Insider Threat w firmie - jak wykrywać zagrożenia wewnętrzne z CrowdStrike Falcon
Insider Threat: czym jest i jak CrowdStrike pomaga go wykryć
Co to jest Insider Threat
- Niezamierzone. Wynikają z nieuwagi, braku wiedzy lub złej oceny sytuacji, a nie z chęci wyrządzenia szkody. Przykłady: zgubienie służbowego urządzenia, zignorowanie aktualizacji zabezpieczeń, rozmowa o wrażliwych danych w miejscu publicznym, wysłanie dokumentu na błędny adres e-mail czy zostawienie poufnego wydruku na drukarce.
- Złośliwe (malicious). Osoba świadomie działa na szkodę firmy, najczęściej z powodów finansowych albo poczucia krzywdy. Czasem insider współpracuje z osobą z zewnątrz, na przykład przestępcą lub podmiotem zewnętrznym, który go do tego nakłania lub wręcz wymusza współpracę. Typowe scenariusze to ujawnienie lub sprzedaż danych, a także celowe usunięcie, modyfikacja lub udostępnienie danych nieuprawnionej osobie.
Po czym rozpoznać Insider Threat
- używanie niezatwierdzonych prywatnych urządzeń do pracy firmowej,
- prośby o dostęp do dysków, dokumentów lub aplikacji wykraczające poza zakres obowiązków,
- logowanie się lub dostęp do systemów w nietypowych godzinach,
- nietypowy wzrost ruchu sieciowego, który może wskazywać na pobieranie lub przesyłanie danych,
Jak budować program wykrywania Insider Threat
Jak CrowdStrike wykrywa insider threat
- CrowdStrike Falcon Data Protection. Monitoruje, jak dane "wychodzą" z organizacji (tzw. data egress). Sprawdza nietypowe miejsca docelowe, transfery poza godzinami pracy oraz naruszenia polityk ochrony danych.
- CrowdStrike Falcon Next-Gen Identity Security. Odpowiada za warstwę tożsamości. Wykrywa anomalie uwierzytelniania, eskalację uprawnień oraz sygnały kompromitacji kont.
- CrowdStrike Falcon Next-Gen SIEM. Łączy te dane w jedną całość za pomocą dwóch dashboardów: Insider Threat Analytics oraz User Activity Investigation.
Dashboard Insider Threat Analytics
- sygnały z Falcon Data Protection (np. wrażliwe dane przesyłane do rzadko używanych miejsc docelowych),
- sygnały z Falcon Next-Gen Identity Security (ryzyko tożsamości, anomalie logowania),
- dane kadrowe o statusie zatrudnienia, w tym informację o pracownikach odchodzących z firmy. CrowdStrike integruje się w tym celu z systemem Workday. Aplikacja Insider Risk – Workday Leavers w CrowdStrike Falcon Foundry automatycznie synchronizuje dane o rozwiązaniu umowy z pracownikiem.
- rzadkie zdarzenia. Najmniej popularne miejsca docelowe transferu danych w całej firmie.
- aktywność widziana po raz pierwszy. Nowe miejsce docelowe albo nowe urządzenie USB, które nie pojawiało się wcześniej w historii danego użytkownika.
- nietypowe punkty końcowe. Transfer danych z serwerów, kontrolerów domeny lub instancji w chmurze, a nie ze standardowego komputera użytkownika.
- aktywność poza godzinami pracy. Aktywność w weekendy oraz przed lub po standardowych godzinach pracy.
Dashboard User Activity Investigation
Przykłady ataków, które te narzędzia wykrywają
- Eksfiltracja danych do nowych miejsc docelowych. Insider, który ma legalny dostęp do danych, najpierw działa normalnie i przez to buduje "typowy" wzorzec zachowania. Następnie zaczyna przesyłać wrażliwe pliki do nowo utworzonych prywatnych kont w chmurze, na przykład Dropbox, Google Drive albo prywatną skrzynkę e-mail. Dashboard wykrywa to poprzez porównanie aktualnej aktywności z historyczną bazą danego użytkownika. Nowe miejsce docelowe, którego wcześniej nie było, automatycznie trafia na listę do sprawdzenia.
- Masowe zbieranie danych i zbiorczy eksport do chmury. Przejęte konto użytkownika jest wykorzystywane do pobrania dużej liczby plików z dysków sieciowych czy SharePoint na lokalny komputer, a następnie do zbiorczego wysłania tych danych na konto w chmurze kontrolowane przez atakującego. System wykrywa to przez kilka powiązanych sygnałów naraz: nietypowy skok wolumenu przesyłanych danych (na przykład użytkownik odpowiada za ponad 1% całkowitego ruchu wychodzącego z firmy), rzadko używaną domenę konta docelowego oraz podwyższone ryzyko tożsamości wynikające z kompromitacji konta.
Podsumowanie
Terminarz
Lista najbliższych webinariów
Zobacz inne wpisy
Wiedza i świadomość na temat aktualnych cyberzagrożeń to podstawa dobrej taktyki bezpieczeństwa. Chcesz być na bieżąco z wydarzeniami ze świata cybersecurity? A może szukasz wskazówek jak zapewnić wyższy poziom cyberbezpieczeństwa w swojej firmie? Chcesz poznać topowe rozwiązania? Dobrze trafiłeś.
Produkty powiązane
Nowość
Barracuda Web Application Firewall
Barracuda WAF zabezpiecza aplikacje internetowe przed DDoS, botami i exploitami, zwiększając wydajność, dostępność i ochronę danych.