העובדים שלך, שותפי העסק והקבלנים מצד שלישי עם גישה לגיטימית לתשתית הארגונית שלך עשויים להוות סיכונים משמעותיים לאבטחת המידע שלך. במתכוון או שלא במתכוון, הם יכולים להרוס או לחשוף נתונים יקרי ערך, ובכך להעמיד את הארגון שלך בסיכון לאי עמידה בדרישות, להפסדים כספיים, לפגיעה במוניטין ועוד.
חשוב להבין מה הם איומים פנימיים ואילו סכנות הם עלולים להוות עבור הארגון שלך. במאמר זה נציג הגדרה מפורטת של איומים פנימיים, נבחן את הסיבות לאיומים אלו, סוגי האיומים, וכן את השיטות המומלצות למניעה, גילוי והתמודדות עם התקפות פנימיות.
מהו איום פנימי?
איום פנימי הוא סיכון אבטחה שמקורו בתוך הארגון שלך. הוא מתרחש כאשר עובדים, קבלנים או שותפי עסק מנצלים לרעה את הגישה שלהם, במתכוון או שלא במתכוון, ובכך גורמים נזק לרשתות, למערכות ולנתונים שלך. איומים פנימיים יכולים להתבטא בדרכים שונות, כולל רשלנות, גניבת נתונים, חבלה במערכות, הונאה והתקפות סייבר.
איום פנימי הוא איום זדוני, רשלני או חסר תשומת לב לארגון, שמגיע מאנשים בתוך הארגון – כגון עובדים, עובדים לשעבר, קבלנים או שותפים עסקיים – שיש להם מידע פנימי על נהלי האבטחה, הנתונים והמערכות הממוחשבות של הארגון.
המדריך לשוק לפתרונות ניהול סיכוני פנים של Gartner (נדרשת מנוי)
הגדרה נוספת לאיומים פנימיים מוצעת על ידי סוכנות אבטחת הסייבר ותשתיות (CISA). היא מגדירה איום פנימי כ "האפשרות שמישהו מתוך הארגון ינצל את הגישה המורשית שלו או את הידע שלו על הארגון כדי להזיק לארגון." נזק זה יכול לכלול פעולות זדוניות או לא מכוונות אשר משפיעות באופן שלילי על סודיות, זמינות ושלמות הנתונים הקריטיים, הצוות או המתקנים של הארגון.
איומים פנימיים נמצאים בעלייה ומהווים בעיות חמורות באבטחת המידע עבור ארגונים רבים. על פי דו"ח עלות האיומים הפנימיים העולמי לשנת 2022 של מכון Ponemon [PDF], תדירות האירועים הקשורים לאיומים פנימיים עלתה ב-14% תוך ארבע שנים.
באותו הזמן, העלות השנתית הממוצעת של תקריות הקשורות לאיומים פנימיים כמעט הכפילה את עצמה – מ-8.3 מיליון דולר בשנת 2018 ל-16.2 מיליון דולר בשנת 2023, על פי דו"ח עלות הסיכונים הפנימיים העולמי לשנת 2023 של מכון Ponemon.
מלבד הפסדים כספיים, ארגונים סובלים גם מאובדן נתונים קריטיים, פגיעה במותג, שיבושים תפעוליים, אובדן הכנסות, חבויות משפטיות ועוד.
עכשיו, לאחר שהבנו מהם איומים פנימיים ועד כמה הם מסוכנים, בואו נבחן מהם סוגי האיומים הפנימיים.
סוגי איומים פנימיים
למרות שהנושא פופולרי בקרב מומחי אבטחת מידע, אין הסכמה כללית בתעשייה על סיווג סוגי האיומים הפנימיים באבטחת סייבר.
ב-מדריך השוק לפתרונות לניהול סיכונים פנימיים (מנוי נדרש), חברת Gartner מסווגת איומים פנימיים לשלושה סוגי גורמי איום:
- גורמים פנימיים זדוניים
- גורמים פנימיים רשלניים
- גורמים פנימיים שהורכבו
על פי סיווג זה, גם חשבונות שנפרצו נחשבים לאיומים פנימיים, משום שכאשר גורמים חיצוניים נכנסים לתשתית הארגון עם אישורי גישה של משתמש לגיטימי, המערכת רואה אותם כגורמים פנימיים.
