أمثلة على التهديدات الداخلية: 3 حالات مشهورة و4 تدابير وقائية

ما هي التهديدات الداخلية؟

التهديدات الداخلية هي مخاطر أمنية تنشأ من داخل المنظمة. الفاعل في التهديد ليس بالضرورة موظفًا حاليًا أو مسؤولًا في المنظمة. يمكن أن تكون التهديدات الداخلية استشاريين، موظفين سابقين، شركاء تجاريين، أو أعضاء في مجلس الإدارة.

هناك مجموعة واسعة من التهديدات الداخلية، كل منها له تأثيراته الخاصة على المنظمة المستهدفة. يتناول هذا المقال أمثلة حقيقية رئيسية على التهديدات الداخلية ويشرح تقنيات وتكنولوجيات مختلفة يمكن أن تساعد في حماية المنظمات.

القراءة الموصى بها:تحليلات البيانات الكبيرة للأمن: الماضي والحاضر والمستقبل.

أمثلة على التهديدات الداخلية

وايمو

وايمو هي شركة مكرسة لتطوير السيارات الذاتية القيادة، تأسست في الأصل من قبل جوجل. في عام 2016، غادر أنطوني ليفاندوفسكي، المهندس الرئيسي، وايمو. بدأ شركته الخاصة للسيارات الذاتية القيادة، التي تُدعى أوتو.

بعد عدة أشهر من إطلاق أوتو، استحوذت أوبر على الشركة. ما استحوذت عليه أوبر، بشكل رئيسي، كان أسرار تجارية، والتي سرقها ليفاندوفسكي من جوجل. تتضمن بعض المعلومات المسروقة معلومات تسويقية ومقاطع فيديو لاختبارات القيادة، بينما احتوت ملفات أخرى على مستندات PDF سرية، وقطع من الشيفرة المصدرية، وحتى مخططات ورسوم توضيحية لمحاكاة، وتقنيات الكشف عن الضوء وتحديد المدى (LIDAR)، والرادارات.

كشفت التحقيقات أن ليفاندوفسكي لم يكن سعيدًا أثناء عمله في جوجل، وأن أفعاله كانت مدبرة مسبقًا. في عام 2015، بدأ ليفاندوفسكي بالتحدث عن مغادرة جوجل. كما قام بتجنيد زملائه، داعيًا إياهم للعمل في شركته الناشئة. عندما بدأت أوبر في الاستحواذ على أوتو، اكتشف التنفيذيون في جوجل الحقيقة.

قبل حوالي شهر من استقالة ليفاندوفسكي، قام بربط حاسوبه المحمول بخادم مهم. كانت الملكية الفكرية لجوجل مخزنة على هذا الخادم. قام ليفاندوفسكي بتحميل حوالي 14,000 ملف ونسخ الملفات إلى محرك خارجي. لإزالة أي آثار لأفعاله، قام بحذف كل شيء.

أنفقت وايمو 1.1 مليار دولار، بين عامي 2009 و2015، على تطوير تقنيتها. في النهاية، أثبتت وايمو أن أسرارها التجارية قد سُرقت. حصلت على 245 مليون دولار في أسهم أوبر، كتعويض عن السرقة. بالإضافة إلى ذلك، وافقت أوبر على عدم استخدام الأسرار التجارية المسروقة في أجهزة وبرمجيات أوبر.

كابيتال وان

كابيتال وان هي شركة قابضة مصرفية. كما واجهت تهديدًا داخليًا نشأ من بائع خارجي. في وقت الاختراق، كانت كابيتال وان تستخدم خدمات السحابة من أمازون ويب سيرفيس (AWS). قامت مهندسة برمجيات سابقة من AWS باختراق كابيتال وان باستخدام ثغرة اكتشفتها.

اكتشف المخترق ثغرة في جدار الحماية لتطبيق ويب واستخدمها للوصول إلى حسابات وطلبات بطاقات الائتمان لأكثر من 100 مليون عميل لشركة كابيتال وان. في النهاية، قامت الشركة بإصلاح الثغرة وأعلنت أنه "لم يتم المساس بأرقام حسابات بطاقات الائتمان أو بيانات تسجيل الدخول".

الهاكر الذي تمكن من الوصول إلى بيانات كابيتال وان تفاخر بإنجازاته. شارك تقنياته في الاختراق مع زملائه على سلاك، وهي خدمة دردشة عبر الإنترنت. كما نشر المعلومات على جيت هاب، تحت اسمه الحقيقي، وتفاخر على وسائل التواصل الاجتماعي.

يسمي علماء النفس هذا النوع من سلوك التهديد الداخلي "التسرب" لأن التهديد الداخلي يسرب خططه وأفعاله. في النهاية، تم القبض على القراصنة. ووجهت إليها تهمة واحدة بالاحتيال وسوء استخدام الكمبيوتر. للأسف، تقدر كابيتال وان تكاليف الاختراق لتصل إلى $150 مليون.

