Рекомендуемые меры безопасности и предосторожности при внутренних угрозах
В некоторых случаях можно использовать рекомендации и принять меры безопасности, приведенные в стандарте NIST 800-53. Их следует оценивать с учетом концепции внутренних угроз. (Для получения дополнительной информации см. PM-12. Программа борьбы с внутренними угрозами.).
1. Дайте SOC задание работать совместно с отделом кадров, чтобы сопоставить информацию о потенциальных внутренних угрозах, подходящих под архетип миномуси. SOC должны более внимательно отслеживать и проверять лиц с высоким уровнем риска, а также ограничивать их возможности. Также совместно с отделом кадров можно разработать ловушки для инсайдерских угроз, например файлы в общих сетевых ресурсах с надписью «ЗАПРЕЩЕНО, НЕ ОТКРЫВАТЬ», с помощью которых можно определить сотрудников, склонных к вербовке. (AC-2. Управление учетными записями | (13) Отключение учетных записей для лиц с высоким уровнем риска; AU-6. Аудиторский обзор, анализ и отчетность | (9) Корреляция с информацией из нетехнических источников; SC-26. Приманки.).
2. Используйте свою учетную запись для выполнения действий внутреннего злоумышленника (без использования «красной команды») над файлами и системами, которые, как вы знаете, не причинят вреда компании. Это может быть изменение или удаление данных, вставка ложных сведений или кража данных. Запишите, к каким системам и данным ваша учетная запись может получить доступ, а затем примените привилегированную учетную запись администратора или root-пользователя для выполнения привилегированных вредоносных действий. Например, вы можете создать нового администратора с несуществующим именем. Узнайте, может ли SOC обнаружить, какие данные вы украли, удалили или изменили в течение определенного времени, и проверьте качество их аудита выполненных вами действий. (AC-6. Наименьшие привилегии | (9) Аудит использования привилегированных функций; CA-2. Оценка безопасности | (2) Специализированные оценки.).
3. Обучите своих сотрудников опознавать вредительское поведение. Дайте сотрудникам возможность быстро и анонимно сообщать о возможных внутренних угрозах и сотрудниках, как и о фишинговых атаках. Проведите обучение по информированию о внутренних угрозах в рамках обычного обучения по вопросам безопасности. (AT-2. Осведомленность о безопасности | (2) Внутренние угрозы.).