פולשים יכולים לגנוב אישורי משתמש באמצעות:
- שליחת מיילי פישינג
- הדבקת מחשבים בתוכנות זדוניות דרך קישורים במייל, קבצים שהורדו מאתר אינטרנט, התקני USB וכדומה
- שיחות טלפון פישינג
- התקפות Pass-the-hash, ועוד
עם זאת, הגישה המפורטת ביותר עד כה הוצעה על ידי Verizon. הם מחלקים את כלל האיומים הפנימיים לחמש קטגוריות:
מערכת סיווג זו מכסה מגוון רחב של איומים פנימיים וסיבות למתקפות: כוונות זדוניות, ריגול תעשייתי, רשלנות, מניעים רגשיים ואפילו סיכונים הקשורים לספקי צד שלישי. סטטיסטיקות עדכניות של איומים פנימיים מראות שרוב המתקפות הפנימיות נגרמות כתוצאה מחוסר זהירות של עובדים – על פי דוח "עלות הסיכונים הפנימיים 2023" של Ponemon, 55% מכלל האירועים נגרמים מרשלנות. עם זאת, איומים זדוניים עולים הכי הרבה — בממוצע $701,500 לכל אירוע, על פי אותו דוח.
על ידי הבנת האופי האמיתי של כל סוג איום פנימי, תוכלו להבין טוב יותר את הסיכונים שהם מציבים לאבטחת הסייבר של החברה שלכם. בחלק הבא, נדבר על הסיכונים והאתגרים המרכזיים של איומים פנימיים.
הסיכונים והאתגרים המרכזיים של איומים פנימיים
הבעיה המרכזית עם התקפות פנימיות, בניגוד להתקפות חיצוניות, היא שהן עשויות לעבור ללא גילוי לא רק במשך שבועות אלא במשך חודשים. ממוצע ימי ההכלה של תקרית הגיע ל-86 ב-2023, לפי דוח ה-2023 Cost of Insider Risks Global Report של מכון פונהמון.
בעוד שגורמים חיצוניים מתנהגים בצורה חשודה ברגע שהם פולשים למערכת שלך, אנשי פנים מזיקים בדרך כלל פועלים כרגיל ומבזבזים זמן מוגבל על פעולתם המזיקה. לכן קשה יותר לזהות התקפות פנימיות מזיקות.
איומים פנימיים יותר מאתגרים מהתקפות סייבר חיצוניות כי:
- לאנשי פנים יש גישה לגיטימית לתשתית שלך
- לאנשי פנים יש ידע על היכן מאוחסן המידע היקר ביותר שלך או שהם יכולים למצוא זאת בקלות
- לאנשי פנים יש ידע פנימי על מערכת אבטחת הסייבר שלך, מה שהופך את זה לקל יותר עבורם לעקוף אותה.
גרטנר מגדיר את שלוש הפעילויות המרכזיות של איומי פנים כפי שמפורט להלן:
פעילויות הונאה כוללות שימוש לרעה בנכסים יקרי ערך למטרות רווח אישי, קמפיינים של פישינג, והטעיה.
גניבת נתונים היא העברת נתונים לא מאושרת ממחשב ארגוני.
סנקציה למערכות פירושה שינוי הגדרות קריטיות ברשת שלך, ומניעת פעולתה התקינה של המערכת. אנשי פנים יכולים לבצע פעולות מסוכנות נוספות, כולל:
- שינוי הגדרות קריטיות של המערכות שלך
- מניעת פעולתה התקינה של המערכת
- התקנת תוכנות זדוניות
- יצירת "דלתות אחוריות" עבור תוקפים חיצוניים, ועוד.
בקצרה, אם יש התקפת פנים פעילה בחברה שלך, כל נכסי ה-IT היקרים שלך נמצאים בסיכון: רשתות, שרתי קבצים, אחסון ענן, בסיסי נתונים, ואפילו נקודות קצה. יש גם מספר גורמי סיכון שיכולים להגדיל את האפשרות להתקפות פנימיות. השכיחים והקריטיים ביותר הם:
- הרשאות גישה מיותרות. כאשר יותר מדי אנשים מקבלים גישה לנכסים הקריטיים ביותר, הדבר יוצר סיכון נוסף לשימוש לרעה או פגיעה בנתונים. לכן, מומלץ ליישם את עקרון המינימום הרשאות בארגון שלך.
- IT מוצל. כאשר עובדים מתקינים תוכנה שלא אושרה ואינה מנוהלת על ידי מחלקת ה-IT שלך, הדבר יוצר סיכון אבטחה נוסף של IT מוצל עבור התקנת תוכנות זדוניות. בנוסף, תוכנה שלא אושרה עשויה להיות לא תואמת עם תוכנה אחרת שמופעלת בחברה שלך, מה שעלול להזיק לפעולת המערכות שלך. כדי למזער את האיומים הקשורים ל-IT מוצל, עקוב אחר ההמלצות הטובות ביותר להפחתת הסיכונים משימוש ב-IT מוצל.
