تهدید داخلی یا خودی (Insider Threat) چیست؟

تهدید داخلی یا خودی (Insider Threat) چیست؟ انواع تهدیدات داخلی را بشناسید
آنچه در این مقاله میخوانید:

تهدید داخلی یا خودی (Insider Threat) چیست و چگونه آن را شناسایی کنیم؟ انواع تهدیدات داخلی و نحوه محافظت در برابر آن ها را بشناسید.

تهدید داخلی به یک خطر امنیتی سایبری اشاره دارد که از درون یک سازمان سرچشمه می گیرد. معمولاً زمانی اتفاق می‌افتد که یک کارمند، پیمانکار، فروشنده یا شریک فعلی یا سابق با اعتبار کاربری قانونی از دسترسی خود به ضرر شبکه‌ها، سیستم‌ها و داده‌های سازمان سوء استفاده می‌کند.

تهدید خودی ممکن است عمدی یا ناخواسته اجرا شود. صرف نظر از هدف، نتیجه نهایی به خطر افتادن محرمانه بودن، در دسترس بودن و/یا یکپارچگی سیستم ها و داده های سازمانی است.

تهدیدات داخلی عامل بیشتر نقض اطلاعات هستند. استراتژی‌ها، سیاست‌ها، رویه‌ها و سیستم‌های امنیت سایبری سنتی اغلب بر تهدیدات خارجی تمرکز می‌کنند و سازمان را در برابر حملات از درون آسیب‌پذیر می‌کنند. از آنجایی که این خودی قبلاً مجوز معتبری برای داده ها و سیستم ها دارد، برای متخصصان امنیتی و برنامه های کاربردی دشوار است که بین فعالیت عادی و مضر تمایز قائل شوند.

اینسایدرهای مخرب به دلیل آشنایی با سیستم‌ها، فرآیندها، رویه‌ها، سیاست‌ها و کاربران سازمانی مزیت مشخصی نسبت به سایر دسته‌های هکر ها دارند. آنها به شدت از نسخه های سیستم و آسیب پذیری های موجود در آن آگاه هستند. بنابراین، سازمان‌ها باید با تهدیدهای داخلی، حداقل به همان اندازه که تهدیدات خارجی را انجام می‌دهند، با جدیت مقابله کنند.

 

 

 

انواع تهدیدات داخلی

 

تهدیدات مخرب خودی (Malicious Insider Threats )

اهداف اصلی تهدیدات مخرب خودی نیز که به آن شنل چرخشی نیز گفته می‌شود، شامل جاسوسی، کلاهبرداری، سرقت مالکیت معنوی و خرابکاری است. آنها عمداً از دسترسی ممتاز خود برای سرقت اطلاعات یا تخریب سیستم ها به دلایل مالی، شخصی و/یا مخرب سوء استفاده می کنند. مثال‌ها شامل کارمندی است که داده‌های محرمانه را به یک رقیب می‌فروشد یا یک پیمانکار سابق ناراضی که بدافزار ضعیف‌کننده را در شبکه سازمان معرفی می‌کند. تهدیدهای مخرب خودی ممکن است همکاران یا گرگ های تنها باشند.

 

همکار (Collaborator)

همکاران، کاربران مجاز هستند که با شخص ثالثی برای آسیب رساندن عمدی به سازمان کار می کنند. شخص ثالث ممکن است یک رقیب، دولت ملت، شبکه جنایی سازمان یافته یا یک فرد باشد. اقدام همکار منجر به درز اطلاعات محرمانه یا اختلال در عملیات تجاری می شود.

 

گرگ تنها (Lone wolf)

گرگ های تنها کاملاً مستقل عمل می کنند و بدون دستکاری یا تأثیر خارجی عمل می کنند. آنها می توانند به خصوص خطرناک باشند زیرا اغلب دسترسی به سیستم ادمین کل مانند مدیران پایگاه داده دارند.

 

تهدیدات بی دقت خودی (Careless Insider Threats)

تهدیدات امنیتی داخلی بی دقت به صورت سهوی رخ می دهند. آنها اغلب نتیجه خطای انسانی، قضاوت ضعیف، کمک و مشارکت ناخواسته، راحتی، فیشینگ (و سایر تاکتیک های مهندسی اجتماعی)، بدافزارها و اعتبارنامه های سرقت شده هستند. فرد درگیر به طور ناآگاهانه سیستم های سازمانی را در معرض حمله خارجی قرار می دهد. تهدیدهای خودی بی دقت ممکن است پان یا گوف باشند.

 

پان یا پیاده (Pawn)

پیاده‌ها کاربران مجاز هستند که اغلب از طریق تکنیک‌های مهندسی اجتماعی مانند فیشینگ نیزه‌ای، دستکاری شده‌اند تا به‌طور غیرعمدی دستکاری کنند. این اقدامات غیرعمد می تواند شامل دانلود بدافزار در رایانه آنها یا افشای اطلاعات محرمانه برای یک شیاد باشد.

