CONFERINŢA INTERNAŢIONALĂ DE DIALOG PUBLIC-PRIVAT: Ameninţarea cyber din interior

Oamenii sunt, fără îndoială, componenta principală a conceptului securitate cibernetică. Concep hardware, protocoale, programează, proiectează, configurează şi gestionează sisteme, instalează plugin-uri şi patch-uri, utilizează calculatoare. În fiecare activitate şi în fiecare punct al spaţiului cibernetic, oamenii pot crea vulnerabilităţi. Indiferent dacă îşi dau seama sau nu, oamenii reprezintă riscuri şi sunt generatori de riscuri de securitate. Cu toate acestea ameninţările din interior nu sunt doar un produs al greşelilor involuntare ale celor conştienţi, ci trebuie avută în vedere şi partea întunecată a naturii umane, iar ideea inamicului din interior este veche de când lumea, avându-şi echivalentul în domeniul cyber.

Din perspectiva cyber, un "insider", adică "cel din interior", este angajatul căruia compania i-a încredinţat dreptul de a accesa şi opera datele, informaţiile companiei în cadrul procesului zilnic de lucru. Practic, oricine care are acces legitim (autorizat) la informaţiile şi la sistemele de business, la bazele de date, email-uri sau orice alte resurse informaţionale ale companiei, este un "insider".

În multe companii, există insideri (persoane din interior) care de fapt nu sunt angajaţi. Aceştia pot fi: foşti angajaţi, contractori, parteneri de afaceri, vânzători, furnizori, etc. De asemenea, tot aici intră şi o categorie aparte: furnizorii de servicii de cloud, servicii de hosting de aplicaţii de business, care ar putea avea acces în reţeaua companiei. Practica demonstrează că evidenţa şi controlul privilegiilor de acces ale acestor insider, personaje "din interior" dar care nu sunt angajaţi, este mult mai anevoioasă, managementul acestor privilegii mai dificil dar, mai uşor de exploatat.

Putem avea încredere în angajaţi şi în alte persoane cu acces din interior? Răspunsul, desigur, este în general că da. Ar trebui să fie, deoarece afacerile au la bază şi capitalul uman, iar fără oameni de încredere în interior şi fără acea încredere, organizaţia nu ar putea funcţiona. Cu toate acestea, "nu"-ul rezidual, chiar în procentaj mic, poate fi cauza unor îngrijorări serioase. Iar în acestă lumină, problema se transformă mai mult în setarea limitelor de încredere la nivelul corect. Este nevoie de metode mereu actualizate şi îmbunătăţite de a selecta potenţialii angajaţi, de management al drepturilor de acces, de impunere a respectării politicilor, obligaţiilor, de detecţie a tendinţelor şi comportamentelor cu potenţial negativ, de implementare a controalelor de securitate.

Ameninţarea din interior, îmbracă două forme: insider-ul care face rău intenţionat (adică insider-ul "maliţios") şi insider-ul neştiutor. Deşi cele două tipuri de ameninţări din interior au motivaţii şi obiective diferite, comportamente diferite faţă de organizaţie, ele pot avea efecte similar de distrugătoare la adresa organizaţiei.

- Insider-ul răufăcător (maliţios) este spionul sau trădătorul şi reprezintă de fapt cel mai bine conceptul de ameninţare din interior. Acesta este cel care îşi foloseşte în mod intenţionat accesul legitim la resursele companiei pentru a afecta în mod deliberat organizaţia. Persoanele rău intenţionate ştiu informaţii despre organizaţia respectivă, îi cunosc sistemele, structura şi angajaţii sau colaboratorii, precum şi operaţiunile şi procedurile interne. Au acces la reţea din interiorul sistemului de apărare perimetrală. Pot fura date, dezactiva sisteme şi instala viruşi sau malware.

* Cei cu privilegii elevate pot face mai mult, de exemplu dezactivarea conturilor, distrugerea backup-urilor, schimbarea fişierelor de configurare.

* Cei cu privilegii mai puţin elevate, apelează de multe ori la trucuri de genul bypass-ul proceselor de autentificare, sau obţinerea accesului prin credenţialele altora.

Un aspect important de ştiut este că un insider, ca ameninţare maliţioasă nu se limitează doar la domeniul cyber, ci sunt şi alte metode posibile prin care el să acţioneze: furt fizic, distrugere, violenţă. Psihologia atacatorului din interior este un domeniu definit de studiu, existând multe motive pentru care un angajat sau persoană din interior trece de cealaltă parte a baricadei.

