Trace Id is missing
Salt la conținutul principal
Microsoft Security

Ce este o amenințare din interior?

Explorați cum să vă protejați organizația împotriva activităților interne, inclusiv a utilizatorilor cu acces autorizat care pot provoca în mod intenționat sau neintenționat un incident de securitate a datelor.

Amenințare din interior definită

Înainte ca utilizatorii interni să devină o amenințare, aceștia reprezintă un risc, care este definit ca posibilitatea ca o persoană să utilizeze accesul autorizat la activele organizației, fie cu rea intenție, fie neintenționat, într-un mod care afectează negativ organizația. Accesul include atât acces fizic, cât și virtual, iar activele includ informații, procese, sisteme și facilități.

Ce este un utilizator intern?

Un utilizator intern este o persoană de încredere căreia i s-a acordat acces la resursele, datele sau sistemele firmei care nu sunt disponibile în general publicului sau care are cunoștință despre acestea, printre care:

  • Persoanele care au un ecuson sau alt dispozitiv care le permite să acceseze continuu proprietatea fizică a firmei, cum ar fi un centru de date sau sediul corporativ.
  • Persoanele care au un computer de firmă cu acces la rețea.
  • Persoanele care au acces la rețeaua corporativă, la resursele cloud, la aplicațiile sau la datele unei firme.
  • Persoanele care au cunoștințe despre strategia unei firme și cunoștințe despre datele financiare ale acesteia.
  • Persoanele care construiesc produsele sau serviciile firmei.

Tipuri de amenințări din interior

Riscurile interne sunt mai complicat de detectat decât amenințările externe, deoarece utilizatorii din interior au deja acces la activele unei organizații și sunt familiarizați cu măsurile de securitate ale acesteia. Cunoașterea tipurilor de riscuri interne ajută organizațiile să protejeze mai bine activele valoroase.

  • Accident

    Uneori, oamenii fac greșeli care pot duce la potențiale incidente de securitate. De exemplu, un partener de afaceri trimite un document cu date ale clienților unui coleg, fără a-și da seama că acesta nu este autorizat să vadă aceste informații. Sau un angajat răspunde la o campanie de phishing și instalează din greșeală malware.

  • Rău intenționat

    Într-un incident de securitate rău intenționat cauzat de un utilizator intern, un angajat sau o persoană de încredere face în mod intenționat ceva ce știe că va afecta negativ firma. Astfel de persoane pot fi motivate de nemulțumiri personale sau alte motive personale și pot căuta prin acțiunile lor câștiguri financiare sau personale.

  • Neglijență

    Neglijența este similară cu un accident, prin aceea că persoana nu intenționa să provoace un incident de securitate a datelor. Diferența este că aceasta poate încălca cu bună știință o politică de securitate. Un exemplu comun este atunci când un angajat permite unei persoane să intre într-o clădire fără a prezenta un ecuson. Un echivalent digital ar fi ignorarea unei politici de securitate fără o evaluare atentă, pentru viteză și comoditate sau conectarea la resursele firmei printr-o conexiune wireless nesecurizată.

  • Coluziune

    Unele incidente de securitate provocate de utilizatorii interni sunt rezultatul colaborării dintre o persoană de încredere și o organizație de infractori cibernetici pentru a comite spionaj sau furt. Acesta este un alt tip de risc intern legat de reaua intenție.

Cum apar incidentele interne provocate cu rea intenție?

Incidentele provocate cu rea intenție de către utilizatorii interni pot apărea în mai multe moduri decât un atac cibernetic tipic. Iată câteva modalități comune prin care utilizatorii interni pot provoca incidente de securitate:

  • Violență

    Utilizatorii interni pot utiliza violența sau amenințarea cu violența pentru a intimida alți angajați sau pentru a-și exprima nemulțumirea față de o organizație. Violența poate fi sub formă de abuz verbal, hărțuire sexuală, intimidare, ultraj sau alte acțiuni amenințătoare.

