This post is also available in:
English
Khi thảo luận về an ninh con người, “Mối đe dọa nội bộ” là một thuật ngữ thường được nhắc đến. Nhiều tổ chức có các chương trình mối đe dọa nội bộ, nhưng định nghĩa về mối đe dọa nội bộ lại khác nhau đáng kể giữa các tổ chức. Cách bạn định nghĩa thuật ngữ này rất quan trọng vì nó ảnh hưởng trực tiếp đến cách bạn tiếp cận và triển khai các giải pháp. Mặc dù tôi sẽ không định nghĩa mối đe dọa nội bộ cho tổ chức của bạn, tôi hy vọng sẽ phác thảo các loại hình khác nhau có thể giúp bạn hiểu rõ hơn và giải thích cách các loại hình này ảnh hưởng đến các giải pháp mà bạn thực hiện.
Thế nào là một “Mối đe dọa nội bộ”?
Theo kinh nghiệm của tôi, các mối đe dọa nội bộ thường chia thành bốn loại. Điểm chung giữa chúng là tất cả đều liên quan đến một cá nhân được tin cậy – có thể là nhân viên, nhà thầu, thực tập sinh, hoặc tình nguyện viên. Việc bạn có bao gồm các nhà cung cấp bên thứ ba trong định nghĩa này hay không là tùy thuộc vào bạn, mặc dù họ thường được quản lý riêng bằng Quản lý Rủi ro Bên Thứ Ba (TPRM). Bốn loại đó bao gồm:
1. Nội gián
Nội gián là một cá nhân được tin cậy nhưng cố tình gây hại. Có nhiều động cơ khác nhau cho hành động này — lợi ích tài chính, trả thù, cái tôi cá nhân, và nhiều lý do khác. Những cá nhân này lợi dụng quyền truy cập của mình để gây thiệt hại. Một ví dụ điển hình là nhân viên rời công ty và mang theo thông tin nhạy cảm, chẳng hạn như dữ liệu khách hàng hoặc bí mật thương mại. Mặc dù những sự việc như vậy hiếm khi xảy ra, nhưng tác động của chúng rất lớn khi xảy ra. Điều thú vị là, bất kể các tổ chức định nghĩa mối đe dọa nội bộ như thế nào, loại hình này thường là trọng tâm chính của các chương trình quản lý mối đe dọa nội bộ.
2. Sự cẩu thả
Trong các trường hợp cẩu thả, thiệt hại không phải do cố ý gây ra mà là kết quả của việc không tuân thủ các chính sách và quy trình bảo mật. Ví dụ, ai đó có thể bỏ qua hoặc vượt qua các quy tắc bảo mật để hoàn thành công việc của mình, chẳng hạn như mang các tệp tin nhạy cảm về nhà trên máy tính xách tay cá nhân hoặc chuyển tiếp chúng đến tài khoản email cá nhân. Mặc dù họ biết rằng họ đang vi phạm chính sách, nhưng có thể họ cảm thấy điều đó là cần thiết để hoàn thành công việc. Điều này có thể cho thấy các chính sách bảo mật quá phức tạp, khó hiểu, hoặc cản trở các nhiệm vụ hàng ngày.
3. Mistakes
Human error is a significant driver of security breaches. Mistakes happen when people, in the course of their work, inadvertently cause incidents due to carelessness, lack of awareness, or inadequate training. A common example is what Verizon’s Data Breach Investigations Report (DBIR) calls “misdirection,” where an email is accidentally sent to the wrong person due to auto-complete features. For instance, you might intend to email Sarah from finance, but end up sending sensitive documents to your daughter’s basketball coach, who is also named Sarah. Though it might seem trivial, human errors like this account for 25% of breaches globally. This often suggests that technology or policies are too complicated, making such mistakes easier to make.
Lỗi của con người là một yếu tố quan trọng dẫn đến các vi phạm bảo mật. Sai lầm xảy ra khi mọi người, trong quá trình làm việc, vô tình gây ra sự cố do bất cẩn, thiếu nhận thức hoặc thiếu đào tạo đầy đủ. Một ví dụ phổ biến là điều mà Báo cáo Điều tra Vi phạm Dữ liệu (DBIR) của Verizon gọi là “gửi nhầm,” khi một email vô tình được gửi đến sai người do tính năng tự động điền. Chẳng hạn, bạn định gửi email cho Sarah ở phòng tài chính, nhưng lại vô tình gửi tài liệu nhạy cảm cho huấn luyện viên bóng rổ của con gái bạn, người cũng có tên là Sarah. Mặc dù có vẻ không đáng kể, nhưng những lỗi con người như vậy chiếm 25% các vụ vi phạm trên toàn cầu. Điều này thường cho thấy công nghệ hoặc chính sách quá phức tạp, khiến những sai lầm như vậy dễ xảy ra hơn.
4. Victim
In this category, the individual becomes a victim of an attack, such as falling for a phishing email or a vishing phone scam.
Define the Solution
The next step is to determine which of these categories fit your definition of an insider threat. This decision is yours to make. However—and this is a crucial point—different categories require different management approaches.
For malicious insiders, you manage the risk similarly to a counter-intelligence program. Start with thorough background checks to hire individuals likely to be trustworthy. Then, implement processes and controls to minimize the damage a trusted individual can inflict. Finally, actively search for signs of malicious behavior—this is challenging because these individuals are trusted, and their motivations or actions often differ from past incidents, making common indicators hard to identify.
For the other three categories—negligence, mistakes, and victimization—your approach should be the opposite. These individuals are good, trustworthy people who want to do the right thing. Your job is to empower them by simplifying security. This is where Security Awareness and Training programs play a vital role. By equipping people with the knowledge, skills, and tools they need, you enable them to use your organization’s technology safely and securely.
The strategy for handling malicious insiders should not only differ but might also need to be led by a separate team, as it requires a unique mindset and skill set. You are essentially hunting for harmful behavior. In contrast, when dealing with negligence, mistakes, and victimization, you are supporting and guiding good behavior.
Ultimately, how you define insider threat is up to you. My only request is that if you use the term “insider threat” or have an insider threat program, clearly define what it means for your organization and adjust your security measures accordingly.
About DT Asia
DT Asia began in 2007 with a clear mission to build the market entry for various pioneering IT security solutions from the US, Europe and Israel.
Today, DT Asia is a regional, value-added distributor of cybersecurity solutions providing cutting-edge technologies to key government organisations and top private sector clients including global banks and Fortune 500 companies. We have offices and partners around the Asia Pacific to better understand the markets and deliver localised solutions.
How we help
If you need to know more about Insider Threat, you’re in the right place, we’re here to help! DTA is SANS Institute’s distributor, especially in Singapore and Asia, our technicians have deep experience on the product and relevant technologies you can always trust, we provide this product’s turnkey solutions, including consultation, deployment, and maintenance service.
Click here and here and here to know more: https://dtasiagroup.com/sans/