بوينغ

بوينغ هي شركة قديمة في مجال الطيران تعرضت لأحد أطول هجمات التهديدات الداخلية. خلال فترة تمتد لعدة عقود، من 1979 وحتى 2006 عندما تم القبض على التهديد الداخلي، قام الجاني بسرقة المعلومات من بوينغ وروكويل.

كان التهديد الداخلي، في هذه الحالة، موظفًا في شركة بوينغ. ومع ذلك، كان صاحب العمل الحقيقي لهذا الشخص هو الاستخبارات الصينية، التي كلفته بجمع معلومات من شأنها أن تساعد الصين في تحسين عملياتها الفضائية.

بالإضافة إلى البيانات المتعلقة ببرامج الفضاء، سرق التهديد الداخلي معلومات عن التصنيع العسكري. لا يزال نطاق السرقة غير معروف حتى يومنا هذا.

الوقاية من التهديدات الداخلية

أتمتة مسح البيانات

لمنع هجمات التهديد الداخلي، يجب على المنظمات تنفيذ مسح تلقائي للبيانات، يتم البدء به بمجرد مغادرة الموظفين للمنظمة. عادةً ما يتم حذف الدلائل النشطة للموظفين السابقين عند مغادرتهم. ومع ذلك، لا تتذكر جميع المنظمات مسح البيانات التي خزّنها الموظفون على أجهزتهم الخاصة.

يمكن للموظفين استخدام البيانات على أجهزتهم للوصول إلى موارد المنظمة أو الاستفادة من المعلومات الحيوية للأعمال والأسرار التجارية. بينما من الممكن القيام بهذه العملية يدويًا، إلا أنها قد تستغرق وقتًا، خلاله يمكن أن يحدث هجوم من تهديد داخلي. يمكن أن تساعد أتمتة عمليات مسح البيانات في ضمان عدم تمكن التهديدات الداخلية من الوصول إلى البيانات المؤسسية.

التعاون بين الأقسام

لضمان عدم منح الموظفين امتيازات أكثر مما يحتاجون لأداء أدوارهم ومسؤولياتهم، يجب على الأقسام المختلفة في المنظمة التعاون. يجب على أقسام الموارد البشرية وتكنولوجيا المعلومات والأمن الاجتماع بانتظام لتقييم وتحديد الامتيازات عبر المنظمة.

بهذه الطريقة، يمكن لقسم الموارد البشرية إبلاغ فرق تكنولوجيا المعلومات والأمن عندما يغادر الموظفون، ويمكن لفريق الأمن سحب الامتيازات على الفور. يمكن لقسم الموارد البشرية أيضًا إبلاغ قسم تكنولوجيا المعلومات عن حالات الفصل، والموظفين الذين يخضعون لمراجعات الأداء، والذين قدموا إشعار إنهاء الخدمة. وهذا يسمح لقسم تكنولوجيا المعلومات بمراقبة الموظفين عن كثب في الحالات الحساسة، الذين يكونون في خطر أكبر ليكونوا تهديدًا داخليًا.

التدقيق، المراقبة والتنبيه

كلما زادت رؤية المنظمة، كانت أفضل تجهيزًا لحماية البيانات والموارد من الاستغلال من قبل التهديدات الداخلية. يمكن أن تساعد تنفيذ الممارسات والأدوات للمراقبة المستمرة والتدقيق، بالإضافة إلى إضافة آليات للتنبيه الفوري، المنظمات في مراقبة الأنشطة والتعرف على السلوك المشبوه قبل أن يتحول إلى خرق.

يمكن لأنظمة المراقبة تحليل سلوك المستخدمين، وتحديد الأنشطة المشبوهة، ثم تنبيه المسؤولين و/أو بدء عمليات الاستجابة. يمكن أن يساعد التدقيق المستمر والاستباقي في ضمان معرفة المؤسسات بكيفية استخدام بياناتها، وتنفيذ التغييرات عند الحاجة قبل تصاعد المخاطر.

تنفيذ تدريب الوعي

ليس كل التهديدات الداخلية خبيثة. في الواقع، تتعرض العديد من المؤسسات للاختراق بسبب إهمال أو جهل الموظفين. وغالبًا ما يتم خداع هؤلاء الموظفين من قبل جهات خبيثة، لكنهم يمكن أن يخلقوا أيضًا ثغرة دون أن يتم تحريضهم.

على سبيل المثال، عندما يقوم الموظفون بتحميل ملفات من مصادر غير معروفة، يمكنهم بشكل غير مقصود إدخال ثغرات. ليست جميع المنظمات لديها سياسات تتعلق بالسلوك الأمني الصحيح، وبالتالي فإن الموظفين غير مدركين للتهديدات.

يمكن أن يساعد تنفيذ تدريب الوعي الأمني في منع الموظفين من التحول دون علمهم إلى تهديدات داخلية. كلما زاد وعي الموظفين، زادت قدرتهم على تأمين البيانات والأصول الخاصة بالمنظمة. وبالتالي، يصبح الأمن جهدًا ثقافيًا وتعاونيًا، ويمكن للموظفين حتى تحديد الثغرات، مثل عمليات الاحتيال عبر البريد الإلكتروني، قبل أن تتصاعد المخاطر إلى خرق.

