Mối đe dọa từ nội bộ là gì?
Khám phá cách bảo vệ tổ chức của bạn khỏi hoạt động từ người dùng nội bộ, bao gồm cả những người dùng có quyền truy nhập có thể cố ý hoặc vô tình gây ra sự cố bảo mật dữ liệu.
Mối đe dọa từ nội bộ đã xác định
Trước khi người dùng nội bộ trở thành mối đe dọa, họ là rủi ro, rủi ro này được xác định là khả năng một người sử dụng quyền truy nhập để vào tài sản của tổ chức, có ác ý hoặc vô tình, theo cách tác động tiêu cực đến tổ chức. Quyền truy nhập bao gồm cả quyền truy nhập vật lý và ảo, và các tài sản bao gồm thông tin, quy trình, hệ thống và cơ sở.
Người dùng nội bộ là gì?
Người dùng nội bộ là một cá nhân đáng tin cậy đã được cấp quyền truy nhập hoặc có kiến thức về bất kỳ tài nguyên, dữ liệu hoặc hệ thống nào của công ty, nói chung là công chúng không truy nhập được, bao gồm:
- Những người có thẻ tên hoặc vật khác cho phép họ liên tục vào được văn phòng của công ty, chẳng hạn như trung tâm dữ liệu hoặc trụ sở công ty.
- Những người có máy tính công ty có quyền truy nhập mạng.
- Những người có quyền truy nhập vào mạng công ty, tài nguyên đám mây, ứng dụng hoặc dữ liệu.
- Những người có kiến thức về chiến lược của công ty và kiến thức về tài chính của họ.
- Những người xây dựng sản phẩm hoặc dịch vụ của công ty.
Loại mối đe dọa từ nội bộ
Rủi ro từ nội bộ khó phát hiện hơn các mối đe dọa từ bên ngoài vì người dùng nội bộ đã có quyền truy nhập vào tài sản và quen thuộc với các biện pháp bảo mật của tổ chức. Việc biết được các loại rủi ro từ nội bộ sẽ giúp các tổ chức bảo vệ tốt hơn các tài sản giá trị.
-
Tai nạn
Đôi khi, việc mọi người mắc lỗi có thể dẫn đến các sự cố bảo mật tiềm ẩn. Ví dụ, một đối tác kinh doanh gửi một tài liệu có chứa dữ liệu khách hàng cho một đồng nghiệp mà không nhận ra rằng đồng nghiệp không được phép xem thông tin đó. Hoặc một nhân viên phản hồi chiến dịch lừa đảo qua mạng và vô tình cài đặt phần mềm gây hại.
-
Gây hại
Trong một sự cố bảo mật gây hại do người dùng nội bộ gây ra, một nhân viên hoặc một người đáng tin cậy cố tình làm điều gì đó mà họ biết sẽ ảnh hưởng tiêu cực đến công ty. Động cơ của những cá nhân này có thể là từ bất bình cá nhân hoặc các lý do cá nhân khác và họ có thể tìm kiếm lợi ích tài chính hoặc cá nhân thông qua hành động của mình.
-
Sơ suất
Sơ suất tương tự như một tai nạn, người đó không có định gây ra sự cố bảo mật dữ liệu. Điểm khác biệt là họ có thể cố ý phá vỡ chính sách bảo mật. Ví dụ thường gặp là khi nhân viên cho phép ai đó vào một tòa nhà mà không trình thẻ tên. Trường hợp tương tự về mặt kỹ thuật số là bỏ qua chính sách bảo mật mà không cần xem xét cẩn thận vì mục đích tăng tốc và thuận tiện hoặc đăng nhập vào tài nguyên công ty qua kết nối không dây không an toàn.
-
Thông đồng
Một số sự cố bảo mật từ người dùng nội bộ là do một người đáng tin cậy cộng tác với một tổ chức tội phạm trên mạng thực hiện hoạt động tình báo hoặc đánh cắp. Đây là một loại rủi ro gây hại khác từ nội bộ.
Sự cố gây hại từ nội bộ xảy ra như thế nào?
