مؤشرات التهديد الداخلي: اكتشاف العدو الداخلي

تسعى المؤسسات جاهدةً لحماية بياناتها ومعلوماتها الحساسة. وتُخصّص العديد منها موارد هائلة لتدابيرها الدفاعية السيبرانية، وتُشكّل مركز عمليات أمنية (SOC) لحماية نفسها من الهجمات السيبرانية.

بينما تعتبر الهجمات الإلكترونية تهديدًا للشركات، إلا أنها ليست شائعة كما أن التهديدات الداخلية التي يصعب اكتشافها أكثر خطورة. في هذه المقالة، نقدم لك معلومات حول التهديدات الداخلية، بما في ذلك ما هي، والمؤشرات التي يمكن أن تساعدك في اكتشافها، وأفضل الأدوات التي توفر الحماية ضدها.

القراءة الموصى بها:تحليلات البيانات الكبيرة للأمن: الماضي والحاضر والمستقبل.

ما هو التهديد الداخلي؟

التهديد الداخلي هو نشاط خبيث يستهدف المنظمات وينفذه أشخاص يعملون في تلك المنظمة. عادةً ما يكون المشتبه بهم في هذه السيناريوهات موظفين أو متعاقدين لديهم وصول إلى شبكة المنظمة، بما في ذلك قواعد البيانات والتطبيقات.

أنواع التهديدات الداخلية

هناك عدة طرق يمكن أن يصبح بها الفرد الموظف في الشركة تهديدًا داخليًا.

• مستخدم داخلي خبيث– فرد يستغل وصوله وبيانات اعتماده للقيام بأنشطة ذات نية خبيثة، عادة على شكل سرقة معلومات لتحقيق مكاسب مالية وشخصية
• المستخدم غير الحذر– شخص يخلق ثغرات دون علم أو عن طريق الخطأ ويعرض النظام أو الشبكة لتهديدات خارجية. هذا هو أكثر أنواع التهديدات الداخلية شيوعًا لأنه يمكن أن يحدث لأي شخص دون نية من خلال النقر على رابط مضلل أو نسيان وحدة تخزين تحتوي على معلومات حساسة.
• المتسلل الداخلي– شخص خارجي تمكن من الحصول على وصول داخلي من خلال التظاهر بأنه مستخدم لديه حق الوصول الشرعي مثل موظف أو متعاقد أو شريك. يمكن أن يشمل ذلك التجسس الصناعي.

نصائح من الخبير

ستيف مور هو نائب الرئيس ورئيس استراتيجيات الأمن في إكزبيم، يساعد في تقديم الحلول لاكتشاف التهديدات وتقديم المشورة للعملاء بشأن برامج الأمن والاستجابة للاختراقات. وهو مضيف بودكاست "The New CISO Podcast"، و عضو في Forbes Tech Council، ومؤسس مشارك لـ TEN18 at Exabeam.

من خلال تجربتي، إليك بعض النصائح التي يمكن أن تساعدك في اكتشاف وإدارة التهديدات الداخلية بشكل أفضل:

تتبع السلوك على مدى فترات طويلة
غالبًا ما تتكشف التهديدات الداخلية على مدى أشهر أو سنوات. استخدم UEBA لبناء ملفات تعريف سلوكية طويلة الأجل وابحث عن الانحرافات التدريجية عن الأنشطة الطبيعية، مثل زيادة الوصول ببطء إلى الأنظمة الحساسة أو نسخ كميات كبيرة من البيانات بانتظام.

دمج UEBA مع SIEM لتحسين السياق
استخدم UEBA جنبًا إلى جنب مع SIEM لإثراء البيانات السلوكية مع التنبيهات في الوقت الحقيقي من البنية التحتية الأمنية الخاصة بك. وهذا يوفر سياقًا أعمق للأنشطة غير العادية، مثل تصعيد الامتيازات أو نقل البيانات غير المتوقع، مما يساعدك على اكتشاف التهديدات الداخلية في وقت مبكر.

تحديث صلاحيات وصول المستخدمين بانتظام
مراجعة وتحديث امتيازات وصول المستخدمين بشكل متكرر لضمان أن الموظفين لديهم فقط الوصول الذي يحتاجونه لأدوارهم الحالية. إزالة الوصول بسرعة عند مغادرة الموظفين للمنظمة أو تغيير الأقسام لتقليل مخاطر التهديدات الداخلية.

نشر SOAR للاستجابة الآلية للحوادث الداخلية
تنفيذ أدوات التنسيق الأمني والأتمتة والاستجابة (SOAR) لأتمتة الاستجابات لمؤشرات التهديد الداخلي الشائعة. على سبيل المثال، يمكن أن تؤدي سير العمل الآلي إلى التشغيل عند اكتشاف نقل بيانات غير عادي أو أنماط وصول، مما يقلل من خطر تأخير الاستجابات.