  • Spionaj

    Spionajul se referă la practica de a fura secrete comerciale, informații confidențiale sau proprietate intelectuală aparținând unei organizații în scopul de a oferi un avantaj unui concurent sau unei alte părți. De exemplu, o organizație poate fi infiltrată de un utilizator intern rău intenționat care colectează informații financiare sau planuri ale unui produs pentru a obține un avantaj competitiv pe piață.

  • Sabotaj

    Un utilizator intern poate fi nemulțumit de o organizație și poate fi motivat să producă daune proprietății fizice, datelor sau sistemelor digitale ale organizației. Sabotajul poate avea loc într-o varietate de moduri, cum ar fi vandalizarea echipamentului sau compromiterea informațiilor confidențiale.

  • Fraudă

    Utilizatorii interni pot comite activități frauduloase pentru câștigul personal. De exemplu, un utilizator intern rău intenționat poate utiliza cardul de credit al unei firme pentru uz personal sau poate depune deconturi de cheltuieli false sau exagerate.

  • Furt

    Utilizatorii interni pot fura activele, datele confidențiale sau proprietatea intelectuală ale unei organizații pentru câștigul personal. De exemplu, un angajat care pleacă și este motivat de câștiguri personale poate fura informații confidențiale pentru angajatorul său viitor sau un contractor angajat de o organizație pentru a efectua anumite activități poate fura date confidențiale pentru propriul beneficiu.

Șapte indicatori de risc intern

Atât oamenii, cât și tehnologia joacă un rol în detectarea riscurilor interne. Cheia este să stabiliți o referință pentru ceea ce este normal, astfel încât activitățile neobișnuite să fie mai ușor de identificat.

  • Modificări ale activității utilizatorilor

    Colegii, managerii și partenerii pot fi în cea mai bună poziție pentru a ști dacă cineva a devenit un risc pentru organizație. De exemplu, un utilizator intern cu risc care este motivat să provoace un incident de securitate a datelor poate avea brusc modificări de atitudine observabile ca semn neobișnuit.

  • Furt de date anormale

    Angajații accesează și partajează adesea date confidențiale la locul de muncă. Totuși, atunci când un utilizator partajează sau descarcă brusc un volum neobișnuit de date confidențiale comparativ cu activitățile lor anterioare sau cu colegii dintr-un rol similar, acest lucru ar putea indica un potențial incident de securitate a datelor.

  • O secvență de activități riscante asociate

    O acțiune a unui singur utilizator, cum ar fi descărcarea datelor confidențiale, poate să nu fie un risc potențial luată separat, dar o serie de acțiuni ar putea indica riscuri potențiale de securitate a datelor. De exemplu, să presupunem că un utilizator a redenumit fișierele confidențiale pentru a părea mai puțin confidențiale, le-a descărcat din spațiul de stocare în cloud, le-a salvat pe un dispozitiv portabil și le-a șters din spațiul de stocare în cloud. În acest caz, aceasta ar putea sugera că utilizatorul încerca să fure date confidențiale în timp ce evita detectarea.

  • Furt de date al angajaților care pleacă

    Furtul de date crește adesea în paralel cu demisiile și poate fi intenționat sau neintenționat. Un incident neintenționat poate arăta ca situația în care un angajat care pleacă copie din greșeală date confidențiale pentru a păstra o înregistrare a realizărilor sale în funcție, în timp ce un incident rău intenționat ar putea arăta ca descărcarea intenționată a datelor confidențiale pentru câștig personal sau pentru a-l ajuta în poziția următoare. Atunci când evenimentele de demisie coincid cu alte activități neobișnuite, acestea pot indica un incident de securitate a datelor.

  • Acces anormal la sistem

    Se pot declanșa potențiale riscuri interne cu utilizatori care accesează resurse de care nu au nevoie de obicei pentru activitatea lor. De exemplu, utilizatori care accesează în mod normal doar sisteme legate de marketing încep brusc să acceseze sistemele financiare de mai multe ori pe zi.

  • Intimidare și hărțuire

    Unul dintre semnele timpurii ale riscurilor interne ar putea fi un utilizator care exprimă o comunicare amenințătoare, hărțuitoare sau discriminatorie. Aceasta nu doar că dăunează culturii unei firme, ci poate duce și la alte incidente potențiale.