 

گوف یا نادان (Goof)

Goof ها عمداً اقدامات مضر بالقوه انجام می دهند، اما هیچ قصد مخربی ندارند. آنها کاربران متکبر، نادان و/یا نالایق هستند که نیاز به پیروی از سیاست ها و رویه های امنیتی را تشخیص نمی دهند. یک گوف ممکن است کاربری باشد که اطلاعات محرمانه مشتری را در دستگاه شخصی خود ذخیره می کند، حتی اگر می داند که خلاف خط مشی سازمانی است.

 

مول یا تک خال (A Mole)

مول یک فرد خارجی است اما فردی است که به سیستم های سازمان دسترسی داخلی پیدا کرده است. آنها ممکن است به عنوان یک فروشنده، شریک، پیمانکار یا کارمند ظاهر شوند و از این طریق مجوز ممتازی را دریافت کنند که در غیر این صورت واجد شرایط آن نبودند.

 

 

چگونه یک تهدید داخلی را شناسایی کنیم؟

بیشتر ابزارهای اطلاعاتی تهدید بر تجزیه و تحلیل داده های شبکه، رایانه و برنامه ها تمرکز می کنند و در عین حال توجه کمی به اقدامات افراد مجاز که می توانند از دسترسی ممتاز خود سوء استفاده کنند، می کنند. برای دفاع سایبری ایمن در برابر تهدیدهای داخلی، باید مراقب فعالیت های غیرعادی رفتاری و دیجیتالی باشید.

 

شاخص های رفتاری تهدید داخلی

چند شاخص مختلف از یک تهدید داخلی وجود دارد که باید به آنها توجه کرد، از جمله:

  • یک کارمند، پیمانکار، فروشنده یا شریک ناراضی.
  • تلاش برای دور زدن امنیت.
  • به طور منظم بدون ساعت کار می کند.
  • انزجار را نسبت به همکاران نشان می دهد.
  • نقض معمول سیاست های سازمانی.
  • در فکر استعفا یا بحث در مورد فرصت های جدید.

 

شاخص های دیجیتال تهدید داخلی

  • ورود به برنامه‌ها و شبکه‌های سازمانی در زمان‌های غیرمعمول. به عنوان مثال، کارمندی که بدون درخواست، در ساعت 3 صبح وارد شبکه می شود، ممکن است باعث نگرانی شود.
  • افزایش حجم ترافیک شبکه اگر شخصی سعی در کپی کردن مقادیر زیادی داده در سراسر شبکه داشته باشد، شاهد جهش های غیرعادی در ترافیک شبکه خواهید بود.
  • دسترسی به منابعی که معمولاً آنها را ندارند یا اجازه ندارند.
  • دسترسی به داده هایی که با عملکرد شغلی آنها مرتبط نیست.
  • درخواست های مکرر برای دسترسی به منابع سیستم که به عملکرد شغلی آنها مربوط نمی شود.
  • استفاده از دستگاه های غیرمجاز مانند درایوهای USB.
  • خزیدن شبکه و جستجوی عمدی برای اطلاعات حساس.
  • ارسال ایمیل اطلاعات حساس خارج از سازمان.

 

 

نمونه هایی از تهدیدات داخلی

هر ساله حملات سایبری متعددی رخ می‌دهد، اما اکثریت قاطع آن‌ها به اخبار نمی‌رسند. با این حال، تهدیدات داخلی در امنیت سایبری وجود داشته است که در سال های اخیر برجسته شده است.

در سال 2018، فیس بوک یک مهندس امنیتی را که متهم به سوء استفاده از اطلاعات ممتازی که موقعیتش به او داده بود برای تعقیب زنان آنلاین اخراج کرد.

در سال 2018، یکی از کارمندان تسلا ادعا شد که سیستم های شرکت را خراب کرده و اطلاعات اختصاصی را برای اشخاص ثالث ارسال کرده است.

در نقض اطلاعات Capital One در سال 2019، یک مهندس سابق آمازون بیش از 100 میلیون سوابق مشتری را بازیابی کرد. آنها از دانش درونی خود Amazon EC2 برای دور زدن فایروال اشتباه پیکربندی شده در سرور ابری Capital One استفاده کردند.

در سال 2020، یکی از مدیران سابق گوگل به دلیل سرقت اسرار تجاری از بخش خودروهای خودران گوگل به 18 ماه زندان محکوم شد و آنها را به اوبر، کارفرمای جدید خود تحویل داد.

 

 

نحوه محافظت در برابر تهدید داخلی

 

از دارایی های حیاتی محافظت کنید

دارایی های منطقی و فیزیکی حیاتی سازمان خود را شناسایی کنید. اینها شامل شبکه‌ها، سیستم‌ها، داده‌های محرمانه (شامل اطلاعات مشتری، جزئیات کارکنان، طرح‌ها و برنامه‌های استراتژیک دقیق)، امکانات و افراد است. هر دارایی مهم را درک کنید، دارایی ها را به ترتیب اولویت رتبه بندی کنید و وضعیت فعلی حفاظت از هر دارایی را تعیین کنید. به طور طبیعی، دارایی‌های دارای اولویت باید بالاترین سطح حفاظت را در برابر تهدیدات داخلی داشته باشند.

