Những tâm trí đáng ngờ: Các mối đe dọa nội bộ trong thế giới SaaS

Tác giả AI+, T.Tám 08, 2024, 07:02:50 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Mọi người đều yêu thích tình tiết điệp viên hai mang trong một bộ phim gián điệp, nhưng đó lại là một câu chuyện khác khi nói đến việc bảo mật dữ liệu của công ty. Dù cố ý hay vô ý, các mối đe dọa nội bộ vẫn là mối lo ngại chính đáng. Theo nghiên cứu của CSA, 26% công ty báo cáo sự cố bảo mật SaaS đã bị người trong cuộc tấn công.

Thách thức đối với nhiều người là phát hiện những mối đe dọa đó trước khi chúng dẫn đến vi phạm hoàn toàn. Nhiều chuyên gia bảo mật cho rằng họ không thể làm gì để tự bảo vệ mình khỏi người dùng được quản lý hợp pháp đăng nhập bằng thông tin xác thực hợp lệ bằng phương pháp MFA của công ty. Người trong cuộc có thể đăng nhập trong giờ làm việc thông thường và có thể dễ dàng biện minh cho quyền truy cập của họ trong ứng dụng.


Đưa ra tình tiết thay đổi: Với các công cụ phù hợp, doanh nghiệp có thể tự bảo vệ mình khỏi kẻ thù từ bên trong (và bên ngoài).

1. Ngăn chặn các mối đe dọa tập trung vào danh tính bằng ITDR

Trong bảo mật SaaS, nền tảng Phát hiện và phản hồi mối đe dọa danh tính ( ITDR ) sẽ tìm kiếm các manh mối hành vi cho thấy một ứng dụng đã bị xâm phạm. Mọi sự kiện trong ứng dụng SaaS đều được ghi lại bởi nhật ký sự kiện của ứng dụng. Những nhật ký đó được theo dõi và khi có điều gì đó đáng ngờ xảy ra, nó sẽ giương cờ đỏ, được gọi là Chỉ báo thỏa hiệp (IOC).

Với các mối đe dọa từ bên ngoài, nhiều IOC trong số này liên quan đến phương thức và thiết bị đăng nhập cũng như hành vi của người dùng sau khi họ có được quyền truy cập. Với các mối đe dọa nội bộ, IOC chủ yếu là những hành vi bất thường. Khi IOC đạt đến ngưỡng xác định trước, hệ thống sẽ nhận ra rằng ứng dụng đang bị đe dọa.

Hầu hết các giải pháp ITDR chủ yếu giải quyết vấn đề bảo vệ Active Directory tại chỗ và điểm cuối. Tuy nhiên, chúng không được thiết kế để giải quyết các mối đe dọa SaaS vốn đòi hỏi chuyên môn sâu về ứng dụng và chỉ có thể đạt được bằng cách tham khảo chéo và phân tích các sự kiện đáng ngờ từ nhiều nguồn.

2. Ví dụ về các mối đe dọa nội bộ trong thế giới SaaS

  • Trộm cắp dữ liệu hoặc đánh cắp dữ liệu: Tải xuống hoặc chia sẻ dữ liệu hoặc liên kết quá mức, đặc biệt khi được gửi đến địa chỉ email cá nhân hoặc bên thứ ba. Điều này có thể xảy ra sau khi một nhân viên bị sa thải và tin rằng thông tin đó có thể hữu ích trong vai trò tiếp theo của họ hoặc nếu nhân viên đó rất không hài lòng và có ý đồ xấu. Dữ liệu bị đánh cắp có thể bao gồm tài sản trí tuệ, thông tin khách hàng hoặc quy trình kinh doanh độc quyền.
  • Thao tác dữ liệu : Việc xóa hoặc sửa đổi dữ liệu quan trọng trong ứng dụng SaaS, có khả năng gây tổn thất tài chính, thiệt hại về danh tiếng hoặc gián đoạn hoạt động.
  • Lạm dụng thông tin xác thực : Chia sẻ thông tin xác thực đăng nhập với người dùng trái phép, cố ý hoặc vô ý, cho phép truy cập vào các khu vực nhạy cảm của ứng dụng SaaS.
  • Lạm dụng đặc quyền: Người dùng có đặc quyền lợi dụng quyền truy cập của họ để sửa đổi cấu hình, bỏ qua các biện pháp bảo mật hoặc truy cập dữ liệu bị hạn chế vì lợi ích cá nhân hoặc mục đích xấu.
  • Rủi ro từ nhà cung cấp bên thứ ba: Các nhà thầu hoặc nhà cung cấp bên thứ ba có quyền truy cập hợp pháp vào ứng dụng SaaS sử dụng sai quyền truy cập của họ.
  • Ứng dụng bóng tối: Người nội bộ cài đặt phần mềm hoặc plugin trái phép trong môi trường SaaS, có khả năng gây ra lỗ hổng hoặc phần mềm độc hại. Đây là điều vô tình nhưng vẫn được người trong cuộc giới thiệu.

Bản thân mỗi IOC này không nhất thiết chỉ ra mối đe dọa nội bộ. Có thể có những lý do hoạt động chính đáng có thể biện minh cho mỗi hành động. Tuy nhiên, khi IOC tích lũy và đạt đến ngưỡng xác định trước, các nhóm bảo mật nên điều tra người dùng để hiểu lý do tại sao họ thực hiện những hành động này.

3. Cách ITDR và SSPM phối hợp với nhau để ngăn chặn và phát hiện các mối đe dọa nội bộ

Nguyên tắc đặc quyền tối thiểu (PoLP) là một trong những phương pháp quan trọng nhất trong cuộc chiến chống lại các mối đe dọa từ nội bộ, vì hầu hết nhân viên thường có nhiều quyền truy cập hơn mức cần thiết.

Quản lý tư thế bảo mật SaaS (SSPM) và ITDR là hai phần của chương trình bảo mật SaaS toàn diện. SSPM tập trung vào phòng ngừa, trong khi ITDR tập trung vào phát hiện và ứng phó. SSPM được sử dụng để thực thi chiến lược Bảo mật ưu tiên danh tính mạnh mẽ, ngăn ngừa mất dữ liệu bằng cách giám sát cài đặt chia sẻ trên tài liệu, phát hiện các ứng dụng ẩn được người dùng sử dụng và giám sát việc tuân thủ các tiêu chuẩn được thiết kế để phát hiện các mối đe dọa nội bộ. ITDR hiệu quả cho phép các nhóm bảo mật giám sát người dùng tham gia vào hoạt động đáng ngờ, cho phép họ ngăn chặn các mối đe dọa nội bộ trước khi chúng có thể gây ra tổn hại đáng kể.