- מדיניות BYOD (הבא את המכשיר שלך). כאשר עובדים משתמשים במכשירים אישיים לצרכים ארגוניים, הדבר יוצר סיכוני אבטחת מידע נוספים. שקול לעקוב אחרי מכשירים אישיים של עובדים כדי להוריד את הסיכונים הללו. אפשר לעקוב אחרי סשנים של משתמשים במחשבים אישיים, תוך שמירה על פרטיות המשתמש.
גילוי והתמודדות עם איום פנימי בזמן אמת צריכים להיות בראש סדר העדיפויות של כל קצין אבטחת מידע ובעל עסק. בחלק הבא, נדון ב-אינדקטורים נפוצים לאיומים פנימיים ובדרכים היעילות ביותר להפחתת הסיכונים הקשורים לאיומים פנימיים.
התמודדות עם איום פנימי: שיטות פרואקטיביות מול שיטות ריאקטיביות
ישנם שני תרחישים בסיסיים להתמודדות עם התקפת פנימית: תגובה פרואקטיבית, כלומר ניסיון למנוע את ההתקפה מלכתחילה, או תגובה ריאקטיבית, כלומר טיפול בה בצורה יעילה ובזמן. כמובן, כדי להשיג את התוצאות הטובות ביותר, כדאי לבנות תוכנית ניהול איומים פנימיים שמשלבת את שני הגישות. לכן, פתח וכתוב בתוכנית האיומים פנימיים אמצעי אבטחה שיתמודדו עם ההיבטים הבאים:
- מניעת התקפות פנימיות – בנה את מדיניות אבטחת המידע שלך ואת תהליך ניהול סיכוני האיומים הפנימיים כך שיאפשרו לך לשמור על סיכון נמוך ככל האפשר.
- גילוי ותגובה – צור תוכנית גילוי איומים פנימיים שתאפשר לך לזהות התקפה בשלבים המוקדמים ולבנות תוכנית תגובה יעילה כדי להגביל את הנזקים האפשריים.
תוכל לזהות איום פנימי פוטנציאלי על ידי חיפוש אינדיקטורים שונים להתנהגות חשודה:
| אינדיקטורים של פנים זדוניים | |||
|---|---|---|---|
| אינדיקטורים של התנהגות | אינדיקטורים של חבלה במערכות IT | אינדיקטורים של גניבת נתונים | |
| רשומות רשמיות של הפרות אבטחה או פשעים | יצירת חשבונות אחוריים | הורדה המונית של נתוני חברה | |
| מקרים של התנהגות לא מקצועית | שינוי כל הסיסמאות כך שאף אחד לא יוכל לגשת לנתונים | שליחת נתונים רגישים לכתובת חיצונית | |
| מקרים של בריונות כלפי עובדים אחרים | השבתת יומני מערכת | שליחת מיילים עם קבצים מצורפים גדולים לכתובת לא ארגונית | |
| סכסוכים אישיים | התקנת כלי ניהול רשת מרחוק | שימוש נרחב במדפסות החברה | |
| שימוש לרעה בנסיעות, זמן או הוצאות | התקנת תוכנה זדונית | גישה מרחוק לשרת מחוץ לשעות העבודה | |
| קונפליקטים עם עמיתים לעבודה או מנהלים | גישה למערכות או מכונות של עובדים אחרים | התקנת תוכנה לא מורשית או התקני USB | |
איך ניתן למנוע מתקפה פנימית?
ישנם רבים פלטפורמות לזיהוי ומניעת איומי פנימיים בשוק, אשר מסייעות לארגונים לשפר את אבטחת המידע שלהם ולהפחית איומים פנימיים. המטרה העיקרית של פלטפורמות אלו היא לפקח על פעילות העובדים ולשלוח התראות על איומים פוטנציאליים לגורמים המתאימים בארגון.
בהתאם לצורך העסקי, תוכנה כזו יכולה לאסוף נתונים שונים, כולל:
- פעילות מקוונת — אתרים שנבקרו, חילופי מיילים, קבצים ויישומים שהורדו ו הועלו, והיסטוריית חיפושים באינטרנט.
- פעילות כללית — מניפולציה של קבצים ונתונים, יישומים שהופעלו, התקני USB שהתחברו.
