تعریف تهدیدات داخلی سایبری

تهدیدات داخلی ، در واقع نوعی حمله سایبری می باشد که از کارمندان و یا شبکه‌ها و سیستم‌های دسترسی مجاز برای کاربران در یک سازمان ، نشات می‌گیرد. یک تهدید داخلی می تواند یک کارمند فعلی یا سابق، مشاور، عضو هیئت مدیره و یا یک شریک تجاری باشد و می تواند عمدی، غیرعمدی یا مخرب باشد.

به طور معمول، اصطلاح تهدید داخلی در امنیت سایبری به شخصی اشاره دارد که از دسترسی مجاز خود به داده ها و منابع سازمان برای آسیب رساندن به تجهیزات، اطلاعات، شبکه ها و سیستم های شرکت استفاده می کند. این شامل فساد، جاسوسی، تخریب منابع، خرابکاری، تروریسم و افشای اطلاعات غیرمجاز است. همچنین می تواند نقطه شروعی برای مجرمان سایبری برای راه اندازی حملات بدافزار یا باج افزار باشد.

تهدیدهای داخلی برای سازمان ها به طور فزاینده ای پرهزینه هستند. تحقیقات هزینه تهدیدات داخلی یک موسسه در سال 2020 نشان داد که این نوع حمله به طور متوسط 11.45 میلیون دلار هزینه دارد و 63 درصد از تهدیدات داخلی ناشی از سهل انگاری کارکنان است.

انواع مختلف تهدیدات داخلی می تواند منجر به از دست دادن داده ها یا سایر سوء استفاده های امنیتی یک سازمان شود. تهدیدات داخلی سایبری شامل موارد زیر است:

تهدیدات داخلی عمدی :

تهدید عمدی خودی زمانی رخ می دهد که فردی قصد دارد عمداً به سازمان آسیب برساند. هدف بسیاری از تهدیدهای عمدی خودی می تواند عدم برآورده کردن انتظارات، مانند عدم دریافت پاداش یا ترفیع مورد نظر باشد.

تهدیدات داخلی غیر عمد :

تهدید ناخواسته خودی شامل گم شدن یا سرقت داده ها در نتیجه خطا یا سهل انگاری کارکنان است. تهدیدات داخلی غیرعمدی به دلیل خطای انسانی و اشتباهات کاربران اتفاق می افتد. این تهدیدات می تواند منجر به نشت داده ها، حمله امنیتی یا سرقت اعتبار شود. نشت داده‌های تصادفی شامل ارسال اطلاعات کسب‌وکار به آدرس ایمیل اشتباه، کلیک اشتباه بر روی لینک‌های مخرب یا باز کردن پیوست‌های مخرب در ایمیل‌های فیشینگ، یا عدم حذف درست اطلاعات حساس است. این تهدیدها اغلب با پیروی از بهترین شیوه های امنیتی قابل اجتناب هستند.

یک تهدید غیرعمد خودی سهل انگارانه از طریق بی احتیاطی رخ می دهد که منجر به قرار گرفتن سازمان در معرض تهدید می شود. به عنوان مثال، نادیده گرفتن سیاست‌های امنیتی و فناوری اطلاعات، قرار دادن نادرست دستگاه‌های ذخیره‌سازی قابل حمل، استفاده از رمزهای عبور ضعیف و نادیده گرفتن به‌روزرسانی‌های نرم‌افزار یا پچهای امنیتی می‌تواند سازمان‌ها را در برابر حملات سایبری آسیب‌پذیر کند.

• آنچه باید در مورد از دست دادن داده ها، نشت داده ها و نقض داده ها بدانید
• حملات تهدید مداوم پیشرفته (APT)

تهدیدات شخص ثالث :

تهدید شخص ثالث معمولاً شریک تجاری یا پیمانکاری است که امنیت سازمان را به خطر می اندازد. تهدیدهای شخص ثالث می تواند نتیجه فعالیت های سهل انگارانه یا بدخواهانه باشد.

تهدیدات داخلی مخرب :

تهدید مخرب نوعی از تهدیدات داخلی عمدی است که قصد دارد به نفع شخصی یا به عنوان یک عمل انتقام جویانه صدمه وارد کند.هدف از تهدیدات مخرب داخلی، افشای اطلاعات حساس، آزار مدیران شرکت، خرابکاری در تجهیزات و سیستم‌های شرکت، یا سرقت داده‌ها برای پیشرفت شغلی آنهاست. بسیاری از این تهدیدات مخرب انگیزه مالی دارند، زیرا کارکنان داده‌های شرکت را می‌دزدند تا به هکرها، سازمان‌های شخص ثالث یا شرکت‌های رقیب بفروشند.

تهدیدات داخلی تبانی کارانه (Collusive Threats) :

تهدید تبانی نوعی از تهدیدات داخلی مخرب است که در آن یک یا چند فرد از داخل سازمان با یک شریک خارجی برای به خطر انداختن سازمان خود کار می کنند. تهدیدهای خودی تبانی کارانه اغلب شامل یک مجرم سایبری است که یک کارمند را برای سرقت دارایی های اطلاعاتی برای منافع مالی استخدام می کند.

