Если вы взглянете на ситуацию в сфере информационной безопасности в мире в последние несколько лет, вы легко заметите, что инсайдерская угроза занимает, хотя и небольшое, но измеряемое место в системе обеспечения защиты сети организации. Какова эта доля, никто, естественно, не знает. В статье в CSO Magazine рассматриваются два недавно опубликованных отчета - от Cyber-Ark Software и Verizon (Verizon's 2012 Data Breach Investigations Report), в которых высказываются два различных мнения о частоте таких угроз.
Кроме того, и IBM в своем отчете X-Force 2012 Mid-Year Trend & Risk Report ставит ударение на использование в целях обеспечения защиты не систем обнаружения угроз на базе сигнатур, а решений на основе поведенческого анализа трафика, обращая таким образом большее внимание на внутренние угрозы для корпоративной безопасности.
Несмотря на небольшую, казалось, частоту инсайдерских угроз, потенциальный риск от них просто астрономический. Даже, если только 4% утечек данных в 2011 году связаны с инсайдерами, как говорит отчет Verizon, разве это является основанием для того, чтобы обращать меньше внимания на их обнаружение и предотвращение?
Как пишет CSO, с привилегией приходит опасность с точки зрения кибер-безопасности. Согласно статье, даже если количество привилегированных пользователей с "ключами от королевства", которые могут случайно нанести вред, мало, объем вреда, который они могут нанести - нет. А как насчет привилегированных пользователей, которые намеренно не делают ничего плохого, но чьи компьютеры, скажем, были заражены за пределами укрепленной границы инфраструктуры безопасности своей компании? Как я уже говорил ранее, дорогие IDS/IPS-системы и файерволы на границе сети, хотя и очень важны для защиты сети, но абсолютно не применимы, если пользователь, даже с благими намерениями, физически приносит угрозу через открытые для него двери. У вас есть возможность определить, что сегодняшнее поведение пользователя отличается от его традиционных правил? А что, если пользователь внезапно подключился к неизвестному хосту в Интернет, который работает как сервер, или пытается передать большое количество данных на внешний хост? А если пользователь загружает большое количество информации с внутренних хостов, на которых обычно он не был замечен с таким поведением? А может пользователь подключил зараженное устройство к сети?
Система Lancope StealthWatch позволяет рассмотреть все эти действия под одним "увеличительным стеклом", осуществить корреляцию аномального поведения хоста с именем пользователя или устройства, и помочь разрешить проблему, связанную с инсайдерской угрозой.