Insider, czyli osoba posiadająca autoryzowany dostęp do informacji, jest uznawany przez wiele instytutów analitycznych jako jedno z najbardziej niebezpiecznych zagrożeń w ramach bezpieczeństwa IT.

Kilka spektakularnych przypadków jakie mieliśmy okazję obserwować w ostatnich latach jak np. wycieki na rzecz WikiLeaks czy udostępnienie informacji przez Edwarda Snowden’a również przyczyniły się do zwiększonego zainteresowania atakami „od środka”.

Duża ranga tego rodzaju zagrożeń ma kilka zasadniczych powodów:

  • Utrata informacji spowodowana poprzez działania insiderów dotyczy często najcenniejszych zasobów organizacji. Pracownicy mają dostęp do tego rodzaju informacji i mają wiedzę o wartości tej informacji.
  • Jak pokazują statystyki, incydenty powodowane przez insidera są rozpoznawane po czasie prawie dwukrotnie dłuższym (259 dni) niż to ma miejsce w przypadku pozostałych incydentów cybercrime (170 dni).

Jako główny bezpośredni sprawca incydentów powodowanych przez pracowników wymieniana jest niedbałość. Niedbali użytkownicy są bowiem powodem aż 78% wszystkich incydentów. Dlatego też nie dziwi fakt, że w celu poprawienia sytuacji bardzo wiele można uzyskać za pomocą odpowiednio opracowanej polityki oraz poprzez podnoszenie świadomości pracowników. Jednak działania w zakresie edukacji są w oczywisty sposób bezskuteczne w odniesieniu do pracowników niezadowolonych lub negatywnie motywowanych. W takich przypadkach z pomocą przychodzą rozwiązania monitorujące.

UEBA (User and Entity Behavior Analytics)

– to narzędzia analizujące zachowanie użytkownika oraz urządzeń, na których akcje użytkowników są wykonywane. W szczególności rozwiązania UEBA potrafią wykryć anomalie odbiegające od profilu typowych zachowań użytkowników.

DLP (Data Leakage Prevention)

– to rozwiązania chroniące informacje krytyczne przed wyciekiem. W przeciwieństwie do UEBA w centrum zainteresowania są same informacje, a nie zachowanie użytkownika. Systemy DLP monitorują i chronią przepływ wrażliwej informacji w różnaych kanałach komunikacyjnych.

Rozwiązania UEBA oraz DLP mają różne cele i dlatego prezentują sobą odmienne podejście do problemu kontroli pracy użytkownika. Każde z tych rozwiązań posiada swoje zalety. Podczas gdy DLP skupia się na kluczowym zagadnieniu informacji krytycznej, UEBA potrafi wnieść więcej szczegółów w fazie analizy zdarzenia po jego ujawnieniu. Podczas gdy UEBA potrafi rozpoznać nietypowe zachowanie, które często znamionuje fazę przygotowań do incydentu, DLP potrafi celnie odpowiedzieć na pytanie czy eksfiltracja informacji już nastąpiła.
Bardzo ciekawym pomysłem wydaje się być integracja UEBA oraz DLP. Takie zintegrowane podejście daje dodatkowe możliwości ochrony jak i pozwala na przezwyciężenie ograniczeń pojedynczych rozwiązań.

Oceń artykuł