تنفيذ DLP مع تنبيهات في الوقت الحقيقي لاستخراج البيانات
استخدم أدوات منع فقدان البيانات (DLP) مع المراقبة في الوقت الحقيقي لاكتشاف حركة البيانات غير العادية، خاصةً إلى أجهزة التخزين القابلة للإزالة أو المنصات السحابية الخارجية. هذا يوفر تنبيهات فورية حول سرقة البيانات المحتملة من قبل الداخلين.

أمثلة على مؤشرات التهديد الداخلي

أي شكل من أشكال السلوك غير المنتظم على مستوى النظام أو الشبكة الذي يشير إلى نشاط مشبوه سيشكل تهديدًا داخليًا. هناك العديد من مؤشرات التهديدات الداخلية، ومعرفة كيفية التعرف على الإشارات ومراقبة الموظفين هو جزء رئيسي من الوقاية من التهديدات الداخلية. تشمل الأمثلة ما يلي:

• تقييمات الأداء السيئة– عندما تبدأ تقييمات أداء الموظف فجأة في الانخفاض، قد تكون علامة على وجود موظف غير راضٍ فقد اهتمامه بعمله أو ولاءه للشركة. من ناحية أخرى، قد يتسبب تقييم الأداء السيئ في أن يشعر الموظف بالإهانة ويستغل وصوله لتعطيل عمليات المنظمة في محاولة "للانتقام" من الشركة.
• الخلافات في السياسات– الموظفون الذين يعبرون بصوت عالٍ عن خلافاتهم مع سياسات الشركة قد يصبحون تهديدات داخلية. يحدث هذا عادةً عندما يقررون اتخاذ إجراءات لتشجيع الشركة على إجراء التغيير في السياسات التي يرغبون بها.
• موظفون غير راضين— الموظفون الذين يتجادلون بشكل متكرر ويدخلون في صراعات مع زملائهم والمشرفين يمكن أن يخرجوا إحباطهم بطرق قد تسبب ضرراً للمنظمة. المزيد من الطرق لاكتشاف الموظفين غير الراضين هي: انخفاض الأداء، المزيد من الأخطاء عن المعتاد، عدم الالتزام بالمواعيد النهائية، والوصول المتأخر باستمرار إلى المكتب.
• الضغوط المالية– الموظفون الذين يعانون من ضغوط مالية يتعرضون باستمرار للضغط. يمكن استغلالهم بسهولة من قبل الأطراف الخارجية. بيع البيانات القيمة لأطراف خارجية يمكن أن يكون محاولة لإدارة ديونهم.
• الكسب المالي المشبوه– الموظفون الذين يبدأون في إجراء مشتريات كبيرة مثل السيارات الجديدة التي تبدو أكثر تكلفة مما ينبغي أن يكونوا قادرين على تحملها في فئة رواتبهم يمكن أن يكونوا مصدر قلق. يجب مراقبتهم بعناية للتأكد من أنهم لا يتاجرون بمعلومات الشركة لتحقيق ربح.
• ساعات العمل غير العادية– الموظفون الذين يسجلون الدخول إلى الشبكة خارج ساعات العمل في أوقات مشبوهة، مثل منتصف الليل، قد يحاولون إخفاء نوايا خبيثة.
• السفر الدولي غير المعتاد– الموظفون الذين يبدأون فجأة في القيام برحلات متعددة إلى دول و/أو مدن أخرى قد يكونون متورطين في التجسس الصناعي. وغالبًا ما يُشار إلى هؤلاء الموظفين باسم الجواسيس لأنهم قد يكونون موظفين سريين لدى منظمات أخرى، سواء كانت صناعية أو حكومية، لسرقة المعلومات من شركات أخرى.
• مغادرة الشركة– أي شخص يغادر الشركة هو خطر محتمل لتهديد داخلي. من الممارسات الجيدة النظر في الأنشطة الشبكية السابقة لهؤلاء الأفراد والتأكد من أنهم لم يسيئوا استخدام وصولهم بأي شكل.
• الموظفون المتحمسون بشكل مفرط– الموظفون الذين يظهرون حماسًا مفرطًا قد يتصرفون وفقًا لأجندة سرية وسيسعون لإثبات قيمتهم لتوسيع وصولهم إلى البيانات في محاولة لإساءة استخدامها.

حلول كشف التهديدات الداخلية

التهديدات الداخلية أكثر غموضًا وصعوبة في الكشف عنها ومنعها مقارنة بالتهديدات الخارجية التقليدية. قد يثير طرف غير مصرح له يحاول الوصول إلى شبكة الشركة العديد من الأعلام الحمراء. ومع ذلك، فإن موظفًا سابقًا يبيع نفس المعلومات التي حاول المهاجم الوصول إليها لن يثير أي شيء. لهذا السبب، فإن العديد من التهديدات الداخلية لا يتم اكتشافها قبل أن تنفذ نواياها الخبيثة.