عاملان تهدید داخلی معمولاً به دو نوع گروه تقسیم می شوند:

• Pawns یا گروگان ها :

Pawns کارمندان شرکتی هستند که برای انجام فعالیت های مخرب سایبری مانند افشای اعتبار کاربری خود یا دانلود بدافزار تهدید و یا تشویق می شوند. این کارکنان اغلب از طریق مهندسی اجتماعی یا کمپین های فیشینگ توسط مهاجمان هدف قرار می گیرند.

• Turncloaks:

یک Turncloak کارمندی است که مداوم کارفرمای خود را زیر نظر دارد. Turncloaks اغلب برای سود مالی یا آسیب رساندن به یک سازمان عمل می کنند. با این حال، این کارمندان پوششی شامل افشاگرانی نیز می‌شوند که در خدمت جلب افکار عمومی به اشتباهات کارفرمای خود هستند.

دیگر عاملان تهدید داخلی عبارتند از:

• همکاران:

همکار کارمندی است که با یک مجرم سایبری همکاری می کند و از دسترسی مجاز آنها برای سرقت داده های حساس مانند اطلاعات مشتری یا مالکیت معنوی استفاده می کند. همکاران معمولا انگیزه مالی دارند یا اطلاعاتی را برای مختل کردن عملیات تجاری فاش می کنند.

• احمق ها:

کارمندی است که معتقد است از سیاست های امنیتی سازمان خود مستثنی است و آنها را دور می زند. چه از طریق راحتی و چه بی کفایتی، اقدامات احمق ها منجر به ناامن شدن داده ها و منابع می شود که به مهاجمان دسترسی آسان می دهد.

• گرگ تنها:

مهاجمان گرگ تنها به تنهایی برای هک سازمان ها یا جستجوی آسیب پذیری در کد و نرم افزار کار می کنند. آنها اغلب به دنبال به دست آوردن سطوح بالاتری از امتیازات، مانند گذرواژه های حساب کاربری پایگاه داده یا مدیر سیستم هستند که به آنها امکان دسترسی به اطلاعات حساس تر را می دهد.

زمانی که یک خودی به سازمان حمله سایبری می‌کند، گاهی اوقات نیاز به هک کردن سیستم‌های امنیتی یا راه‌اندازی زیرساخت‌های سخت‌افزاری یا نرم‌افزاری دارد تا دسترسی خود یا دیگران به سیستم شما را آسان‌تر کند. با دانستن چگونگی شناسایی تاکتیک‌ها و ابزارهایی که برای انجام این کار استفاده می‌کنند، می‌توانید حملات سایبری را شناسایی کرده و اقداماتی را برای کاهش آن انجام دهید. در اینجا برخی از نشانه های وجود تهدیدات آماده است :

بکدور Backdoor :

Backdoor امکان دسترسی به داده‌ها را فراهم می‌کند .برای یافتن بک در ، فایل‌های بک در را اسکن و یا سیستم خود را برای درخواست‌های خارجی هکرهایی که ممکن است سعی در استفاده از درب پشتی داشته باشند نظارت کنید.

درِ پشتی یا بَک‌دُر (Backdoor ) در علوم رایانه به راهی گفته می‌شود که بتوان از آن بدونِ اجازه به قسمت/قسمت‌های مشخصی از یک سامانهٔ دیگر مانند رایانه، دیوار آتش، یا افزاره‌های دیگر دست پیدا کرد.

سخت افزار یا نرم افزارهایی که دسترسی ریموت را فعال می کند:

به نرم افزارهای دسترسی ریموت مانند TeamViewer یا AnyDesk توجه کنید و سرورهای فیزیکی نصب شده در اطراف سازمان را بررسی کنید.

رمزهای عبور تغییر یافته:

هر زمان که رمز عبور قدیمی کاربر کار نمی کند و یا بدون آگاهی کاربر تغییر کرده است . دلیل این امر را بررسی نمایید . زیرا ممکن است یک مهاجم داخلی آن را تغییر دهد تا بتواند به منابع مجاز برای کاربر حق دسترسی پیدا کند.

تغییرات غیرمجاز در فایروال ها و ابزارهای آنتی ویروس:

هر زمان که تنظیمات فایروال یا آنتی ویروس تغییر می کند، می تواند نتیجه تلاش یک مهاجم داخلی برای هموار کردن دسترسی آسان برای سیستم شما باشد.

بدافزار:

اگر بدافزار را کشف کردید، بهتر است بررسی کنید که چه زمانی و کجا نصب شده است. می تواند توسط یک خودی در آنجا قرار داده شود.

نرم‌افزار غیرمجاز:

وقتی نرم‌افزار غیرمجاز نصب می‌شود، در بسیاری از موارد، بی مشکل است . اما می تواند یک ویروس تروجان باشد که حاوی بدافزار پنهان است.

تلاش‌های دسترسی به سرورها یا دستگاه‌های دارای داده‌های حساس:

هر زمانی که فردی سعی می‌کند به یک منطقه حساس از شبکه شما دسترسی پیدا کند، می‌تواند یک تهدید داخلی باشد، به ویژه به این دلیل که اغلب برای انجام این کار به اعتبارنامه‌هایی نیاز دارید که توسط سازمان صادر شده است.