בנוסף לשימוש בתוכנה לזיהוי ומניעת איומים פנימיים, ניתן לנקוט בצעדים נוספים כדי להפחית את הסיכון לאיומים פנימיים:
מדיניות והנחיות אבטחת מידע. קיום מדיניות והנחיות אבטחת מידע מפורטות ומתוכננות היטב הוא הצעד הראשון לעבר אבטחת נכסיך היקרים.
על העובדים שלך לדעת בדיוק:
- אילו תרחישים מותרים לעבודה עם מידע רגיש.
- מה עליהם לעשות במקרה של אירוע אבטחת מידע.
- מהם הכללים לעבודה עם מערכות ארגוניות.
כל המידע הזה צריך להיות כלול ב-מדיניות האבטחה שלך ובמדריכים קטנים יותר המיועדים למחלקות ולתפקידים ספציפיים.
ניהול גישה. הדרך הטובה ביותר למנוע מהעובדים להשתמש לרעה בהרשאות הגישה שלהם היא להעניק להם רק את ההרשאות שהם באמת צריכים. בקרת גישה מבוססת תפקידים ו-PAM בזמן אמת הן דרכים מצוינות להבטיח את רמת הגישה הנדרשת. גישות אלו יכולות גם לסייע בהגבלת היקף הפעולות המותרות לכל תפקיד למינימום מאובטח.
אימות רב-שלבי (MFA) הוא פרקטיקה מומלצת ומוכרת לאבטחת נכסים יקרים ולניהול גישה אליהם בצורה יעילה. גישה נוספת אפשרית היא יישום מודל אבטחת אפס אמון כאשר הגישה לנכס קריטי תמיד מוגבלת ודורשת אישור נוסף או אימות זהות של המשתמש.
בקרות טכנולוגיות. מאחר שברוב המקרים נתונים הם אחד היעדים העיקריים של פושעי סייבר, עליך להקשות על ערעור נתונים קריטיים. לדוגמה, גיבויים קבועים של נתונים והפעלת כלי מניעת אובדן נתונים יכולים לצמצם את הסיכונים הקשורים לנזק או אובדן מידע יקר.
כלי ניהול USB יכולים להיות מועילים במניעת השימוש של עובדים בהתקני USB לא מאושרים להתקנת תוכנות זדוניות או להעתקת נתוני החברה לשימוש אישי.
עם זאת, חשוב להבהיר שהצעדים המניעתיים רק מסייעים בהפחתת הסיכון למתקפה פנימית. כדי להגן על החברה שלך מאיומי סייבר, עליך לתכנן בצורה יסודית דרכים לזיהוי ותגובה למתקפות פנימיות.
איך לגלות איומי פנים ולתגונן מהם?
כמו במניעה, ישנם מספר גורמים חשובים שמשפיעים על היכולת שלך לזהות ולתגונן באופן אפקטיבי נגד איומי פנים.
ניטור פעילות משתמשים. שמירה על תצוגה מלאה ברשת שלך היא אחת השיטות היעילות ביותר לזיהוי ומניעת מקרי הונאת פנים ואיומים פנימיים אחרים. והדרך הטובה ביותר להשיג את רמת התצוגה הנדרשת ברשת שלך היא על ידי ניטור כל פעילות ברשת 24/7.
התחל ב ניטור פעילות עובדים. עליך לדעת מי עושה מה, מתי, ואיך. תוכל להתחיל בניטור חשבונות בעלי הרשאות מיוחדות ונכסים קריטיים, ולאחר מכן להרחיב את היקף המשתמשים והסשנים שנבדקים לפי הצורך.
לאחר מכן, יש לשים דגש מיוחד על ניטור וביקורת של קבלנים משנה. מאחר שלקבלנים עשויה להיות גישה חוקית לנכסים קריטיים שלך, עליך לוודא שהם לא מנצלים את ההרשאות שלהם לרעה.
רישום וביקורת. ניטור פשוט לא יספיק על מנת לאבטח את הנכסים החשובים שלך. חשוב שהפתרונות לניטור שלך יאספו וירשמו נתונים על סשנים ומשתמשים שנבדקו.
בנוסף, עליך להיות מסוגל לבצע ביקורת וניתוח של הנתונים שנאספו; אחרת, לא תוכל לפעול עליהם. לכן, ודא שהפתרון לניטור פעילות שלך מאפשר לך ליצור דוחות מפורטים לצורך ביקורת נוספת.
