التهديدات الداخلية للأمن السيبراني – مقدمة قصيرة جداً

158 مشاهدة
9 دقائق

بينما يركز أغلب محترفو الأمن السيبراني على التهديدات الخارجية مثل البرامج الضارة وبرامج الفدية والمتسللين. ومع ذلك، فإن أحد أهم المخاطر وهو التهديدات الداخلية يأتي من داخل المؤسسة نفسها . للأسف، يصعب اكتشاف هذه التهديدات التي يسببها المطلعون من موظفي المؤسسة و الأطراف الثالثة. كما أن التخفيف منها قد يكون مكلفاً ويمكن أن تسبب أضراراً بالغة لسمعة المؤسسة وعملياتها. ترتبط هذه المخاطر بمستخدم داخلي يقد يكون مخولاً باستخدام النظام الذي يتم مهاجمته. وقد يكون الهجوم الداخلي متعمداً أو عرضياً. يتوزع المهاجمون الداخليون بين مسؤولين غير مدربين جيداً يرتكبون أخطاء، إلى أفراد يعرضون أمن الأنظمة للخطر عمداً. تمنع جدران الحماية آلاف الهجمات يومياً، ومع ذلك فإن أغلب الهجمات الناجحة يتم إطلاقها من قبل أشخاص من الداخل.

المخاطر الداخلية على أمن المعلومات

تشير المخاطر الداخلية إلى التهديدات المحتملة التي يشكلها الأفراد داخل المؤسسة، مثل الموظفين، الطرف الثالث و الشركاء التجاريين، الذين لديهم وصول مشروع إلى أنظمة المؤسسة وبياناتها. على عكس المهاجمين الخارجيين الذين يجب عليهم اختراق الدفاعات للوصول إلى البيانات الحساسة، فإن المطلعين لديهم بالفعل إمكانية الوصول، مما يزيد من خطورتهم. ويمكن أن تكون هذه التهديدات متعمدة أو غير متعمدة، ناجمة عن الإهمال. ولكن النتيجة واحدة، وهي خروقات البيانات، ضرر السمعة وتعطل الأعمال ومن أبرز المخاطر:

  • سرقة البيانات أو تسريبها: يمكن للموظفين الذين لديهم إمكانية الوصول إلى معلومات حساسة سرقة أو كشف البيانات عمداً أو عن طريق الخطأ. على سبيل المثال، قد ينقل الموظف الذي يغادر الشركة بيانات العملاء أو الأسرار التجارية إلى منافسين.
  • الاحتيال: يمكن للمطلعين ،من موظفي الأقسام المالية، التلاعب بالأنظمة لارتكاب الاحتيال، مثل الاختلاس أو تزوير السجلات لتحقيق مكاسب شخصية.
  • التخريب: قد يتعمد الموظفون الحانقون إتلاف الأنظمة أو حذف البيانات أو تعطيل العمليات قبل تركهم للعمل.
  • التصيد الاحتيالي: يمكن للمطلع الذي يقع ضحية لهجوم تصيد احتيالي أن يمنح مهاجماً خارجياً ، عن غير قصد، إمكانية الوصول إلى أنظمة وبيانات مهمة، مما يؤدي إلى حدوث خروقات أو هجمات برامج الفدية.

قد يكون من الصعب اكتشاف التهديدات الداخلية لأن المطلعين غالباً ما يستخدمون بالفعل إمكانية الوصول المشروع إلى الأنظمة والبيانات. وبالتالي فإن تحديد الأنشطة المشبوهة يغدو أمراً صعباً في هذه الحالة. يضاف لذلك، أن أولئك المطلعين لديهم معرفة بعمليات الشركة وأنظمتها وبروتوكولات الأمن، مما يعرقل محاولات اكتشافهم ويساعدهم على البقاء بعيدين عن الأنظار لفترة طويلة.

