
פרצות מידע הנגרמות על ידי גורמים פנימיים יכולות לקרות לכל חברה, כפי שאנו יכולים לראות מאירועי האבטחה הנ"ל ודוגמאות אמיתיות של איומים פנימיים. ההשלכות של הפרות הקשורות למקורבים הן לרוב הרסניות. עם זאת, ברוב המקרים, ניתן לזהות ולעצור התקפות פנימיות בעזרת כלים ייעודיים לניהול סיכונים פנימיים.
תוכנת ניהול איומים פנימיים של Syteca מספקת לך כלים לכל דבר, החל ממעקב אחר פעילות המשתמש ועד לתגובה להתנהגות משתמש חשודה ואיסוף נתונים על אירועי אבטחה.