זיהוי ותגובה לאירועים. ככל שתקלה תישאר לא מזוהה זמן רב יותר, כך יגדל המחיר שלה לתיקון. על מנת לזהות תקלה פנימית בהקדם האפשרי, עליך ליצור מערכת תגובה לאירועים מקיפה. ישנם מספר תכונות שיכולות להיות מועילות לבניית מערכת כזו, כולל:
- התראות והודעות. הגדרת התראות לאירועים ספציפיים כגון יצירת חשבון בעל הרשאות מיוחדות או מחיקת מערך נתונים מסוים תעזור לך לזהות פעולות חשודות ולנקוט בפעולות מתאימות בשלבים המוקדמים של התקפה פוטנציאלית.
- תגובה אוטומטית. היכולת לחסום תהליך, יישום או משתמש שמתנהג בצורה חשודה או מפר את כללי האבטחה תוכל לעזור לך למזער את הנזק הפוטנציאלי שנגרם כתוצאה מאירוע אבטחה.
אנליטיקת התנהגות של משתמשים וישויות (UEBA). על מנת לשלב את היתרונות של ניטור פעילות משתמשים ותגובה פעילה לאירועים, שקול ליישם פתרון UEBA. פתרונות UEBA אוספים מידע הן על ישויות אנושיות והן על ישויות שאינן אנושיות, מנתחים את ההתנהגות שלהן ובונים פרופיל בסיסי לכל אחת. כאשר פעילות של ישות מנוטרת סוטה מהבסיס המוגדר, UEBA יכול להתריע על התקפה פנימית פוטנציאלית.
היתרון הגדול ביותר של גישה כזו הוא שכל הנתונים מעובדים על ידי אלגוריתם של אינטליגנציה מלאכותית, ולא על ידי אדם. אלגוריתמים יכולים לנתח נתונים בצורה מדויקת יותר ולגלות דפוסים חשודים שעשויים להחמיץ ניתוחים אנושיים.
הדרכת עובדים. חשוב גם לחנך את העובדים ואת שותפי הצד השלישי על מדיניות האבטחה של הארגון שלך, כמו גם על פרקטיקות מיטביות לאבטחת סייבר באופן כללי. ודא שעובדיך וקבלני המשנה מודעים לאיומי פנים וכיצד לדווח עליהם. כאשר הם מכירים את האינדיקטורים הספציפיים של איומים פנימיים, הם יכולים לזהות פעילות חשודה — לפעמים אפילו לפני שהתוכנה מגלה אותה.
הרתעה, זיהוי והפסקת איומי פנים עם Syteca
Syteca היא פלטפורמת ניהול סיכונים פנימיים מקיפה שיכולה לעזור לך למנוע, לזהות ולפעול במהירות מול איומי פנים, תוך פוקנוס על שלושת המטרות המרכזיות:
- הרתעת איומי פנים פוטנציאליים. Syteca מאפשרת לך ליישם ניהול גישה מתקדם הן עבור חשבונות בעלי הרשאות מיוחדות והן עבור חשבונות משתמש כלליים. אתה גם יכול להגדיר אימות דו-שלבי לניהול זהויות משופר.
- זיהוי פעילות חריגה. Syteca מאפשרת לצוות האבטחה שלך לרשום את כל סשני המשתמשים ול< a href="https://www.syteca.com/en/product/user-activity-monitoring" target="_blank" rel="noreferrer noopener">ניטור פעילות משתמשים בזמן אמת או עם הקלטות. הפלטפורמה גם מגלה איומי פנים פוטנציאליים הודות למודול UEBA מובנה ולהתראות בזמן אמת הניתנות להתאמה רבה.
- הפסקת פעולות זדוניות. Syteca מספקת לקציני האבטחה שלך התראות בזמן אמת ומידע קונטקסטואלי, כך שהם יכולים לזהות ולהפסיק כל איום פנימי פוטנציאלי מיד. הם יכולים להזהיר משתמש, לחסום את הסשן, או להפסיק מיידית את התהליך שגורם להתראה. בנוסף, Syteca מאפשרת לך לחקור אירועי אבטחה הודות לפונקציונליות מתקדמת של ביקורת ודיווח. יתרה מכך, תוכל לייצא נתונים מוצפנים מהסשנים או החלקים שלהם לצורך חקירות פורנזיות נוספות.
סיכום
עובדים פנימיים יכולים להוות איום משמעותי על הארגון שלך. על מנת להקל על סיכוני פנים, עליך ליצור מדיניות אפקטיבית למניעה, זיהוי ותגובה לאירועים, ולתמוך בהן בתוכנה ייעודית לניהול איומי פנים. כ פלטפורמת ניהול סיכונים פנימיים מקיפה, Syteca מאפשרת לך למזער את סיכון איומי הפנים על ידי ניטור וביקורת פעילות משתמשים, ניהול גישה ותגובה לאירועי סייבר בצורה בזמן אמת ויעילה.