- Insider-ul neştiutor, sau atacatorul/ răufăcătorul fără intenţie: aproape oricine poate cădea în categoria aceasta, de ameninţare fără ştiinţă, inclusiv personalul de conducere. Ca factor de ameninţare, insiderul inconştient, neintenţionat şi neştiutor, poate face gafe de securitate care expun compania sau organizaţia la riscuri cibernetice majore. Pentru că paleta de potenţiali actori involuntari este atât de mare şi comportamentele lor sunt neintenţionate şi greu de prezis, insider-ul fără intenţie este unul dintre cele mai periculoase puncte slabe din întreaga companie. Şi iată că vorbim, de fapt, de aproape fiecare angajat ca fiind un punct slab, dacă cultura de securitate nu reprezintă o prioritate ca educaţie.

- Outsider "mascat" în insider: Acest tip de insider nu este un insider în adevăratul sens, ci mai degrabă un impostor care utilizează credenţialele legitime ale altora pentru a accesa reţeaua în moduri în care utilizatorul real nu ar face-o. Acest actor încearcă să obţină credenţiale legitime utilizând o varietate de tactici şi tehnici. Apoi foloseşte aceste credenţiale dobândite pentru accesarea fişierelor de parole, folderelor, listelor de control al accesului şi altor resurse de reţea. Bineînţeles că treaba este mult mai simplă dacă obţine credenţiale de acces ale unui administrator de sistem sau ale unui utilizator privilegiat.

Un insider neavizat, poate fi uşor "exploatat" (fiind o vulnerabilitate) de un hacker sofisticat, ca fiind un punct de intrare relativ uşor de obţinut în vederea atacurilor avansate. Se pot folosi tehnici complexe şi elaborate, dar un acelaşi rezultat îl poate avea un simplu phishing, mult mai ieftin şi serveşte scopului. După obţinerea accesului iniţial, hackerul poate executa o mişcare laterală în reţea sau poate escalada privilegii de acces pentru a implanta malware avansat în reţea. Phishingul este mecanismul dominant folosit şi astăzi pentru a penetra reţelele, chiar de cei mai avansaţi hackeri, deoarece are o rată de succes mare, pentru un cost relativ scăzut şi se prefigurează din start ca o metodă ieftină ce merită mereu încercată.

Alte tactici de inginerie socială includ impersonarea sau pretinderea accesului într-o incintă pe motive inventate, profitând de neglijenţă sau dimpotrivă, de politeţea sau dorinţa de a fi de ajutor a unor angajaţi lipsiţi de ins-truire în acest sens.

Outsider-ul care se prezintă ca insider nu este interesat să impersoneze o anumită persoană în mod principal, cât să ajungă să folosească resursele IT ale acelei persoane eventual. Prin spargerea parolelor sau a altor tehnici, un hacker poate exploata credenţialele mai multor utilizatori autorizaţi sau administratori în timpul unui atac. Spre deosebire de adevăratul insider, singurele elemente observabile pot fi footprint şi fingerprint care pot fi văzute în log-uri sau cod malware sau fragmente pe care acesta le-a utilizat.

Ameninţarea din interior este uşor de înţeles în concept, dar foarte greu de cuantificat în practică. Cât de mare e ameninţarea? Date reale consolidate sunt greu accesibile şi statisticile privind frecvenţa apariţiei şi impactul ameninţărilor din interior sunt evazive. Lipsa de detecţie şi descoperire a evenimentelor din interior, precum şi mai ales refuzul de a împărtăşi sau de a le raporta, sunt două dintre motivele principale ale lipsei de informaţii. Cu toate acestea, recentele sondaje privind ameninţările din interior şi analiza datelor compromise, au relevat următoarele:

-Există o creştere a ameninţărilor din interior în ultimii ani.

-Majoritatea organizaţiilor nu au controale şi măsuri adecvate pentru prevenirea sau contracararea ameninţărilor din interior.

-Atacurile din interior sunt mult mai greu de detectat decât cele din exterior.

-Contractorii sau persoanele din interior non-angajaţi reprezintă un risc major şi nu se acordă suficientă atenţie modului în care ar trebui lucrat cu aces-te persoane.

-Adesea se descoperă activităţi periculoase, maliţioase, intenţionate sau nu, abia după ce angajatul pleacă din organizaţie în urma examinării device-urilor pe care le-a utilizat.

• Ce este de făcut?

Primul lucru pe care liderii de business ar trebui să îl facă cu privire la ameninţarea din interior este de a o lua în serios. Deşi există o recunoaştere pe scară largă că ameninţarea este foarte gravă, în majoritatea sectoarelor nu există suficientă determinare de a construi planurile specifice de contracarare, structurile organizaţionale şi controalele necesare pentru a face faţă acestor tipuri de ameninţări, de a le preveni, detecta şi contracara. Este nevoie de o abordare cuprinzătoare care valorifică aspectele specifice al ameninţării din interior. Tehnologia în sine nu este suficientă. Trebuie adresată, de asemenea, dimensiunea critică umană.