  • Escaladarea privilegiilor

    Organizațiile protejează și guvernează de obicei resursele valoroase atribuind acces și roluri privilegiate unui personal limitat. Dacă un angajat încearcă să își escaladeze privilegiile fără o justificare prin rațiuni de business clară, acesta ar putea fi un semn de risc intern potențial.

Exemple de amenințări din interior

Incidentele de amenințări din interior, cum ar fi furtul de date, spionajul sau sabotajul au avut loc, de-a lungul anilor, în organizații de toate dimensiunile. Iată câteva exemple:

  • Furtul secretelor comerciale și vânzarea lor către o altă firmă.
  • Accesul ilegal în infrastructura cloud a unei firme și ștergerea a mii de conturi de clienți.
  • Utilizarea secretelor comerciale pentru a porni o nouă firmă.

Importanța gestionării riscurilor interne în mod holistic

Un program holistic de gestionare a riscurilor interne care acordă prioritate relațiilor dintre angajați și angajator și integrează controale de confidențialitate poate reduce numărul de incidente potențiale de securitate cu utilizatori din interior și poate duce la o detectare mai rapidă. Un studiu recent efectuat de Microsoft a descoperit că firmele cu un program holistic de gestionare a riscurilor interne aveau cu 33% mai multe șanse să detecteze rapid riscul intern și cu 16% mai multe șanse să facă remedieri rapide decât firmele cu o abordare mai fragmentată.1

Cum să vă protejați împotriva amenințărilor din interior

Organizațiile pot trata riscurile interne într-un mod holistic, axându-se pe procese, persoane, instrumente și educație. Utilizați următoarele exemple de bună practică pentru a dezvolta un program de gestionare a riscurilor interne care construiește încredere între angajați și vă ajută să vă consolidați securitatea:

  • Acordați prioritate încrederii și confidențialității angajaților

    Construirea încrederii între angajați începe cu prioritizarea confidențialității lor. Pentru a încuraja un sentiment de confort privind programul de gestionare a riscurilor interne, luați în considerare implementarea unui proces de aprobare pe mai multe niveluri pentru inițierea investigațiilor interne. În plus, este important să auditați activitățile celor care efectuează investigații pentru a vă asigura că nu depășesc limitele. Implementarea controalelor de acces pe bază pe roluri pentru a limita persoanele din echipa de securitate care pot accesa datele de investigație poate contribui, de asemenea, la menținerea confidențialității. Anonimizarea numelor de utilizator în timpul investigațiilor poate proteja și mai mult confidențialitatea angajaților. În sfârșit, luați în considerare ștergerea pentru semnalizările utilizatorilor după o perioadă de timp stabilită, dacă o investigație nu continuă.

  • Utilizați factori de descurajare pozitivi

    Deși multe programe de risc intern se bazează pe factori de descurajare negativi, cum ar fi politicile și instrumentele care restricționează activitățile riscante ale angajaților, este esențial să echilibrați aceste măsuri cu o abordare preventivă. Factorii de descurajare pozitivi, cum ar fi evenimentele pentru moralul angajaților, înscrierea riguroasă, instruirea și educația continuă privitoare la securitatea datelor, feedbackul ascendent și programele de echilibru între viața profesională și cea privată pot contribui la diminuarea probabilității unor evenimente interne. Prin implicarea angajaților într-un mod productiv și proactiv, factorii de descurajare pozitivi tratează sursa riscului și promovează o cultură a securității în cadrul organizației.

  • Obțineți un acord la nivel de firmă

    Echipele de IT și securitate pot avea responsabilitatea principală pentru gestionarea riscurilor interne, dar este esențial să implicați întreaga firmă în acest efort. Departamente precum cel de resurse umane, de conformitate și juridic joacă un rol esențial în definirea politicilor, comunicarea cu participanții direct interesați și luarea deciziilor în timpul unei investigații. Pentru a dezvolta un program mai cuprinzător și mai eficient de gestionare a riscurilor interne, organizațiile ar trebui să caute acordul și implicarea din toate domeniile firmei.

