ما المقصود بالتهديدات الداخلية؟

في حين أن التهديدات الخارجية أكثر شيوعًا وغالبًا ما تتصدّر العناوين الرئيسية للهجمات الإلكترونية، إلا أن التهديدات الداخلية قد تكون أكثر تكلفةً وخطورةً. ووفقًا لما ورد في تقرير تكلفة اختراق أمن البيانات، الصادر عن شركة IBM، كانت عمليات اختراق أمن البيانات التي نفذتها جهات داخلية خبيثة هي الأكثر تكلفة، بمبلغ يُقدر بحوالي 4,99 ملايين دولار أمريكي في المتوسط.

وكشف تقرير صدر مؤخرًا عن Verizon أنه في حين أن متوسط التهديد الخارجي يخترق حوالي 200 مليون سجل، فإن الحوادث التي تنطوي على جهة تهديد داخلية نتج عنها كشف مليار سجل أو أكثر.¹

لا تُعدّ جميع التهديدات الداخلية خبيثة؛ فقد توصلت دراسة معهد Institute for Business Value إلى أن الموظفين ذوي النوايا الحسنة قد يشاركون بيانات مؤسسية خاصة مع منتجات تابعة لجهات خارجية دون التأكد من مدى توافق هذه الأدوات مع متطلباتهم الأمنية. وتشير الدراسة أيضًا إلى أن 41% من الموظفين قد استخدموا أو عدّلوا أو ابتكروا تقنية دون علم فريق تكنولوجيا المعلومات أو فريق الأمن، ما أدى إلى وجود ثغرة أمنية خطيرة.

الجهات الداخلية الخبيثة هم موظفون حاليون ساخطون، أو موظفون سابقون ساخطون لم يتم إلغاء بيانات اعتماد وصولهم، يقومون عمدًا بإساءة استخدام وصولهم للانتقام أو لتحقيق مكاسب مالية أو كليهما. تتعاون بعض الجهات الداخلية الخبيثة مع أحد التهديدات الخارجية، مثل: القراصنة، أو المنافسين، أو الجهات الفاعلة من الدول القومية لتعطيل العمليات التجارية عن طريق زرع برنامج ضار أو التلاعب بالملفات والتطبيقات. بينما يركز آخرون على تسريب معلومات العملاء، أو الملكية الفكرية، أو الأسرار التجارية أو غيرها من البيانات الحساسة لصالح شركائهم الخارجيين.

بعض الهجمات الأخيرة التي تمت من خلال هجوم داخلي خبيث:

• في بداية جائحة كوفيد-19، استخدم موظف سابق ساخط في شركة تعبئة طبية حساب مسؤول مُنشأ مسبقًا لإنشاء حساب مستخدم جديد مزيف، ثم قام بتعديل آلاف الملفات بطريقة من شأنها تأخير أو إيقاف شحنات معدات الحماية الشخصية إلى المستشفيات ومقدمي الرعاية الصحية.
   

• في عام 2022 ، تم القبض على موظف في شركة X لإرساله معلومات خاصة لمستخدمي X إلى مسؤولين في المملكة العربية السعودية والعائلة المالكة مقابل رشاوى. ووفقًا لوزارة العدل الأمريكية، فإن الموظف "... تصرّف في الخفاء كوكيل لحكومة أجنبية تستهدف الأصوات المعارضة".

الجهات الداخلية المُهمِلة ليست خبيثة بطبيعتها، لكنها قد تُشكّل تهديدات أمنية عن غير قصد نتيجة الجهل أو الإهمال، مثل: الوقوع ضحية لهجوم تصيّد احتيالي أو تجاوز الضوابط الأمنية لتوفير الوقت. قد تؤدي سلوكياتها أيضًا إلى فقدان كمبيوتر محمول يمكن أن يستخدمه مجرم إلكتروني للوصول إلى شبكة المؤسسة أو إرسال ملفات حساسة عن طريق الخطأ عبر البريد الإلكتروني إلى أفراد خارجها.

ومن بين الشركات المشمولة بالاستطلاع في تقرير Ponemon لعام 2022 حول تكلفة التهديدات الداخلية عالميًا، نتجت معظم التهديدات الداخلية، بنسبة 56%، عن جهات داخلية مُهمِلة أو غير حذرة²

تعمل عناصر التهديد الخارجية على سرقة بيانات اعتماد مستخدمين مخوَّلين، مما يحولهم إلى جهات داخلية مخترَقة. وتُعدّ التهديدات التي يتم إطلاقها عبر الجهات الداخلية المخترَقة أكثر أنواع التهديدات الداخلية تكلفة، حيث تكلف الضحايا في المتوسط 804997 دولارًا أمريكيًا لمعالجتها، وفقًا لتقرير Ponemon.³

في كثير من الأحيان، تصبح جهات داخلية مخترّقة نتيجة لسلوكيات جهات داخلية مُهمِلة. على سبيل المثال، في عام 2021، استخدم أحد المحتالين أسلوب الهندسة الاجتماعية ، وتحديدًا مكالمة هاتفية للتصيّد الاحتيالي الصوتي، للحصول على بيانات اعتماد الوصول إلى أنظمة دعم العملاء في منصة التداول Robinhood. وقد سُرِق أكثر من 5 ملايين عنوان بريد إلكتروني للعملاء و2 مليون اسم عميل في الهجوم.