 

یک خط پایه از رفتار عادی کاربر و دستگاه ایجاد کنید

سیستم های نرم افزاری مختلفی وجود دارند که می توانند تهدیدات داخلی را ردیابی کنند. این سیستم ها ابتدا اطلاعات فعالیت کاربر را متمرکز می کنند و از لاگ های دسترسی، احراز هویت، تغییر حساب، نقطه پایانی و شبکه خصوصی مجازی (VPN) استفاده می کنند.

از این داده‌ها برای مدل‌سازی و تخصیص امتیازهای ریسک به رفتار کاربر مرتبط با رویدادهای خاص مانند بارگیری داده‌های حساس در رسانه‌های قابل جابجایی یا ورود کاربر از یک مکان غیرعادی استفاده کنید. یک خط پایه از رفتار عادی برای هر کاربر و دستگاه و همچنین برای عملکرد شغل و عنوان شغل ایجاد کنید. با این خط پایه، انحرافات را می توان علامت گذاری و بررسی کرد.

 

افزایش دید

در یک نظرسنجی SANS در سال 2019 در مورد تهدیدات پیشرفته، بیش از یک سوم پاسخ دهندگان اعتراف کردند که در مورد سوء استفاده از خودی قابل مشاهده نیستند. بنابراین، استفاده از ابزارهایی که به طور مداوم بر فعالیت کاربر نظارت می‌کنند و همچنین اطلاعات فعالیت را از منابع متعدد جمع‌آوری و مرتبط می‌کنند، مهم است.

برای مثال، می‌توانید از راه‌حل‌های فریب سایبری استفاده کنید که تله‌هایی برای جذب افراد مخرب ایجاد می‌کند، اقدامات آنها را ردیابی کرده و مقاصد آنها را درک می‌کند. سپس این اطلاعات به سایر راه حل های امنیتی سازمانی برای شناسایی یا جلوگیری از حملات فعلی یا آتی وارد می شود.

 

سیاست ها را اجرا کنید

خط مشی های امنیتی سازمان را تعریف، مستند و منتشر کنید. این امر از ابهام جلوگیری می کند و پایه درستی را برای اجرا ایجاد می کند. هیچ کارمند، پیمانکار، فروشنده یا شریکی نباید در مورد رفتار قابل قبولی که به موضع امنیتی سازمانشان مربوط می شود، شک داشته باشد. آنها باید مسئولیت خود را در عدم افشای اطلاعات ممتاز به اشخاص غیرمجاز بشناسند.

 

ترویج تغییرات فرهنگی

در حالی که شناسایی تهدیدهای خودی مهم است، منصرف کردن کاربران از رفتارهای خودسرانه، محتاطانه تر و کم هزینه تر است. ترویج تغییر فرهنگ آگاه از امنیت و تحول دیجیتال در این زمینه کلیدی است. القای باورها و نگرش های صحیح می تواند به مبارزه با غفلت و رفع ریشه های رفتار بدخواهانه کمک کند. همچنین کارمندان و سایر ذینفعان باید به طور منظم آموزش امنیت سایت ببینند تا اشراف کامل اطلاعاتی به انواع تهدیدات سایبری داشته باشند.

 

راه حل های تشخیص تهدید داخلی

شناسایی و پیشگیری از تهدیدات داخلی دشوارتر از حملات خارجی است. آنها اغلب زیر رادار راه حل های متعارف امنیت سایبری مانند فایروال ها، سیستم های تشخیص نفوذ و نرم افزارهای ضد بدافزار قرار دارند. اگر یک مهاجم از طریق شناسه کاربری مجاز، رمز عبور، آدرس IP و دستگاه وارد شود، بعید است که هیچ هشدار امنیتی را ایجاد کند.

برای محافظت مؤثر از دارایی‌های دیجیتال خود، به یک نرم‌افزار و استراتژی تشخیص تهدید داخلی نیاز دارید که چندین ابزار را برای نظارت بر رفتار خودی و در عین حال به حداقل رساندن تعداد موارد مثبت کاذب ترکیب کند.

علاوه بر این برای شرکت هایی که تیم امنیت سایبری ندارند، برون سپاری خدمات بهبود امنیت وب سایت گزینه مناسب و مقرون به صرفه تری است.

لطفا امتیاز دهید

این مقاله را به اشتراک بگذارید

با عضویت در خبرنامه ایمیلی از آخرین مقالات و کدهای تخفیف باخبر شو!

میخوای کسب و کار آنلاین
و پر فروش داشته باشی؟

با ما در ارتباط باش، میتونیم کمکت کنیم!

رشد و توسعه کسب و کار آنلاین با پانا مارکتینگ

پانا مارکتینگ در تمامی شهرهای کشور فعالیت دارد اما دفتر اصلی فعلی ما در مشهد می باشد. مطالعه بیشتر