  • Utilizați soluții de securitate integrate și complete

    Protejarea eficientă a organizației împotriva riscurilor interne necesită mai mult decât implementarea celor mai bune instrumente de securitate; necesită soluții integrate care oferă vizibilitate și protecție la nivel de întreprindere. Atunci când sunt integrate securitatea datelor, gestionarea identităților și accesului, detectarea și răspunsul extinse (XDR) și soluțiile de managementul evenimentelor și informațiilor de securitate (SIEM), echipele de securitate pot detecta și preveni eficient incidentele interne.

  • Implementați instruirea eficientă

    Angajații joacă un rol esențial în prevenirea incidentelor de securitate, aceștia fiind prima linie de apărare. Securizarea activelor firmei necesită obținerea acordului din partea angajaților, ceea ce, la rândul său, îmbunătățește securitatea generală a organizației. Una dintre cele mai eficiente metode de a crea acest acord este prin intermediul educației angajaților. Prin educarea angajaților, puteți reduce numărul de evenimente interne neintenționate. Este important să explicați modul în care evenimentele interne pot afecta atât firma, cât și pe angajații acesteia. În plus, este esențial să comunicați politicile de protecție a datelor cu caracter personal și să învățați angajații cum să evite scurgerile potențiale de date.

  • Utilizați învățarea programată și inteligența artificială

    Riscurile de securitate de la locul de muncă modern de astăzi sunt dinamice, cu diverși factori aflați în continuă schimbare, care le pot face dificil de detectat și de răspuns la ele. Totuși, utilizând învățarea programată și inteligența artificială, organizațiile pot detecta și atenua riscurile interne la viteză automată, permițând securitatea adaptivă și centrată pe persoane. Această tehnologie avansată ajută organizațiile să înțeleagă modul în care utilizatorii interacționează cu datele, să calculeze și să atribuie niveluri de risc și să adapteze automat controalele de securitate corespunzătoare. Cu aceste instrumente, organizațiile pot simplifica procesul de identificare a riscurilor potențiale și pot prioritiza resursele limitate pentru a trata activitățile interne cu risc ridicat. Acest lucru economisește timp valoros pentru echipele de securitate, asigurând în același timp o securitate mai bună a datelor.

Soluții de gestionare a riscurilor interne

Apărarea împotriva amenințărilor din interior poate fi dificilă, deoarece este normal să aveți încredere în cei care lucrează pentru și cu organizația. Identificarea rapidă a celor mai importante riscuri interne și prioritizarea resurselor pentru a le investiga și a le atenua sunt esențiale pentru a reduce impactul incidentelor și încălcărilor potențiale. Din fericire, multe instrumentele de securitate cibernetică care previn amenințările externe pot identifica și amenințările din interior.

Microsoft Purview oferă capacități de protecție a informațiilor, gestionare a riscurilor interne și prevenire a pierderii de date (DLP) pentru a vă ajuta să obțineți vizibilitate asupra datelor, să detectați cele mai importante riscuri interne care pot duce la potențiale incidente de securitate a datelor, și să preveniți în mod eficient pierderea datelor.

ID Microsoft Entra vă ajută să gestionați cine poate accesa ce și vă poate avertiza dacă activitatea de conectare și de acces a unei persoane este riscantă.

Microsoft Defender 365 este o soluție XDR care vă ajută să vă securizați mediile cloud, aplicațiile, punctele finale și e-mailul față de activitățile neautorizate. Organizațiile guvernamentale precum Agenția pentru securitatea cibernetică și securitatea infrastructurii oferă, de asemenea, îndrumări pentru dezvoltarea unui program de gestionare a amenințărilor din interior.

Prin adoptarea acestor instrumente și utilizarea îndrumărilor de la experți, organizațiile pot gestiona mai bine riscurile interne și își pot proteja activele importante.

