Hầu hết các tổ chức không tính đến khả năng tấn công mạng xảy ra do nguyên nhân đến từ các mối đe dọa nội bộ, nhưng theo Techrepublic, đe dọa nội bộ cũng là một vấn đề nghiêm trọng cần phải luôn lưu ý. Nhân viên bất mãn hoặc bị sa thải tìm cách trả thù, nhân viên chuyển sang làm việc cho đối thủ cạnh tranh, mang theo tài sản trí tuệ mà họ đã đánh cắp trước khi rời đi hoặc các nhà thầu không đáng tin cậy có thể tàn phá doanh nghiệp của bạn. Điều gì sẽ xảy ra nếu một tác nhân đe dọa bên ngoài cung cấp cho nhân viên của bạn khoản tiền lớn và yêu cầu họ chỉ cần thực hiện một hành động “dễ dàng” nào đó trên một trong các máy tính của công ty? Làm thế nào công ty sẽ phát hiện ra nó?
Chiến đấu và bảo vệ trước các mối đe dọa từ bên ngoài là thói quen hàng ngày của mọi chuyên gia bảo mật máy tính. Nó chiếm phần lớn thời gian, sức lực và ngân sách của nhân viên. Tuy nhiên, nhân viên an ninh không nên bỏ qua mối đe dọa từ nội gián - một mối đe dọa đáng tiếc là thường bị đánh giá thấp.
Các mối đe dọa nội gián có thể có nguồn gốc khác nhau, phổ biến nhất là nhân viên bất mãn hoặc tức giận; nhân viên bị sa thải hoặc nhân viên cũ vẫn có quyền truy cập vào mạng công ty; nhân viên rời khỏi công ty; một số nhân viên hoặc cựu nhân viên đó sẽ cố gắng sử dụng kiến thức của họ về công ty và dữ liệu mà họ có quyền truy cập để gây hại và ảnh hưởng đến tính bảo mật, tính toàn vẹn hoặc tính khả dụng của thông tin hoặc mạng quan trọng của tổ chức.
Một số nhân viên cũng sẽ muốn đánh cắp thông tin để sử dụng trong một công ty đối thủ cạnh tranh hoặc thậm chí bán cho các bên thứ ba quan tâm.
Tội phạm mạng tìm kiếm và tuyển dụng nhân viên của các công ty
“Bạn có muốn kiếm hàng triệu USD không?
Công ty của chúng tôi có được quyền truy cập vào mạng lưới của nhiều công ty khác nhau, cũng như những thông tin nội bộ có thể giúp lấy cắp dữ liệu có giá trị nhất của bất kỳ công ty nào. Bạn có thể cung cấp cho chúng tôi dữ liệu kế toán để truy cập vào bất kỳ công ty nào, ví dụ các thông tin đăng nhập và mật khẩu vào RDP, VPN, email công ty, v.v. Hãy mở thư của chúng tôi tại email của bạn …”
Đó là một mẩu tin tuyển dụng của hacker. Bất kỳ ai cũng có thể bị cám dỗ trước lời đề nghị đó và bán thông tin đăng nhập cho bất kỳ công ty nào mà họ cung cấp dịch vụ. Nhìn thấy số tiền mà các băng nhóm ransomware thu được, những nhân viên nội gián có thể mong đợi một khoản tiền lớn khi cung cấp quyền truy cập của công ty cho hacker.
Và đây là một mẩu tin tuyển dụng khác của hacker, với số tiền đưa ra rõ ràng ngày từ đầu: 1 triệu USD - tội phạm mạng sẽ trả 40% số tiền chuộc mà chúng nhận được trong phi vụ, tương đương khoảng 1 triệu USD, để nhân viên cài đặt ransomware Demonware trên bất kỳ máy tính hoặc máy chủ windows nào của công ty.
Yêu cầu hỗ trợ nội bộ để xâm nhập mạng công ty và cài đặt ransomware trên đó rõ ràng cho thấy kẻ tấn công thiếu kỹ năng kỹ thuật. Tuy nhiên, ngay cả một kẻ tấn công không có kinh nghiệm cũng có thể tung ra một số email độc hại và chỉ cần một người tin vào nó và cài đặt ransomware cũng có thể khiến công ty rơi vào tình huống nghiêm trọng, tất cả các tệp tin quan trọng của họ có thể bị mã hóa.
Thậm chí, Techtarget đưa tin mới đây một nhân viên tên Nickolas Sharp đã bị cáo buộc tấn công mạng vào công ty cũ, bằng cách đánh cắp dữ liệu bí mật của công ty, sau đó cố gắng tống tiền buộc công ty trả cho anh ta khoảng 2 triệu USD.
Làm thế nào để bảo vệ công ty trước các mối đe dọa từ nội bộ?
Trong những năm gần đây, tội phạm mạng với khả năng đột nhập mạng lưới, tiến hành các cuộc tấn công bằng ransomware đã cho thấy tấn công ransomware là một mô hình kinh doanh hiệu quả đối với chúng. Ngoài việc tin tặc tự xâm nhập vào công ty để thực hiện các hành động gian lận, nay đã xuất hiện mô hình các công ty “môi giới truy cập”. Những đối tượng này bán quyền truy cập của công ty cho bất kỳ ai trả tiền, khiến quyền truy cập trở thành một tài sản quan trọng đối với những người không có kỹ năng xâm nhập hệ thống ban đầu. Người trong cuộc có thể bán thông tin đăng nhập cho những loại tội phạm này để kiếm tiền dễ dàng, các nhà thầu làm việc cho nhiều công ty khác nhau thậm chí có thể bán một số thông tin xác thực này cho bên thứ ba.
Dưới đây là bốn cách ngăn chặn các mối đe dọa nội bộ tại tổ chức của bạn.