Các sự cố gây hại do người dùng nội bộ gây ra có thể xảy ra theo nhiều cách khác nhau, hơn cả một cuộc tấn công qua mạngđiển hình. Dưới đây là một số cách thường gặp trong đó người dùng nội bộ có thể gây ra sự cố bảo mật:
-
Bạo lực
Người dùng nội bộ có thể sử dụng bạo lực hoặc đe dọa dùng bạo lực để dọa dẫm các nhân viên khác hoặc thể hiện sự bất bình trong tổ chức. Bạo lực có thể ở dạng lời nói lăng mạ, quấy rối tình dục, bắt nạt, hành hung hoặc các hành động đe dọa khác.
-
Hoạt động tình báo
Hoạt động tình báo đề cập đến hành vi ăn cắp bí mật thương mại, thông tin bí mật hoặc tài sản trí tuệ thuộc về một tổ chức nhằm mục đích cung cấp lợi thế cho đối thủ cạnh tranh hoặc bên khác. Ví dụ, một tổ chức có thể bị xâm nhập bởi một người dùng nội bộ gây hại, người này thu thập thông tin tài chính hoặc bản thiết kế sản phẩm để có được lợi thế cạnh tranh trên thị trường.
-
Phá hoại
Người dùng nội bộ có thể không hài lòng với tổ chức và có động cơ làm tổn hại đến tài sản vật lý, dữ liệu hoặc hệ thống kỹ thuật số của tổ chức. Phá hoại có thể xảy ra theo nhiều cách khác nhau như phá hoại thiết bị hoặc xâm phạm thông tin bí mật.
-
Gian lận
Người dùng nội bộ có thể thực hiện các hoạt động gian lận để kiếm lợi cá nhân. Ví dụ, người dùng nội bộ gây hại có thể sử dụng thẻ tín dụng của công ty cho mục đích cá nhân hoặc gửi yêu cầu bồi thường cho chi phí sai hoặc chi phí thổi phồng.
-
Trộm cắp
Người dùng nội bộ có thể lấy cắp tài sản, dữ liệu nhạy cảm hoặc tài sản trí tuệ của tổ chức để kiếm lợi cá nhân. Ví dụ, một nhân viên nghỉ việc có động cơ vì lợi ích cá nhân mà có thể lấy cắp thông tin bí mật cho công ty tương lai của họ hoặc một nhà thầu được một tổ chức thuê để thực hiện các nhiệm vụ cụ thể có thể đánh cắp dữ liệu nhạy cảm vì lợi ích riêng của họ.
-
Bảy chỉ báo rủi ro từ nội bộ
Cả con người và công nghệ đều đóng vai trò phát hiện rủi ro từ nội bộ. Điều quan trọng là thiết lập cơ sở để biết đâu là hoạt động bình thường nhằm dễ dàng hơn khi xác định các hoạt động bất thường.
-
Thay đổi hoạt động của người dùng
Đồng nghiệp, người quản lý và đối tác có thể là người ở vị trí tốt nhất để biết liệu ai đó có thể trở thành rủi ro đối với tổ chức hay không. Ví dụ, một người dùng nội bộ rủi ro có động cơ gây ra sự cố bảo mật dữ liệu có thể đột ngột thay đổi thái độ quan sát thấy như một dấu hiệu bất thường.
-
Trích rút dữ liệu bất thường
Nhân viên thường truy nhập và chia sẻ dữ liệu bí mật tại nơi làm việc. Tuy nhiên, khi người dùng đột ngột chia sẻ hoặc tải xuống một lượng dữ liệu nhạy cảm bất thường so với các hoạt động trước đây hoặc so với đồng nghiệp của họ ở vai trò tương tự, điều này có thể báo hiệu một sự cố bảo mật dữ liệu tiềm ẩn.
-
Trình tự các hoạt động rủi ro liên quan
Bản thân một hành động của người dùng, chẳng hạn như tải xuống dữ liệu bí mật, có thể không phải là rủi ro tiềm ẩn nhưng một loạt hành động có thể là dấu hiệu của những rủi ro bảo mật dữ liệu tiềm ẩn. Ví dụ, giả sử người dùng đã đổi tên tệp bí mật để trông ít nhạy cảm hơn, tải xuống chúng từ bộ lưu trữ trên đám mây, lưu chúng trên thiết bị di động và xóa chúng khỏi bộ lưu trữ trên đám mây. Trong trường hợp này, điều này có thể cho thấy rằng người dùng có thể cố trích rút dữ liệu nhạy cảm trong khi tránh phát hiện.
