تهدید داخلی (Insider Threat) به تهدیداتی اطلاق می‌شود که از داخل سازمان یا سیستم به وقوع می‌پیوندند، معمولاً توسط افرادی که به‌طور قانونی به سیستم‌ها، داده‌ها و منابع سازمانی دسترسی دارند. این افراد می‌توانند شامل کارکنان، پیمانکاران، مشاوران یا حتی تأمین‌کنندگان باشند که به‌طور غیرمجاز یا عمدی دست به اقداماتی می‌زنند که به امنیت سازمان آسیب می‌رساند.

تهدیدات داخلی ممکن است شامل سرقت اطلاعات حساس، دستکاری داده‌ها، یا خرابکاری در سیستم‌های IT باشند. این نوع تهدیدات به دلیل آگاهی افراد از ساختارهای داخلی، دسترسی به اطلاعات حساس و منابع حیاتی و توانایی نفوذ به سیستم‌ها، می‌توانند به‌طور خاص خطرناک و دشوار برای شناسایی باشند.

چه کسی تهدید داخلی است؟

تهدید داخلی می‌تواند از سوی هر فردی که به منابع و اطلاعات سازمان دسترسی دارد، ایجاد شود. این افراد ممکن است کارکنان فعلی یا سابق سازمان، پیمانکاران، مشاوران یا حتی تأمین‌کنندگان باشند که به‌طور قانونی به سیستم‌ها و داده‌ها دسترسی دارند. تهدید داخلی شامل افرادی است که به‌طور عمدی یا غیرعمدی اقدام به دستکاری، افشای یا سرقت اطلاعات حساس می‌کنند. تهدیدات داخلی نه‌تنها از سوی کسانی که قصد تخریب سازمان را دارند بلکه از سوی افرادی که ممکن است دچار سهل‌انگاری، بی‌توجهی یا عدم رعایت پروتکل‌های امنیتی شوند نیز رخ دهند.

انواع تهدیدات داخلی

تهدیدات داخلی عمدی

تهدیدات داخلی عمدی زمانی اتفاق می‌افتد که فردی در سازمان به‌طور آگاهانه و عمدی قصد آسیب رساندن به سازمان را داشته باشد. این نوع تهدیدات معمولاً به دلیل نارضایتی فرد از شرایط کاری، عدم برآورده شدن انتظارات شغلی مانند ترفیع یا پاداش، یا به دلایل شخصی دیگر صورت می‌گیرد.

این تهدیدات معمولاً بسیار جدی و خطرناک هستند زیرا افراد مرتکب این نوع تهدیدات به‌طور کامل از دسترسی‌های خود به سیستم‌ها و داده‌های سازمان آگاه هستند و می‌توانند آسیب‌های سنگینی به اعتبار و امنیت سازمان وارد کنند. برای جلوگیری از تهدیدات عمدی، نظارت مستمر بر فعالیت‌های داخلی، آموزش‌های امنیتی منظم و داشتن سیاست‌های کارمندی مشخص ضروری است.

تهدیدات داخلی غیر عمدی

تهدیدات داخلی غیر عمدی به‌دلیل خطا یا سهل‌انگاری کارکنان رخ می‌دهد و ممکن است به‌صورت تصادفی داده‌ها را به خطر بیندازد یا سیستم‌های سازمان را دچار آسیب کند. این نوع تهدیدات به دلیل اشتباهات انسانی، نظیر ارسال اطلاعات حساس به آدرس ایمیل اشتباه، کلیک روی لینک‌های مخرب یا باز کردن پیوست‌های آلوده به‌طور تصادفی رخ می‌دهد. از آنجا که این تهدیدات بر اساس بی‌توجهی یا ناآگاهی رخ می‌دهند، غالباً می‌توانند با پیروی از بهترین شیوه‌های امنیتی، مانند آموزش کارکنان در زمینه امنیت سایبری، به حداقل برسند.

این تهدیدات می‌توانند به‌طور گسترده‌ای داده‌های سازمان را در معرض خطر قرار دهند و برای مقابله با آن‌ها، ایجاد سیاست‌های دقیق امنیتی و پروتکل‌های آموزشی برای کارکنان ضروری است. حتی تهدیدات غیرعمدی اگر به‌درستی شناسایی نشوند، می‌توانند به آسیب‌های جدی منجر شوند، از جمله افشای اطلاعات حساس یا ورود به سیستم‌های آسیب‌پذیر که در نهایت می‌تواند منجر به تهدیدات بزرگتر امنیتی شود.

عاملان تهدیدات داخلی چگونه افرادی هستند؟

• Pawns یا گروگان ها

Pawns به کارمندانی اطلاق می‌شود که برای انجام فعالیت‌های مخرب سایبری توسط مهاجمان یا افراد دیگر فریب داده می‌شوند. این افراد اغلب از طریق مهندسی اجتماعی، فیشینگ یا سایر تکنیک‌های روانشناسی به دام می‌افتند و به اشتباه اعتبار کاربری خود را فاش می‌کنند یا نرم‌افزارهای مخرب را دانلود می‌کنند. هدف مهاجمان از استفاده از این افراد، نفوذ به سیستم‌ها و دسترسی به اطلاعات حساس سازمان است.

مهندسی اجتماعی چیست؟ چرا باید Social Engineering را جدی گرفت؟

• همکاران

همکاران کارمندانی هستند که به‌طور مستقیم با یک مجرم سایبری همکاری می‌کنند و از دسترسی‌های مجاز خود برای دسترسی به داده‌های حساس مانند اطلاعات مشتریان یا مالکیت معنوی استفاده می‌کنند. این نوع تهدیدات داخلی معمولاً انگیزه‌های مالی دارند، چرا که این افراد ممکن است برای دریافت پاداش یا سایر مزایای شخصی به این فعالیت‌ها دست بزنند. در برخی موارد، همکاران می‌توانند اطلاعات حساس را به رقبا یا سایر سازمان‌ها بفروشند، که باعث آسیب‌های مالی و شهرتی زیادی برای سازمان می‌شود.