Thực thi các chính sách bảo mật mạnh mẽ để truy cập từ xa
Nhân viên thường cần truy cập các phần khác nhau trong mạng công ty, ngoài việc sử dụng quyền truy cập VPN của công ty. Họ cũng có thể sử dụng tài nguyên trên đám mây. Các chính sách bảo mật nên đặt ra hạn chế, nhân viên chỉ truy cập vào các tài nguyên họ cần cho công việc của họ, với các đặc quyền khác nhau: đọc, viết, chỉnh sửa.
Sử dụng xác thực đa yếu tố
Sử dụng xác thực đa yếu tố cho người dùng làm việc từ xa và cho người dùng có đặc quyền mở rộng đối với các tài sản hoặc bộ phận quan trọng của mạng.
Giám sát việc sử dụng mạng lưới
Triển khai các công cụ Phân tích hành vi của đối tượng và người dùng, công cụ này sẽ giúp hiển thị các hành động của nhân viên và giúp phát hiện các hoạt động đáng ngờ.
Xây dựng một quy trình chấm dứt nhân viên toàn diện
Các thủ tục như vậy phải rõ ràng và được thực hiện ngay khi nhân viên nghỉ việc. Đặc biệt, việc xóa tài khoản và thông tin đăng nhập truy cập vào mạng công ty phải được thực hiện càng sớm càng tốt.
Chiến lược chống rủi ro nội gián cần phù hợp với văn hóa công ty
Mối đe dọa nội gián thực sự là một mối đe dọa có thật và nguy hiểm không kém so với các mối đe dọa bên ngoài. Theo trang Scmagazine, ngay cả các công ty có các chương trình an ninh mạng mạnh mẽ đôi khi cũng có thể gặp khó khăn khi phát hiện các mối đe dọa đến từ bên trong tổ chức của họ. Todd Thorsen, giám đốc an ninh thông tin, quản lý rủi ro và tuân thủ tại Code42, cho rằng các doanh nghiệp đang tìm cách hoàn thiện các chương trình đe dọa nội gián cần tập trung vào năm lĩnh vực cốt lõi: đánh giá rủi ro, kiểm soát các bên liên quan (như nhà thầu, nhà cung cấp dịch vụ …), triển khai công nghệ và công cụ phù hợp, thiết lập các quy trình thích hợp, và thúc đẩy thông tin liên lạc cùng tính minh bạch.
Thorsen lưu ý rằng trong môi trường CNTT phức tạp, từ xa và kết hợp ngày nay, “điều quan trọng hơn bao giờ hết là hiểu và quản lý rủi ro nội gián trong tổ chức và biết dữ liệu của bạn đang ở đâu”.
Một vấn đề cần lưu ý là các nhà lãnh đạo an ninh cũng nên giải thích cách mọi chương trình chống đe dọa nội gián phù hợp với văn hóa doanh nghiệp hiện tại và không quá gây cản trở nhân viên hoàn thành công việc hàng ngày của họ. “Điều này thực sự quan trọng”, Thorsen nói. “Để thành công trong các chương trình bảo mật - và chắc chắn phải tính đến rủi ro nội gián - thì bạn cần phải có sự phù hợp về văn hóa”.
Để đảm bảo văn hóa thân thiện với người lao động, các nhóm bảo mật nên thận trọng khi thực thi chính sách, bởi vì nếu xảy ra sự cố và một nhân viên nào đó phải chịu trách nhiệm về việc mất hoặc rò rỉ dữ liệu, đơn giản là họ có thể cần được đào tạo tốt hơn chứ họ không phải là “nội gián”.
“Bởi vì vào cuối ngày, đây là tất cả đồng nghiệp và đối tác của chúng ta trong toàn tổ chức. Và bạn phải tính đến yếu tố phần lớn rủi ro nội gián không phải là độc hại”.
Các nhà lãnh đạo bảo mật có thể tìm kiếm các công cụ tích hợp công nghệ để giúp họ có thể phát hiện và phản ứng nhanh với những hoạt động do nhân viên độc hại gây ra. Thorsen cho biết: “API, tích hợp, quy trình làm việc - những thứ như vậy thực sự quan trọng giúp xây dựng góc nhìn rộng hơn về rủi ro nội bộ trong tổ chức”.
Quy trình điều tra về mối đe dọa nội gián nên “đảm bảo tính lặp lại và xử lý nhất quán, đồng thời loại bỏ thành kiến”, và vì vậy “việc có một quy trình được chính thức hóa và ghi chép lại sẽ giúp giảm bớt một số lo ngại khó xử”.
Thorsen cũng khuyên các công ty nên cân nhắc kết hợp các kịch bản quản lý rủi ro nội gián vào các bài tập và mô phỏng để giúp cải thiện và củng cố quy trình ứng phó sự cố khi các tình huống như vậy xuất hiện trong cuộc sống thực.
Cuối cùng, sự minh bạch là điều rất cần thiết để đảm bảo mọi người có cảm giác thiếu tin tưởng. Thorsen cho biết tính minh bạch có thể đạt được khi các nhóm bảo mật doanh nghiệp thiết lập và truyền đạt một chính sách ngay từ đầu, cũng như kết hợp các kịch bản ứng phó sự cố mối đe dọa nội gián vào các chương trình đào tạo nâng cao nhận thức về bảo mật.
“Và sau đó, hãy minh bạch với nhân viên của bạn về việc giám sát và tại sao điều đó lại quan trọng đối với tổ chức”, Thorsen tiếp tục. “Bạn không cần phải đi vào chi tiết về cách thức giám sát hoặc những công cụ nào được sử dụng, nhưng cần công bố rõ ràng chính sách từ đầu”.