-
Nhân viên nghỉ việc trích rút dữ liệu
Trường hợp trích rút dữ liệu thường tăng cùng với việc từ chức và có thể là cố ý hoặc vô tình. Một sự cố vô tình có thể giống như khi một nhân viên nghỉ việc đã vô tình sao chép dữ liệu nhạy cảm để lưu giữ hồ sơ thành tích của họ khi ở vai trò đó, trong khi một sự cố gây hại có thể là cố ý tải xuống dữ liệu nhạy cảm vì lợi ích cá nhân hoặc để hỗ trợ họ ở vị trí tiếp theo. Khi trường hợp từ chức trùng với các hoạt động bất thường khác, đây có thể là sự cố bảo mật dữ liệu.
-
Truy nhập bất thường vào hệ thống
Rủi ro tiềm ẩn từ nội bộ có thể bắt đầu bằng việc người dùng truy nhập vào các tài nguyên mà họ thường không cần cho công việc của mình. Ví dụ, những người dùng thường chỉ truy nhập vào các hệ thống liên quan đến tiếp thị đột ngột bắt đầu truy nhập vào hệ thống tài chính nhiều lần một ngày.
-
Đe dọa và quấy rối
Một trong những dấu hiệu sớm của rủi ro từ nội bộ có thể là người dùng thể hiện sự đe dọa, quấy rối hoặc giao tiếp có phân biệt đối xử. Điều này không chỉ gây hại cho văn hóa công ty mà còn có thể dẫn đến các sự cố tiềm ẩn khác.
-
Leo thang đặc quyền
Các tổ chức thường bảo vệ và quản lý các tài nguyên có giá trị bằng cách gán vai trò và đặc quyền truy nhập cho nhân sự nhất định. Nếu một nhân viên cố gắng tăng cấp đặc quyền của họ mà không có lý do kinh doanh rõ ràng, đó có thể là dấu hiệu của rủi ro tiềm ẩn từ nội bộ.
-
Ví dụ về mối đe dọa từ nội bộ
Các sự cố về mối đe dọa từ nội bộ như trộm cắp dữ liệu, hoạt động tình báo hoặc phá hoại đã xảy ra trong các tổ chức thuộc mọi quy mô trong nhiều năm qua. Một số ví dụ là:
- Lấy cắp bí mật thương mại và bán chúng cho một công ty khác.
- Xâm nhập vào cơ sở hạ tầng đám mây của công ty và xóa hàng nghìn tài khoản khách hàng.
- Sử dụng bí mật thương mại để thành lập một công ty mới.
Tầm quan trọng của quản lý rủi ro nội bộ toàn diện
Một chương trình quản lý rủi ro nội bộ toàn diện ưu tiên mối quan hệ giữa nhân viên và công ty, cũng như tích hợp các biện pháp kiểm soát quyền riêng tư có thể làm giảm số lượng sự cố bảo mật tiềm ẩn từ nội bộ và dẫn đến việc phát hiện nhanh hơn. Một nghiên cứu gần đây được Microsoft thực hiện cho thấy các công ty có chương trình quản lý rủi ro nội bộ toàn diện có khả năng phát hiện nhanh rủi ro từ nội bộ cao hơn 33 phần trăm và khả năng khắc phục nhanh hơn 16 phần trăm so với các công ty có phương pháp tiếp cận phân mảnh hơn.1
Cách bảo vệ chống lại mối đe dọa từ nội bộ
Các tổ chức có thể giải quyết rủi ro từ nội bộ theo cách toàn diện nhờ tập trung vào các quy trình, con người, công cụ và giáo dục. Sử dụng các phương pháp tốt nhất sau đây để phát triển một chương trình quản lý rủi ro nội bộ giúp xây dựng lòng tin với nhân viên và giúp tăng cường bảo mật của bạn:
-
Ưu tiên lòng tin và quyền riêng tư của nhân viên
Xây dựng lòng tin giữa các nhân viên bắt đầu bằng việc ưu tiên quyền riêng tư của họ. Để tạo cảm giác thoải mái với chương trình quản lý rủi ro nội bộ của họ, hãy xem xét triển khai quy trình phê duyệt đa cấp để bắt đầu điều tra nội bộ. Ngoài ra, điều quan trọng là phải kiểm tra các hoạt động của những người tiến hành điều tra để đảm bảo họ không vượt quá ranh giới của mình. Việc triển khai các biện pháp kiểm soát truy nhập dựa trên vai trò để giới hạn những người trong đội ngũ bảo mật có thể truy nhập vào dữ liệu điều tra cũng có thể giúp duy trì quyền riêng tư. Ẩn danh tên người dùng trong quá trình điều tra có thể bảo vệ thêm cho quyền riêng tư của nhân viên. Cuối cùng, hãy cân nhắc việc xóa cờ người dùng sau một khoảng thời gian nhất định nếu không tiếp tục điều tra nữa.