أكثر التهديدات الداخلية شيوعًا ليست مدفوعة بنية خبيثة، والأضرار التي تسببها غير مقصودة. للتعامل مع هذه الأنواع من التهديدات، يجب تطبيق حلول وسياسات أمنية معينة. على سبيل المثال، زيادة الرؤية في وصول المستخدمين وأنشطتهم تعتبر ممارسة جيدة للكشف والدفاع ضد التهديدات الداخلية.

استخدام UEBA للكشف عن مؤشرات التهديدات الداخلية

تحليل سلوك المستخدمين والكيانات (UEBA) يتتبع ويجمع ويحلل البيانات المستمدة من أنشطة الكمبيوتر والمستخدمين. يستخدم UEBA تقنيات متعددة لتمييز بين السلوكيات الطبيعية والمشبوهة.

لتمكينها من أداء هذه المهمة، تتطلب حلول UEBA فترة تعلم. بعد أن تتعلم UEBA الأنماط السلوكية الطبيعية، يمكنها الإشارة إلى الأنشطة المشبوهة التي لا تتناسب مع هذه الإرشادات. يمكن لحلول UEBA اكتشاف الأنشطة المشبوهة التي قد تشير إلى تهديدات داخلية، مثل السلوك غير المنتظم على الإنترنت، وأنشطة الوصول غير العادية، وإساءة استخدام بيانات الاعتماد، وعمليات تحميل أو تنزيل كبيرة للبيانات.

الوظيفة الأكثر أهمية لـ UEBA هي القدرة على اكتشاف الأنشطة المشبوهة التي قد تكون نتيجة لنوايا خبيثة، وتحديد الأفراد الذين يقومون بها كتهديدات داخلية قبل أن يتسببوا في أضرار كبيرة.

استخدام SOAR للكشف عن مؤشرات التهديدات الداخلية

أدوات التنسيق الأمني، الأتمتة، والاستجابة (SOAR) هي حلول للأمن السيبراني مصممة للسماح للمنظمات بجمع البيانات والتنبيهات حول التهديدات الأمنية التي يتم إنشاؤها من مصادر متعددة.

تستخدم العديد من المنظمات حلول SOAR ضمن مركز عمليات الأمن (SOC) لتعزيز أدوات الأمان الأخرى مثل إدارة معلومات الأمان والأحداث (SIEM). يمكن لمركز العمليات الأمنية استخدام الوظائف الآلية لـ SOAR للتعامل مع التهديدات بشكل أسرع وأكثر كفاءة بالإضافة إلى تقليل أعباء العمل على الموظفين وتوحيد عمليات الاستجابة للحوادث الأمنية.

يساعد نظام SOAR محللي مركز العمليات الأمنية (SOC) في اتخاذ القرارات ويجمع جميع المعلومات معًا. يمكن لنظام SOAR اكتشاف الأنشطة المشبوهة، مثل إنشاء مستخدمين متعددين في نظامك، ويسمح للمحللين في مركز العمليات الأمنية بتحديد كيفية التصرف ضد هؤلاء المستخدمين. بالإضافة إلى ذلك، يوفر نظام SOAR لمحللي مركز العمليات الأمنية كتيبات يمكنهم استخدامها لتشغيل سير العمل الآلي وأداء إجراءات متنوعة لاحتواء التهديدات والتخفيف منها. تقلل هذه القدرات من إمكانية التسبب في أضرار جسيمة.

استنتاج

حماية عملك من التهديدات الداخلية بنفس أهمية الممارسات التقليدية للأمن السيبراني التي تركز على التهديدات الخارجية. ومع ذلك، فإن التهديدات الداخلية غالبًا ما تكون أصعب بكثير في الكشف عنها من التهديدات الخارجية التي لا يمكن حجبها بواسطة برامج مكافحة الفيروسات وجدران الحماية. من خلال البحث عن مؤشرات التهديدات الداخلية، يمكنك البقاء في المقدمة والاستجابة لأحد أكبر التهديدات التي تواجه مؤسستك.

فيما يتعلق بحلول التهديدات، Exabeam تقدم قدرات مثل SIEM وUEBA وSOAR، والتي يمكن أن تساعد في التعرف على سلوك الموظفين المشبوهين الذي قد يشير إلى نية خبيثة. اقرأ المزيد عن حلول Exabeam لترى كيف يمكنك تطوير استراتيجية أمان أفضل وحماية بيئاتك وأنظمتك من مجموعة من التهديدات الداخلية والخارجية.