O abordare completă ar trebui să cuprindă:

A. Stabilirea unei culturi "threat-aware" axată pe integritatea instituţională şi încrederea, chiar "fiabilitatea" (din acest punct de vedere) personală.

Cultura companiei este un produs al multor factori, dar unul decisiv este comportamentul conducerii şi valorile pe care le modelează. O cultură de integritate instituţională şi încredere personală este favorabilă succesului în aproape orice întreprindere. Factorii pentru realizarea acesteia includ următoarele:

-Crearea unui mediu în care acţiunile proprii ale angajaţilor reflectă un grad ridicat de integritate instituţională şi fiabilitate / încredere personală.

-Formularea de reguli şi aşteptări clare într-un document "Politica de utilizare acceptabilă" pentru companie care reglementează folosirea resurselor IT. Acest lucru ar trebui să fie un acord oficial semnat între Companie şi fiecare angajat şi partea externă care are acces la resurse sau facilităţi.

- Crearea unui mediu sigur în care se pot auto-raporta acţiuni accidentale care pun în pericol securitatea. Eliminarea stigmatului comiterii unei încălcări de securitate din neatenţie poate ajuta la minimizarea impactului şi e de folos tuturor.

- Furnizarea de programe de conştientizare regulate asupra ameninţărilor din interior, de formare, precum şi exerciţii realiste de antrenament contra phishingului.

- Stabilirea unui set de valori instituţionale ce reflectă cultura dorită, selectarea liderilor pe baza aderării lor la aceste valori şi includerea demonstrării acestor valori ca factor de evaluare a performanţei angajaţilor.

B. Înfiinţarea unui consiliu executiv pentru gestionarea unui sistem multidisciplinar integrat, program conceput pentru a descuraja, preveni, detecta, şi răspunde la ameninţările din interior şi limitarea impactului. Programul ar trebui să aibă participarea activă a departamentelor funcţionale din întreaga organizaţie: IT, Cyber, Riscuri, accesul fizic, resursele umane, antifrauda, în general toate verticalele companiei.

C. Programul ar trebui să cuprindă:

- crearea şi supravegherea politicilor legate de gestionarea ameninţărilor din interior

- flux de lucru regulat, procese şi reuniuni în mod activ şi colective pentru reexaminarea informaţiilor de ameninţare din interior, examinarea indicatorilor interni de risc, evenimente în interior, tendinţe;

- punerea în aplicare a unor procese de asigurare a gradului de încredere a personalului de la verificări de fond la procedurile de evaluare a factorilor de risc comportamentali şi vulnerabilităţii la compromis.

D. Construirea şi operarea controalelor de securitate.

Multe dintre controalele de securitate care deja există (sau ar trebui să existe) în cadrul întreprinderii, pot fi eficace în detectarea, prevenirea sau atenuarea rezultatelor ameninţării din interior. Ar trebui să includă:

- controalele de acces, în special pentru utilizatorii privilegiaţi (cei cu autoritatea administrativă).

- protecţia datelor, inclusiv criptarea, tehnologia de prevenire a pierderii datelor, backup, monitorizarea exfiltrării.

- Managementul configuraţiilor şi configurări sigure.

- Managementul patch-urilor şi al vulnerabilităţilor.

- Segmentare internă a reţelei.

E. Monitorizarea şi detectarea comportamentelor anormale.

Programul ar trebui să încerce să împiedice atacuri din interior prin captarea de indicatori de activitate potenţială înainte de producerea de probleme: în general, provin din interior prin intermediul datelor tehnice sau indicatorilor comportamentali:

- Date tehnice: cele mai importante surse de informaţii tehnice legate de atacuri cyber sunt alertele în timp real ale sistemelor de securitate, senzorilor de reţea şi de host, log-uri, sistemelor de alertă automate, sistemelor de prevenire a pierderii sau scurgerilor de date.

- Non-tehnice: construirea de inteligence operaţional prin mix de metode cyber, antifraudă, securitate fizică. Pot fi şi: comportament email (volume, adrese, conţinut, ataşamente), paternurile activităţilor curente, măsurarea performanţei angajatului, indicatori de afiliere (gradul de participare la activităţile firmei, utilizarea social-media, etc.)

Analizele acestui tip de date prin automatizare, dar şi prin procese manuale pot identifica modele de comportament care indică riscuri privitoare la angajaţi sau atacuri iminente din interior. De asemenea, se pot integra informaţii externe despre ameninţari relative la factorii care ar putea influenţa creşterea riscului de atac din interior.