-
Sử dụng biện pháp ngăn ngừa tích cực
Mặc dù nhiều chương trình rủi ro từ nội bộ dựa vào các biện pháp ngăn ngừa cấm đoán, chẳng hạn như các chính sách và công cụ hạn chế hoạt động của nhân viên rủi ro, nhưng quan trọng là phải cân bằng các biện pháp này với các tiếp cận đón đầu. Những biện pháp ngăn ngừa tích cực, chẳng hạn như sự kiện nâng cao tinh thần của nhân viên, đào tạo gia nhập kỹ lưỡng, đào tạo và giáo dục liên tục về bảo mật dữ liệu, ý kiến phản hồi về cấp trên và các chương trình cân bằng giữa công việc và cuộc sống có thể giúp giảm thiểu khả năng xảy ra các sự cố nội bộ. Bằng cách gắn kết với nhân viên một cách hiệu quả và chủ động, những biện pháp ngăn ngừa tích cực sẽ giải quyết nguồn gốc của rủi ro và thúc đẩy văn hóa bảo mật trong tổ chức.
-
Đạt được sự ủng hộ của toàn công ty
Các đội ngũ CNTT và bảo mật có thể chịu trách nhiệm chính trong việc quản lý rủi ro từ nội bộ, nhưng nỗ lực này cần có sự tham gia của toàn công ty. Các bộ phận như nhân sự, tuân thủ và pháp lý đóng vai trò quan trọng trong việc xác định các chính sách, giao tiếp với các bên liên quan và đưa ra quyết định trong quá trình điều tra. Để xây dựng một chương trình quản lý rủi ro nội bộ toàn diện và hiệu quả hơn, các tổ chức nên tìm kiếm sự ủng hộ và tham gia từ tất cả các bộ phận của công ty.
-
Sử dụng các giải pháp bảo mật tích hợp và toàn diện
Việc bảo vệ hiệu quả tổ chức của bạn khỏi các rủi ro từ nội bộ đòi hỏi nhiều hơn là chỉ triển khai các công cụ bảo mật tốt nhất; việc này yêu cầu các giải pháp tích hợp cung cấp khả năng quan sát và bảo vệ trên toàn doanh nghiệp. Khi tích hợp bảo mật dữ liệu, quản lý quyền truy nhập và danh tính, phát hiện và ứng phó mở rộng (XDR) và các giải pháp quản lý sự kiện và thông tin bảo mật (SIEM), đội ngũ bảo mật có thể phát hiện và ngăn chặn sự cố từ nội bộ một cách hiệu quả.
-
Thực hiện đào tạo hiệu quả
Nhân viên đóng vai trò quan trọng trong việc ngăn chặn các sự cố bảo mật, biến họ trở thành tuyến phòng thủ đầu tiên. Việc bảo vệ tài sản của công ty bạn đòi hỏi phải có được sự ủng hộ của nhân viên, từ đó nâng cao tính bảo mật chung của tổ chức. Một trong những phương pháp hiệu quả nhất có được sự ủng hộ này là thông qua giáo dục nhân viên. Bằng cách giáo dục nhân viên, bạn có thể giảm số lượng sự cố do người dùng nội bộ vô tình gây ra. Điều quan trọng là phải giải thích việc các sự cố từ người dùng nội bộ có thể ảnh hưởng đến cả công ty và nhân viên của công ty như thế nào. Ngoài ra, điều quan trọng là truyền đạt các chính sách bảo vệ dữ liệu và hướng dẫn nhân viên cách tránh rò rỉ dữ liệu tiềm ẩn.
