التهديدات الداخلية في عالم SaaS
يحب الجميع حبكة العميل المزدوج في أفلام التجسس، لكن القصة مختلفة عندما يتعلق الأمر بتأمين بيانات الشركة. سواء كانت التهديدات الداخلية مقصودة أو غير مقصودة، فهي مصدر قلق مشروع. وفق أبحاث وكالة الفضاء الكندية، 26% من الشركات التي أبلغت عن حادث أمني SaaS تعرضت للصدمة من قبل أحد المطلعين.
التحدي الذي يواجه الكثيرين هو اكتشاف تلك التهديدات قبل أن تؤدي إلى انتهاكات كاملة. يفترض العديد من المتخصصين في مجال الأمن أنه لا يوجد ما يمكنهم فعله لحماية أنفسهم من مستخدم شرعي مُدار يقوم بتسجيل الدخول باستخدام بيانات اعتماد صالحة باستخدام طريقة MFA الخاصة بالشركة. يمكن للمطلعين تسجيل الدخول خلال ساعات العمل العادية، ويمكنهم بسهولة تبرير وصولهم داخل التطبيق.
جديلة تطور الحبكة: مع وجود الأدوات المناسبة، الشركات يستطيع حماية أنفسهم من العدو من الداخل (وخارجه).
تعرف على كيفية تأمين حزمة SaaS بالكامل من التهديدات الداخلية والخارجية
إخضاع التهديدات المتمحورة حول الهوية باستخدام ITDR
في أمان SaaS، اكتشاف تهديدات الهوية والاستجابة لها (ITDR) يبحث النظام الأساسي عن أدلة سلوكية تشير إلى تعرض التطبيق للاختراق. يتم التقاط كل حدث في تطبيق SaaS بواسطة سجلات أحداث التطبيق. تتم مراقبة هذه السجلات، وعندما يحدث شيء مريب، فإنه يرفع علامة حمراء تسمى مؤشر التسوية (IOC).
مع التهديدات الخارجية، يرتبط العديد من بطاقات IOC هذه بطرق وأجهزة تسجيل الدخول، بالإضافة إلى سلوك المستخدم بمجرد حصوله على حق الوصول. مع التهديدات الداخلية، تعتبر شركات النفط الدولية في المقام الأول حالات شاذة سلوكية. عندما تصل بطاقات IOC إلى عتبة محددة مسبقًا، يدرك النظام أن التطبيق تحت التهديد.
تتناول معظم حلول ITDR في المقام الأول حماية نقطة النهاية وحماية Active Directory المحلية. ومع ذلك، فهي ليست مصممة لمعالجة تهديدات SaaS، والتي تتطلب خبرة عميقة في التطبيق ولا يمكن تحقيقها إلا من خلال الإسناد الترافقي وتحليل الأحداث المشبوهة من مصادر متعددة.
أمثلة على التهديدات الداخلية في عالم SaaS
- سرقة البيانات أو استخراج البيانات: الإفراط في تنزيل البيانات أو الروابط أو مشاركتها، خاصة عند إرسالها إلى عناوين البريد الإلكتروني الشخصية أو أطراف ثالثة. قد يحدث هذا بعد أن يتم تسريح الموظف من عمله ويعتقد أن المعلومات قد تكون مفيدة في دوره التالي، أو إذا كان الموظف غير سعيد للغاية ولديه نوايا خبيثة. قد تتضمن البيانات المسروقة ملكية فكرية أو معلومات العملاء أو العمليات التجارية الخاصة.
- معالجة البيانات: حذف أو تعديل البيانات الهامة داخل تطبيق SaaS، مما قد يتسبب في خسارة مالية أو الإضرار بالسمعة أو تعطيل التشغيل.
- إساءة استخدام بيانات الاعتماد: مشاركة بيانات اعتماد تسجيل الدخول مع مستخدمين غير مصرح لهم، سواء عن قصد أو عن غير قصد، مما يسمح بالوصول إلى المناطق الحساسة في تطبيق SaaS.
- إساءة استخدام الامتيازات: يستفيد المستخدم المميز من حقوق الوصول الخاصة به لتعديل التكوينات أو تجاوز الإجراءات الأمنية أو الوصول إلى البيانات المقيدة لتحقيق مكاسب شخصية أو نوايا ضارة.
- مخاطر البائعين الخارجيين: المقاولون أو البائعون الخارجيون الذين لديهم حق الوصول الشرعي إلى تطبيق SaaS يسيئون استخدام وصولهم.
- تطبيقات الظل: يقوم المطلعون بتثبيت برامج أو مكونات إضافية غير مصرح بها داخل بيئة SaaS، مما قد يؤدي إلى ظهور ثغرات أمنية أو برامج ضارة. هذا غير مقصود ولكن لا يزال يتم تقديمه بواسطة أحد المطلعين.
لا تشير كل شركة من شركات النفط الدولية بمفردها بالضرورة إلى وجود تهديد من الداخل. قد تكون هناك أسباب تشغيلية مشروعة يمكن أن تبرر كل إجراء. ومع ذلك، مع تراكم بطاقات IOC ووصولها إلى حد محدد مسبقًا، يجب على فرق الأمان التحقيق مع المستخدم لفهم سبب قيامهم بهذه الإجراءات.
قم بإلقاء نظرة أعمق على كيفية عمل ITDR مع SSPM
كيف يعمل كل من ITDR وSSPM معًا لمنع التهديدات الداخلية واكتشافها
يعد مبدأ الامتياز الأقل (PoLP) أحد أهم الأساليب في مكافحة التهديدات الداخلية، حيث يتمتع معظم الموظفين عادةً بإمكانية وصول أكبر مما هو مطلوب.
تعد إدارة الوضع الأمني SaaS (SSPM) وITDR جزأين من برنامج أمان SaaS الشامل. يركز SSPM على الوقاية، بينما يركز ITDR على الكشف والاستجابة. يتم استخدام SSPM لفرض إستراتيجية قوية لأمن الهوية أولاً، ومنع فقدان البيانات من خلال مراقبة إعدادات المشاركة على المستندات، واكتشاف تطبيقات الظل التي يستخدمها المستخدمون ومراقبة الامتثال للمعايير المصممة لاكتشاف التهديدات الداخلية. تمكن ITDRs الفعالة فرق الأمن من مراقبة المستخدمين المنخرطين في نشاط مشبوه، وتمكينهم من إيقاف التهديدات الداخلية قبل أن تتسبب في ضرر كبير.
احصل على عرض توضيحي مدته 15 دقيقة وتعرف على المزيد حول ITDR وحالات الاستخدام المختلفة
ملحوظة:
إرسال التعليق