نصائح من الخبير

ستيف مور هو نائب الرئيس ورئيس استراتيجيات الأمن في إكزبيم، يساعد في تقديم الحلول لاكتشاف التهديدات وتقديم المشورة للعملاء بشأن برامج الأمن والاستجابة للاختراقات. وهو مضيف بودكاست "The New CISO Podcast"، و عضو في Forbes Tech Council، ومؤسس مشارك لـ TEN18 at Exabeam.

من خلال تجربتي، إليك بعض النصائح التي يمكن أن تساعدك في حماية أفضل ضد التهديدات الداخلية:

اعتمد تحليلات السلوك المدعومة بالذكاء الاصطناعي للكشف المبكر عن الشذوذ
بعيدًا عن المراقبة الأساسية، استثمر في حلول مدعومة بالذكاء الاصطناعي تتعلم باستمرار من سلوك المستخدم. يمكن أن تكتشف هذه الحلول التغيرات الطفيفة في الأنشطة الروتينية، مما يشير إلى التهديدات المحتملة قبل أن تصبح خروقات.

تنفيذ التحكم في الوصول عند الحاجة
بدلاً من منح الوصول الدائم إلى الموارد الحساسة، اعتمد على الوصول عند الحاجة، حيث يحصل المستخدمون على الوصول فقط عند الحاجة ولمدة محدودة. هذا يقلل من خطر إساءة الاستخدام من الداخل على المدى الطويل.

استخدم تقنية الخداع للكشف المبكر
قم بتنفيذ الفخاخ وأنظمة الخداع لاصطياد المهاجمين الداخليين. يمكن أن يساعد وضع أصول مزيفة في مواقع ذات قيمة عالية في تحديد التهديدات الداخلية التي تحاول الوصول إلى البيانات الحساسة.

ربط بيانات الموارد البشرية والبيانات السلوكية في SIEM
يسمح دمج بيانات الموارد البشرية مع أدوات SIEM لك بربط مشاعر الموظفين (مثل الترقيات السلبية، مراجعات الأداء السلبية) مع أنماط السلوك غير العادية، مما يوفر تحذيرات مبكرة عن التهديدات الداخلية.

قم بتقسيم البيانات الحساسة على أساس الحاجة إلى المعرفة
اعتمد سياسات صارمة لتقسيم البيانات بحيث يكون الوصول إلى البيانات الحساسة محدودًا بناءً على الدور والمشروع والضرورة التشغيلية. هذا يقلل من التعرض إذا حصل شخص داخلي على وصول غير مصرح به.

تنفيذ قياس سلوك المستخدمين لحسابات المميزين
مراقبة نشاط المستخدمين العاديين أمر مهم، ولكن حسابات المميزين تشكل أكبر خطر. نفذ معايير أكثر صرامة لحسابات المميزين لتحديد السلوك غير الطبيعي بسرعة.

حماية من التهديدات الداخلية باستخدام Exabeam

Exabeam هي منصة SIEM سهلة التنفيذ والاستخدام، وتحتوي على وظائف متقدمة وفقًا لنموذج SIEM المعدل من غارتنر:

• التحليلات المتقدمة والتحليل الجنائي– تحديد التهديدات من خلال التحليل السلوكي القائم على التعلم الآلي، وتجميع ديناميكي للأقران والكيانات لتحديد الأفراد المشتبه بهم، واكتشاف الحركة الجانبية.
• استكشاف البيانات، والتقارير، والاحتفاظ– الاحتفاظ غير المحدود ببيانات السجلات مع تسعير ثابت، مستفيدًا من تكنولوجيا بحيرة البيانات الحديثة، مع تحليل سجلات مدرك للسياق يساعد محللي الأمن في العثور بسرعة على ما يحتاجون إليه.
• صيد التهديدات– تمكين المحللين من البحث بنشاط عن التهديدات. يوفر واجهة صيد تهديدات بنقطة ونقر، مما يجعل من الممكن بناء القواعد والاستعلامات باستخدام اللغة الطبيعية، دون الحاجة إلى معالجة SQL أو NLP.
• استجابة الحوادث وأتمتة مركز العمليات الأمنية– نهج مركزي لاستجابة الحوادث، يجمع البيانات من مئات الأدوات وينظم استجابة لأنواع مختلفة من الحوادث، عبر كتيبات الأمان. يمكن لـ Exabeam أتمتة التحقيقات وعمليات الاحتواء والتخفيف.

يكتشف حل تحليل سلوك المستخدمين والكيانات (UEBA) من Exabeam السلوكيات الشاذة والحركات الجانبية داخل مؤسستك، وهو أمر مهم بشكل خاص لاكتشاف التهديدات الداخلية. يقوم النظام تلقائيًا بإنشاء جداول زمنية للهجمات، مما يسهل ويسرع عملية الكشف عن المستخدمين الداخليين الذين يعملون عبر أنظمة متعددة وحسابات مستخدمين.