-
Sử dụng máy học và AI
Rủi ro bảo mật tại nơi làm việc hiện đại ngày nay rất phức tạp với nhiều yếu tố thay đổi liên tục, có thể khiến chúng khó phát hiện và ứng phó. Tuy nhiên, khi sử dụng máy học và AI, các tổ chức có thể phát hiện và giảm thiểu rủi ro từ nội bộ ở tốc độ máy, đem đến khả năng bảo mật thích nghi và lấy con người làm trung tâm. Công nghệ nâng cao này giúp các tổ chức hiểu cách người dùng tương tác với dữ liệu, tính toán và ấn định mức độ rủi ro, đồng thời tự động điều chỉnh các biện pháp kiểm soát bảo mật phù hợp. Với các công cụ này, các tổ chức có thể hợp lý hóa quy trình xác định các rủi ro tiềm ẩn và ưu tiên các tài nguyên hạn chế của mình vào việc giải quyết các hoạt động có rủi ro cao của người dùng nội bộ. Điều này giúp đội ngũ bảo mật tiết kiệm thời gian quý báu trong khi vẫn đảm bảo bảo mật dữ liệu tốt hơn.
Giải pháp quản lý rủi ro nội bộ
Việc bảo vệ chống lại các mối đe dọa từ nội bộ có thể là một thách thức, vì việc tin tưởng vào những người làm việc cho và cùng tổ chức là điều bình thường. Nhanh chóng xác định các rủi ro quan trọng nhất từ người dùng nội bộ và ưu tiên các tài nguyên để điều tra và giảm thiểu rủi ro là rất quan trọng để giảm tác động của các sự cố và vi phạm tiềm ẩn. Rất may là nhiều công cụ an ninh mạng dùng để ngăn chặn các mối đe dọa từ bên ngoài cũng có thể xác định các mối đe dọa từ nội bộ.
Microsoft Purview cung cấp các chức năng bảo vệ thông tin, quản lý rủi ro nội bộ và ngăn mất dữ liệu (DLP) để giúp bạn quan sát được dữ liệu, phát hiện các rủi ro nghiêm trọng từ nội bộ có thể dẫn đến các sự cố bảo mật dữ liệu tiềm ẩn, và ngăn mất dữ liệu hiệu quả.
Microsoft Entra ID giúp bạn quản lý ai có thể truy nhập vào nội dung nào và có thể cảnh báo bạn nếu hoạt động đăng nhập và truy nhập của ai đó có rủi ro.
Microsoft Defender 365 là một giải pháp XDR giúp bạn bảo mật đám mây, ứng dụng, điểm cuối và email khỏi các hoạt động trái phép. Các tổ chức chính phủ như Cơ quan An ninh Mạng và An ninh Cơ sở hạ tầng cũng cung cấp hướng dẫn xây dựng chương trình quản lý mối đe dọa từ nội bộ.
Khi áp dụng các công cụ này và sử dụng hướng dẫn của chuyên gia, các tổ chức có thể quản lý tốt hơn các rủi ro từ nội bộ và bảo vệ tài sản quan trọng của họ.
Tìm hiểu thêm về Microsoft Security
Microsoft Purview
Nhận các giải pháp quản trị, bảo vệ và tuân thủ cho dữ liệu của tổ chức bạn.
Giải pháp Quản lý rủi ro nội bộ của Microsoft Purview
Phát hiện và giảm thiểu rủi ro từ nội bộ bằng mô hình máy học sẵn sàng sử dụng.
Bảo vệ thích ứng trong Microsoft Purview
Bảo mật dữ liệu với phương pháp tiếp cận thông minh và lấy con người làm trung tâm.