• احمق ها

احمق‌ها کارمندانی هستند که به دلایلی مانند راحتی یا بی‌توجهی، قوانین امنیتی سازمان خود را نادیده می‌گیرند. این افراد ممکن است به‌طور تصادفی داده‌ها یا منابع حساس را در معرض تهدیدات قرار دهند، زیرا معتقدند که خود از سیاست‌های امنیتی مستثنی هستند. اعمال احمقانه این افراد، مانند استفاده از رمزهای عبور ضعیف یا عدم رعایت روش‌های ذخیره‌سازی امن، می‌تواند به مهاجمان دسترسی آسان به داده‌ها و سیستم‌های حساس فراهم کند. آموزش و نظارت دقیق بر این دسته از کارکنان می‌تواند به کاهش خطرات ناشی از آنها کمک کند.

چگونه یک تهدید داخلی را شناسایی کنیم؟

1. نظارت و کنترل بر دسترسی‌ها

برای شناسایی تهدیدات داخلی، نظارت مستمر بر فعالیت‌های شبکه امری ضروری است. این نظارت شامل شناسایی دسترسی‌های غیرعادی و فعالیت‌هایی است که خارج از استانداردهای معمول سازمان صورت می‌گیرد. به عنوان مثال، دسترسی‌های غیرمجاز به مناطق حساس شبکه یا استفاده از منابعی که به کارکنان مربوط نمی‌شود، می‌تواند نشان‌دهنده یک تهدید داخلی باشد.

2. شاخص‌های رفتاری تهدید داخلی

یکی از راه‌های شناسایی تهدیدات داخلی، تحلیل رفتار کارکنان است. کارکنان ناراضی یا کسانی که به دنبال تغییرات در شغل خود هستند، ممکن است به دسترسی‌های غیرمجاز یا دور زدن سیاست‌های امنیتی اقدام کنند. همچنین، کسانی که به طور مکرر از ساعت‌های غیرعادی برای انجام کار استفاده می‌کنند یا از همکاران خود انزجار نشان می‌دهند، نیاز به بررسی دقیق دارند.

3. ورود غیرعادی به شبکه

ورود به شبکه یا سیستم‌های سازمانی در زمان‌های غیرمعمول می‌تواند یک هشدار جدی باشد. به عنوان مثال، اگر یک کارمند در ساعت‌های پایانی شب یا زمانی که هیچ دلیلی برای ورود به سیستم وجود ندارد، وارد شبکه شود، این می‌تواند نشانه‌ای از تلاش برای دسترسی غیرمجاز به اطلاعات حساس باشد

4. افزایش غیرعادی ترافیک شبکه

ترافیک شبکه غیرعادی، به ویژه زمانی که فردی سعی دارد مقادیر زیادی داده را کپی کرده یا منتقل کند، یکی از نشانه‌های بارز تهدید داخلی است. این افزایش می‌تواند نشان‌دهنده انتقال اطلاعات حساس به مکان‌های غیرمجاز باشد که نیاز به نظارت و اقدام فوری دارد.

5. دستگاه‌های غیرمجاز و نرم‌افزارهای ناخواسته

استفاده از دستگاه‌های غیرمجاز مانند درایوهای USB یا نصب نرم‌افزارهای غیرمجاز در سیستم‌ها می‌تواند تهدیدات داخلی را نشان دهد. این نرم‌افزارها می‌توانند حاوی بدافزارهایی باشند که به مهاجم داخلی کمک می‌کنند تا به منابع حساس دسترسی پیدا کند یا داده‌ها را استخراج کند.

6. تغییرات غیرمجاز در سیستم‌ها و ابزارهای امنیتی

تغییرات غیرمجاز در فایروال‌ها یا ابزارهای آنتی‌ویروس می‌تواند یکی دیگر از نشانه‌های تهدیدات داخلی باشد. مهاجمان داخلی ممکن است برای هموار کردن مسیر دسترسی خود به سیستم‌ها، این تغییرات را ایجاد کنند. نظارت بر تنظیمات امنیتی سیستم‌ها از اهمیت ویژه‌ای برخوردار است.

7. تلاش‌های دسترسی به داده‌های حساس

هر زمانی که یک فرد تلاش می‌کند به بخش‌های حساس سیستم مانند سرورها یا دستگاه‌های ذخیره‌سازی داده‌های حساس دسترسی پیدا کند، باید به آن توجه ویژه‌ای داشته باشید. این دسترسی‌ها ممکن است با استفاده از اعتبارنامه‌هایی که توسط سازمان صادر شده‌اند، انجام شود و به راحتی توسط مهاجم داخلی برای سرقت اطلاعات حساس استفاده شوند.

جمع‌بندی…

شناسایی تهدیدات داخلی نیازمند نظارت دقیق بر فعالیت‌های غیرعادی در شبکه و رفتار کارکنان است. این تهدیدات می‌توانند شامل دسترسی‌های غیرمجاز، افزایش غیرعادی ترافیک شبکه، استفاده از دستگاه‌های غیرمجاز، تغییرات در ابزارهای امنیتی، و تلاش برای دسترسی به داده‌های حساس باشند. بررسی رفتار کارکنان، ورود به سیستم در زمان‌های غیرمعمول و نصب نرم‌افزارهای غیرمجاز نیز از شاخص‌های مهم برای شناسایی این تهدیدات است.