Что приводит к инсайдерским инцидентам подобным случаю в McAfee? 10.07.2019 09:56Инцидент в McAfee доказал необходимость решений для борьбы с инсайдерскими угрозами
Согласно сообщению, опубликованному на ZDNet, компания McAfee, занимающаяся вопросами защиты информации, подала в суд на трех своих бывших специалистов по продажам, обвинив их в краже конфиденциальной коммерческой информации и раскрытии ее конкуренту – компании Tanium. Эти обвинения показывают, что даже отрасль кибербезопасности не защищена от инсайдерских угроз, и для предупреждения подобных инцидентов необходимы специализированные решения управления инсайдерскими угрозами.
В документах, приложенных к иску, McAfee заявила, что специалисты по продажам, действовали по сценарию, получая доступ к конфиденциальной информации как до, так и после предупреждения об увольнении. Предполагается, что эти сотрудники отправляли эту информацию, включая закрытую информацию о продажах и маркетинговых стратегиях, на личную электронную почту, Google Drives и USB-диски. Несмотря на месяцы, потраченные на расследование, McAfee так и не смогла точно установить, какие файлы были раскрыты. Ниже приводится наше мнение о том, почему происходят подобные инциденты и как можно расследовать их быстро и эффективно.
Что приводит к инсайдерским инцидентам подобным случаю в McAfee?
Мотивация инсайдера может быть самой разной, от финансовой выгоды до мести и политических причин. В случае McAfee мотивом подозреваемых сотрудников мог стать сбор информации для нового работодателя, которая может пригодиться в конкурентной борьбе. В отраслях подобных отрасли ИБ царит высокая конкуренция, при этом она весьма доходная, что приводит к большим соблазнам для людей и компаний скачать и поделиться закрытой информацией. И источником инсайдерской угрозы может стать каждый, кто работает с ценной информацией. Бывшие сотрудники McAfee занимались поддержкой продаж и считались привилегированными пользователями, они регулярно имели дело с критическими сделками и ценной закрытой информацией. Компании должны понимать, что их конкурентное преимущество, их «секретный соус», заключается не только в промышленном дизайне и программном коде. Их конкурентное преимущество включает и продажи, и методы ценообразования, и маркетинговую стратегию. В компании MacAfee считают предположительно украденную информацию частью интеллектуальной собственности компании.
Как эффективно обнаруживать и расследовать инсайдерские угрозы
Часто компании считают, что унаследованных инструментов достаточно для защиты от инсайдерских угроз. В случае MacAfee компании не хватало возможности обнаруживать вредоносную пользовательскую активность в реальном времени. Компания MacAfee известна как разработчик DLP решений, при этом эксфильтрация данных была обнаружена спустя месяцы после последовательного увольнения высококвалифицированных специалистов по продажам.
К сожалению, большинство существующих инструментов безопасности нацелены на внешние угрозы, вредоносный код и защиту сети, и не способны обнаружить незаметную инсайдерскую угрозу, существующую в стенах компании. При этом специализированные решения для борьбы с инсайдерскими угрозами, подобные ObserveIT, нацелены на внутренние события и могут предоставить информацию об активности пользователя и действий с данными, что позволяет обнаружить потенциальные инциденты в реальном времени и быстро их расследовать.
В случае с MacAfee, вместо месяцев расследований в попытках установить основные факты (не зная при этом, какие файлы были в действительности украдены), подобное решение предоставило бы команде целую историю – точные данные о том, кто взял файлы, какие файлы, когда, откуда и зачем. Специалист по расследованию инцидентов кибербезопасности мог бы в течение нескольких часов, а не месяцев, собрать надежные доказательства с помощью решения подобного ObserveIT и легко экспортировать эти простые, понятные и наглядные данные в HR, юридический департамент и другим заинтересованным лицам.
Инсайдерские угрозы не должны захватить вашу компанию врасплох. Что сделала ваша команда, чтобы обнаружить ранние предупреждающие сигналы и иметь возможность быстро расследовать инсайдерские угрозы?