Aflați mai multe despre Microsoft Security

Microsoft Purview

Obțineți soluții de guvernanță, protecție și conformitate pentru datele organizației dvs.

Gestionarea riscurilor interne Microsoft Purview

Detectați și atenuați riscurile interne cu modele bazate pe învățare programată gata de utilizare.

Protecție adaptivă în Microsoft Purview

Securizați datele cu o abordare inteligentă și centrată pe persoane.

Construirea unui program holistic de gestionare a riscurilor interne

Aflați despre cele cinci elemente care ajută firmele să aibă o securitate mai puternică a datelor, protejând în același timp încrederea utilizatorilor.

Prevenirea pierderii datelor Microsoft Purview

Preveniți partajarea, transferul sau utilizarea neautorizată a datelor în aplicații, pe dispozitive și în medii locale.

Conformitate în comunicări Microsoft Purview

Îndepliniți obligațiile de conformitate cu reglementările și remediați potențialele încălcări ale conduitei în afaceri.

Protecția Microsoft împotriva amenințărilor

Protejați dispozitivele, aplicațiile, e-mailurile, identitățile, datele și sarcinile de lucru în cloud cu protecția unificată împotriva amenințărilor.

ID Microsoft Entra

Protejați accesul la resurse și date utilizând o autentificare puternică și politicile de acces adaptive bazate pe risc.

Întrebări frecvente

  • Există patru tipuri de amenințări din interior. O amenințare din interior accidentală este riscul ca o persoană care lucrează pentru sau cu o firmă să facă o greșeală care ar putea compromite organizația, datele sau persoanele sale. Un risc intern din neglijență este atunci când cineva încalcă cu bună știință o politică de securitate, dar nu intenționează să provoace daune. O amenințare cu rea intenție este atunci când cineva fură date, sabotează organizația sau se comportă violent în mod intenționat. O altă formă de amenințare cu rea intenție este coluziunea, care apare atunci când un utilizator intern colaborează cu o persoană din afara organizației pentru a provoca daune.

  • Gestionarea riscurilor interne este importantă, deoarece aceste tipuri de incidente pot dăuna foarte mult unei organizații și persoanelor sale. Prin implementarea politicilor și soluțiilor potrivite, organizațiile pot fi cu un pas înaintea amenințărilor din interior potențiale și pot proteja activele valoroase ale organizației.

  • Există mai multe semne posibile ale unui risc intern, precum modificări bruște ale activităților utilizatorilor, o secvență conectată de activități riscante, încercarea de a accesa resurse care nu sunt necesare pentru locul lor de muncă, încercarea de risc interna escalada privilegiile, furtul de date anormale, furtul datelor de către angajații care pleacă și intimidarea sau hărțuirea.

  • Prevenirea evenimentelor din interior poate fi complicată, deoarece activitățile riscante care pot duce la incidente de securitate sunt efectuate de persoane de încredere care au relații în organizație și acces autorizat. Un program holistic de gestionare a riscurilor interne care acordă prioritate relațiilor dintre angajați și angajator și integrează controale de confidențialitate poate reduce numărul de incidente de securitate din interior și poate duce la o detectare mai rapidă. Pe lângă controalele de confidențialitate și concentrarea pe moralul lucrătorilor, instruirea periodică, acordul la nivel de firmă și instrumentele de securitate integrate vă pot ajuta să reduceți riscul.

  • O amenințare din interior rău intenționată este posibilitatea ca o persoană de încredere să dăuneze în mod intenționat organizației și persoanelor care lucrează acolo. Acest lucru este diferit de riscurile interne neintenționate care apar atunci când cineva compromite accidental firma sau încalcă o regulă de securitate, dar nu intenționează să afecteze firma.

[1] „Cum poate fi de ajutor unei organizații metoda holistică? Beneficiile unui program holistic de gestionare a riscurilor interne", în crearea unui program holistic de gestionare a riscurilor interne: 5 elemente care ajută firmele să aibă o protecție și o securitate mai puternice a datelor, protejând în același timp încrederea utilizatorilor, Microsoft Security 2022, p. 41.

Urmăriți Microsoft Security