Xây dựng một chương trình quản lý rủi ro nội bộ toàn diện
Tìm hiểu về năm yếu tố giúp công ty có khả năng bảo mật dữ liệu mạnh hơn trong khi vẫn bảo vệ lòng tin của người dùng.
Giải pháp Ngăn mất dữ liệu của Microsoft Purview
Ngăn ngừa hoạt động chia sẻ, truyền hoặc sử dụng trái phép dữ liệu trong khắp các ứng dụng, thiết bị và môi trường tại cơ sở.
Tuân thủ về giao tiếp của Microsoft Purview
Đáp ứng nghĩa vụ tuân thủ theo quy định và giải quyết các vi phạm tiền ẩn về tiến hành kinh doanh.
Tính năng bảo vệ trước mối đe dọa của Microsoft
Bảo vệ thiết bị, ứng dụng, email, danh tính, dữ liệu và khối lượng công việc trên đám mây bằng tính năng bảo vệ thống nhất trước mối đe dọa.
Microsoft Entra ID
Bảo vệ quyền truy cập vào tài nguyên và dữ liệu bằng cách sử dụng tính năng xác thực mạnh mẽ và các chính sách về truy nhập thích ứng dựa trên rủi ro.
Câu hỏi thường gặp
-
Có bốn loại mối đe dọa từ nội bộ. Mối đe dọa vô tình từ nội bộ là rủi ro trong đó một người làm việc cho hoặc với một công ty gây ra lỗi có khả năng xâm phạm tổ chức hoặc dữ liệu hoặc nhân sự của tổ chức. Rủi ro sơ suất từ nội bộ là khi ai đó cố ý vi phạm chính sách bảo mật nhưng không có nghĩa là gây hại. Mối đe dọa gây hại là khi ai đó cố tình lấy cắp dữ liệu, phá hoại tổ chức hoặc hành xử bạo lực. Một hình thức khác của mối đe dọa gây hại là sự thông đồng, đó là khi người dùng nội bộ cộng tác với một người nào đó bên ngoài tổ chức để gây hại.
-
Quản lý rủi ro nội bộ rất quan trọng vì các loại sự cố này có thể gây tổn hại lớn đến tổ chức và nhân sự của tổ chức. Khi áp dụng các chính sách và giải pháp phù hợp, các tổ chức có thể đón đầu các mối đe dọa tiềm ẩn từ nội bộ và bảo vệ tài sản giá trị của tổ chức.
-
Có một số dấu hiệu có thể là rủi ro từ nội bộ, bao gồm hoạt động của người dùng thay đổi đột ngột, một chuỗi hoạt động rủi ro có liên kết, cố gắng truy nhập vào các tài nguyên không cần thiết cho công việc của họ, cố gắng tăng cấp đặc quyền, trích rút dữ liệu bất thường, nhân viên nghỉ việc trích rút dữ liệu và đe dọa hoặc quấy rối.
-
Việc ngăn chặn các sự cố nội bộ có thể khó khăn vì các hoạt động rủi ro có thể dẫn đến sự cố bảo mật lại được thực hiện bởi những người đáng tin cậy có mối quan hệ tại tổ chức và có quyền truy nhập. Một chương trình quản lý rủi ro nội bộ toàn diện ưu tiên mối quan hệ giữa nhân viên và công ty, cũng như tích hợp các biện pháp kiểm soát quyền riêng tư có thể làm giảm số lượng sự cố bảo mật từ nội bộ và dẫn đến việc phát hiện nhanh hơn. Ngoài các biện pháp kiểm soát quyền riêng tư và tập trung vào nâng cao tinh thần nhân viên, đào tạo thường xuyên, có được sự ủng hộ của toàn công ty và các công cụ bảo mật tích hợp có thể giúp giảm rủi ro của bạn.
-
Mối đe dọa gây hại từ nội bộ có thể là một người đáng tin cậy cố ý gây hại cho tổ chức và những người làm việc tại đó. Điều này khác với các rủi ro vô tình từ nội bộ xảy ra khi ai đó vô tình xâm phạm công ty hoặc vi phạm quy tắc bảo mật nhưng không có nghĩa là công ty có bất kỳ tổn hại nào.
Theo dõi Microsoft Security