أنواع التهديدات الداخلية

  • مسببو الضرر عمداً: الأفراد الذين يستغلون عمداً الصلاحيات الممنوحة لهم لإلحاق الضرر بالمؤسسة. يمكن أن يشمل ذلك سرقة البيانات الحساسة، بيع الأسرار التجارية ، تخريب الأنظمة أو ارتكاب الاحتيال. غالباً ما يتصرف هؤلاء بدافع المكاسب الشخصية، الانتقام أو الأسباب المادية.
  • المهملون وضعيفو الكفاءة: لا يقصد المهملون سوء النية ولكن قد يتسببون عن غير قصد في إلحاق الضرر بالمؤسسة من خلال الفشل في اتباع سياسات الأمان أو إهمال ضوابط التعامل مع المعلومات الحساسة أو الوقوع ضحية لهجمات التصيد الاحتيالي. من الأمثلة على الإهمال، مشاركة كلمات المرور أو النقر على الروابط الضارة.
  • الطرف الثالث: ويشمل ذلك مزودي الخدمات وشركاء الأعمال الذين لديهم إمكانية الوصول إلى أنظمتك ولكنهم ليسوا موظفين لديك. وبالتالي، فهم لا يخضعون لنفس بروتوكولات الأمن التي تحكم الموظفين، مما يزيد من خطر إساءة الاستخدام العرضية أو الخبيثة لصلاحياته

تخفيف مخاطر التهديدات الداخلية

يتطلب التخفيف من هذه المخاطر جهوداً تجمع بين التكنولوجيا والسياسات ومراقبة السلوك البشري. ونستعرض يلي بعض الاستراتيجيات للحد من مخاطر التهديدات الداخلية:

ضوابط وصول قوية

يجب أن يكون مبدأ الحد الأدنى من الامتيازات (least privilege) أساساً لأي استراتيجية للتخفيف من التهديدات الداخلية. يجب أن يكون لدى الموظفين فقط إمكانية الوصول إلى البيانات والأنظمة الضرورية لأداء مهامهم الوظيفية، ويجب مراجعة حقوق الوصول بانتظام. من خلال الحد من الوصول، يمكنك تقليل الضرر المحتمل الذي يمكن أن يسببه المطلعون. كما يساعد فرض التحكم في الوصول القائم على الدور الوظيفي (RBAC) على ضمان حصول المستخدمين على المعلومات التي يحتاجون إليها لأداء وظائفهم دون زيادة. و تضيف المصادقة متعددة العوامل (MFA) طبقة من الحماية عند الوصول إلى البيانات أو الأنظمة الحساسة.

مراقبة سلوك المستخدم

تساعد أدوات تحليل سلوك المستخدم والكيان (UEBA) في الكشف عن أنماط السلوك غير العادية أو المشبوهة. يمكن تحديد التهديدات الداخلية المحتملة، من خلال مراقبة أنشطة المستخدم، مثل محاولات تسجيل الدخول أو الوصول إلى الملفات أو عمليات نقل البيانات الضخمة. لإتمام هذه المراقبة بنجاح يجب التنبه للأنشطة غير العادية، مثل الوصول إلى البيانات خارج ساعات العمل الاعتيادية أو تسجيل الدخول من مواقع متعددة أو عمليات نقل البيانات غير المصرح بها. كما يفيد في هذه الحالة قم استخدام أنظمة SIEM لربط البيانات من جميع أنحاء الشبكة واكتشاف مؤشرات التهديدات الداخلية.

    معالجة التهديدات الداخلية عبر السياسات الأمنية

    يجب أن يفهم الموظفون أدوارهم ومسؤولياتهم في حماية بيانات الشركة. تساعد سياسات الأمان الواضحة والمطبقة في التخفيف من التهديدات الداخلية غير المقصودة. لذلك، يجب تحديث السياسات بانتظام والتأكد من أن الموظفين على دراية بأهمية بروتوكولات الأمان. ولا يكفي وضع سياسات واضحة للوصول إلى البيانات واستخدامها ومشاركتها داخل الشركة لكن من المهم أيضاً التأكد من خضوع الطرف الثالث لنفس معايير الأمان المطبقة على الموظفين الداخليين.

    برنامج التوعية الأمنية

    يمكن أن يقلل التدريب المنتظم على التوعية الأمنية بشكل كبير من المخاطر الداخلية، وخاصة من المطلعين المهملين. يجب أن يغطي التدريب مجموعة متنوعة من المواضيع، بما في ذلك التصيد الاحتيالي، وأفضل ممارسات كلمة المرور، وحماية البيانات، وعواقب عدم الامتثال. كما يفيد في ذلك إجراء محاكاة منتظمة للتصيد الاحتيالي لتوعية الموظفين بشكل عملي حول كيفية اكتشاف رسائل التصيد الاحتيالي وتدريب الموظفين على كيفية تحديد الأنشطة المشبوهة والإبلاغ عنها.