يتم تنفيذ التهديدات الداخلية، إما جزئيًا وإما كليًا، من قِبل مستخدمين معتمدين بالكامل، بما في ذلك المستخدمون ذوو الامتيازات. ويجعل هذا النهج من الصعب بشكل خاص التمييز بين مؤشرات تهديد وسلوكيات الجهات الداخلية الخبيثة أو المُهمِلة وأفعال المستخدمين العادية. ووفقًا لإحدى الدراسات، يستغرق الأمر من فِرق الأمن في المتوسط 85 يومًا لاكتشاف التهديد الداخلي واحتوائه ⁴، ولكن بعض التهديدات الداخلية قد تظل غير مكتشفة لسنوات.

لتحسين كشف واحتواء ومنع التهديدات الداخلية، تعتمد فرق الأمن على مزيج من الممارسات والتقنيات.

يمكن أن يساعد التدريب المستمر لجميع المستخدمين المخوَّلين على سياسة الأمان—مثل: ممارسات أمن كلمة المرور، والتعامل السليم مع البيانات الحساسة، والإبلاغ عن الأجهزة المفقودة—في تقليل مخاطر تهديدات الجهات الداخلية المُهمِلة. بالإضافة إلى ذلك، يمكن أن يخفف التدريب على الوعي الأمني حول مواضيع، مثل: التعرف على حيل التصيّد الاحتيالي وتوجيه طلبات الوصول إلى النظام أو البيانات الحساسة بشكل صحيح إلى التخفيف من حدة التأثير العام للتهديدات. على سبيل المثال، وفقًا لتقرير تكلفة خرق البيانات ، كانت التكلفة المتوسطة لاختراق أمن البيانات في الشركات التي وفرت تدريبًا للموظفين أقل بمقدار 285629 دولارًا أمريكيًا من الشركات التي لم توفر التدريب.

تركز إدارة الهوية والوصول (IAM) على إدارة هويات المستخدمين والمصادقة وأذونات الوصول بطريقة تضمن وصول المستخدمين والأجهزة المناسبة للأسباب الصحيحة في الوقت المناسب. وتركز إدارة الوصول المميز، وهو قسم فرعي ضمن إدارة الهوية والوصول (IAM)، على التحكم الدقيق في امتيازات الوصول الممنوحة للمستخدمين والتطبيقات والحسابات الإدارية والأجهزة.

تتمثل إحدى الوظائف الرئيسية لإدارة الهوية والوصول (IAM) لمنع الهجمات الداخلية في إدارة دورة حياة الهوية. ويعد تقييد أذونات الموظف المغادر الساخط أو إيقاف تشغيل حسابات المستخدمين الذين غادروا الشركة على الفور أمثلة على إجراءات إدارة دورة حياة الهوية التي يمكن أن تقلل من مخاطر التهديد الداخلي.

تطبيق تحليلات سلوك المستخدم (UBA) لتحليلات البيانات المتقدمة والذكاء الاصطناعي بهدف نمذجة سلوكيات المستخدم الأساسية والكشف عن الحالات غير الطبيعية التي قد تشير إلى تهديدات إلكترونية ناشئة أو مستمرة، بما في ذلك التهديدات الداخلية المحتملة. وتعمل تقنية وثيقة الصلة، وهي تحليلات سلوك المستخدم والكيان (UEBA)، على توسيع نطاق هذه القدرات للكشف عن السلوكيات غير الطبيعية في أجهزة استشعار إنترنت الأشياء (IOT) وغيرها من أجهزة نقطة النهاية.

يتم استخدام تحليلات سلوك المستخدم (UBA) بشكل متكرر مع إدارة المعلومات الأمنية والأحداث (SIEM)، والتي تقوم بجمع البيانات المتعلقة بالأمن من جميع أنحاء المؤسسة وربطها وتحليلها.

يستخدم الأمن الهجومي (المعروف اختصارًا بـ "OffSec") الأساليب العدائية، وهي نفس الأساليب التي تستخدمها العناصر السيئة في الهجمات الواقعية لتعزيز أمن الشبكة بدلًا من اختراقها. يقود المخترقون الأخلاقيون، وهم خبراء الأمن السيبراني الماهرون في تقنيات الاختراق، الأمن الهجومي من خلال تحديد ومعالجة عيوب نظم تكنولوجيا المعلومات، والمخاطر الأمنية، ونقاط الضعف في استجابة المستخدمين للهجمات الإلكترونية.

تشمل تدابير الأمن الهجومي التي تساهم في تعزيز برامج التصدي للتهديدات الداخلية محاكاة التصيّد الاحتيالي وممارسات الفريق الأحمر، حيث يقوم فريق من المخترقين الأخلاقيين بشن هجوم إلكتروني محاكٍ وموجه الأهداف على المؤسسة.