O wewnętrznych zagrożeniach pisaliśmy już w artykule tutaj. Skupiliśmy się w nim na wyjaśnieniu tematu od strony technicznej oraz wykryciu istniejącego już zagrożenia wewnętrznego. Teraz powiemy o 5 prostych krokach, które należy poczynić, aby ochronić swoją organizację przed tego typu atakiem.
1. Dokładnie sprawdzaj potencjalnych, nowych pracowników
Jednym z najlepszych sposobów zapobiegania atakom z wewnątrz jest zatrzymanie ich zanim jeszcze zdążą się pojawić. Oznacza to intensywne monitorowanie potencjalnych nowych pracowników, zanim zostaną wprowadzeni do firmy w celu wyeliminowania ewentualnych złośliwych aktorów. Jeśli organizacja nie ma wystarczających zasobów, aby przeprowadzić obszerne kontrole na zewnątrz, warto przyjrzeć się firmom, które świadczą takie usługi. Chociaż koszty mogą pewnie być odstraszające, bo nawet tysiące złotych za sprawdzenie pojedynczej osoby, to w porównaniu do kosztów związanych z włamaniem, czy wyciekiem wrażliwych danych, są jak najbardziej akceptowalne. Lepiej zapobiegać i robić co w naszej mocy, aby niechcący nie dopuścić hackera do wnętrza organizacji.
2. Używaj kont tymczasowych
Jeśli organizacja korzysta z usług firm trzecich lub pracowników na zlecenie, ważne jest aby wszyscy z nich używali kont tymczasowych. Konta te powinny być pod stałym, podwyższonym nadzorem i mieć ograniczony dostęp do zasobów. Następnie, gdy nie są już potrzebne powinny zostać usunięte lub wyłączone. Taka praktyka ograniczy ilość kont, a tym samym użytkowników, którzy są potencjalnymi aktorami niebezpiecznymi dla firmy.
3. Używaj oprogramowania do monitorowania zachowań użytkowników
Znacznie łatwiej jest wykrywać ataki wewnątrz sieci organizacji i zapobiegać im, monitorując wszystkich pracowników przez cały czas. Można skorzystać z oprogramowania do nagrywania sesji, które dostarczy nam szczegółowe informacje na temat codziennych czynności pracownika przy komputerze. Jego odwiedzane strony, uruchamiane aplikacje, wysyłane maile. Każde podejrzane działanie, czy dostęp do danych, do których nie powinien mieć dostępu wygeneruje alarm. Jeśli nie chcemy lub nie mamy narzędzi do nagrywania całej sesji, wystarczy monitoring logowań i autoryzacji do zasobów.
4. Dokonaj segmentacji sieci LAN
Próba pokrycia jedną siecią LAN wszystkich lokalizacji, działów i urządzeń w organizacji jest niezwykle trudna. W każdej dużej firmie ruch w sieci jest na tyle duży, że monitorowanie jego przepływu w jednej dużej konfiguracji w praktyce może być zupełnie nieefektywne. Szczególnie jeśli chcielibyśmy dokonać szczegółowej analizy pakietów. Właśnie dlatego segmentacja sieci LAN w oddzielne oddziały może być bardzo przydatna do ochrony sieci jako całości. Po wydzieleniu podsieci lokalnych, każdą z nich należy traktować jako niezależną od reszty, z własną izolacją, firewallem i monitoringiem. Każde połączenie między sieciami LAN powinno być traktowane jako połączenie z zewnątrz. Dzięki segmentom sieci LAN działającymi jako bezpieczne enklawy, możemy bezproblemowo monitorować ruch wewnątrz oraz między nimi, a co za tym idzie ułatwić powstrzymywanie ataków.
5. Edukuj pracowników na temat cyber zagrożeń
Nic tak nie pomoże w zmniejszeniu ryzyka ataków jak edukacja pracowników o cyber zagrożeniach. Główną tego przyczyną jest to, że nie wszystkie ataki z użyciem poświadczeń pracownika mają miejsce w wyniku posiadania przez firmę nieuczciwej osoby w swoich szeregach. Często zdarza się, że osoba padła ofiarą phishingu i jej konto firmowe zostało zdalnie wykorzystane. W tego typu scenariuszach pomocne byłoby nauczenie pracowników, jak odróżniać niebezpieczny, fałszywy mail od legalnego. Pisaliśmy o tym tutaj. Szkolenie pracowników nie tylko zapobiegnie zagrożeniom czyhającym na nich samych, ale też wyczuli ich na podejrzane zachowanie innych. Być może zauważą, że jeden ze współpracowników działa na niekorzyść firmy i planuje atak.