    حلول منع فقدان البيانات (DLP)

    تراقب أدوات منع فقدان البيانات (DLP) وتتحكم في نقل البيانات الحساسة عبر موارد المؤسسة. يمكنها منع المستخدمين غير المصرح لهم من نسخ أو إرسال بريد إلكتروني أو نقل المعلومات الحساسة إلى أنظمة خارجية. يجب إعداد قواعد منع فقدان البيانات لمنع الوصول غير المصرح به إلى الملفات الحساسة أو منع مشاركة البيانات خارج المؤسسة. كما يجب دمج بروتوكولات التشفير للبيانات الحساسة أثناء النقل وفي حالة السكون للحماية من تسرب البيانات.

    إدارة مخاطر التهديدات الداخلية

    يجب على المؤسسات إنشاء برامج عمل للتخفيف من مخاطر التهديد الداخلي تتضمن سياسات للإبلاغ عن الأنشطة المشبوهة والتحقيقات ومسار واضح للتصعيد عند الضرورة. غالباً ما تتضمن هذه البرامج تعاوناً بين الأقسام المختلفة كالموارد البشرية وتكنولوجيا المعلومات والإدارة القانونية. ويتطلب ذلك ما يلي:

    • إنشاء نظام إعداد التقارير الذي يشجع الموظفين على الإبلاغ عن السلوك المشبوه دون الإفصاح عن هويتهم.
    • مراجعة وتحديث خطط الاستجابة للحوادث بانتظام لتشمل سيناريوهات التهديد الداخلي.
    • التأكد من أن الطرف الثالث لديه وصول مقيد إلى أنظمتك وأنه يخضع لنفس سياسات الأمان مثل موظفيك.
    • مراقبة أنشطة الأطراف الثالثة وراجع مستويات وصولهم بانتظام. كما يجب إجراء فحوصات أمنية على موظفي الطرف الثالث وفرض لعة تعاقدية تسمح بتنفيذ الالتزامات التي تجعلهم مسؤولين عن انتهاكات الأمان. ويضاف لذلك التدقيق المستمر على وصول الجهات الخارجية إلى البيانات الحساسة.

    كلمة أخيرة

    تعتبر المخاطر الداخلية مصدر قلق متزايد لأي مؤسسة مهما كان حجمها ونوع عملها. سواء كانت التهديدات الداخلية خبيثة أو عرضية، فإنها قد تؤدي إلى خرق البيانات، وخسارة مالية، وإلحاق الضرر بالسمعة وأحياناً ضرراً بالأشخاص. ومن خلال تنفيذ ضوابط وصول قوية، ومراقبة سلوك المستخدم، وإجراء تدريب منتظم، واستخدام أدوات أمنية مثل DLP وUEBA، يمكن للمؤسسات تقليل تعرضها للمخاطر الداخلية بشكل كبير. ولا يتعلق التخفيف من التهديدات الداخلية بالتكنولوجيا فحسب، بل يتعلق أيضاً ببناء ثقافة أمنية تمكن الموظفين من فهم المخاطر و التصرف بمسؤولية تجاهها.

    شارك المقال
    اضف تعليق

    اترك تعليقاً

    لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

    الأكثر قراءة

    أمن قواعد البيانات
    أمن قواعد البيانات – خطوات بسيطة نحو حماية أفضل
    أمن انترنت الاشياء
    أمن انترنت الأشياء IOT الاسباب والحلول
    تقييم المخاطر
    كيفية تقييم مخاطر الأمن السيبراني في خمس خطوات
    مبادئ أمن المعلومات
    مبادئ أمن المعلومات – العناصر الخمسة في AAA
    هجوم حقن قواعد البيانات SQL
    هجوم حقن قواعد بيانات SQL – دليل سريع للحماية
    الهجمات على الشبكات اللاسلكية
    التشفير في الشبكات اللاسلكية – طرق الحماية و حدودها
    المرونة الإلكترونية للحماية من المخاطر السيبرانية
    نهج عملي لإدارة المخاطر والمرونة الإلكترونية
    مراقبة الشبكة و تحليل البيانات
    مراقبة الشبكة – أنواعها، أدواتها و أهميتها في عالم الأعمال