🕵️ Insider Threat Indicators

Система выявления признаков внутренних угроз

Текущий уровень риска

Низкий
0-25
Средний
26-50
Высокий
51-75
Критический
76-100
Общий риск-скор: 0 / 100
💼 Поведенческие индикаторы
  • Резкое изменение рабочего расписания (очень ранний/поздний доступ)
    +8
  • Попытки обойти политики безопасности
    +10
  • Негативные высказывания о компании/руководстве
    +6
  • Отказ от отпуска или передачи обязанностей
    +7
  • Конфликты с коллегами или руководством
    +9
  • Внезапное изменение финансового положения
    +5
💻 Технические индикаторы
  • Массовое скачивание конфиденциальных данных
    +12
  • Использование USB устройств для копирования данных
    +10
  • Доступ к системам вне рабочих обязанностей
    +8
  • Установка неавторизованного ПО (VPN, шифровальщики)
    +11
  • Отправка данных на личную почту/облако
    +9
  • Изменение или удаление логов активности
    +7
🔍 Контекстные индикаторы
  • Недавнее увольнение или понижение в должности
    +8
  • Отказ в повышении или премии
    +6
  • Контакты с конкурентами
    +7
  • Личные финансовые проблемы
    +5
  • Планируемое увольнение без уведомления
    +9
  • Изменения в личной жизни (развод, болезнь)
    +4
⚠️ Критические признаки
  • Попытки создания backdoor или скрытых учетных записей
    +15
  • Кража учетных данных других сотрудников
    +14
  • Физический вынос конфиденциальных документов
    +13
  • Саботаж систем или данных
    +12
  • Шантаж или угрозы в адрес компании
    +11

⏱️ Типичная эволюция инсайдерской угрозы

Ранняя стадия

• Недовольство работой
• Финансовые проблемы
• Конфликты с руководством
• Изучение возможностей

Эскалация

• Поиск уязвимостей
• Расширение привилегий
• Тестирование границ
• Сбор информации

Активные действия

• Кража данных
• Саботаж систем
• Продажа информации
• Сокрытие следов

🛡️ Стратегии реагирования

👁️
Мониторинг
Усиленный мониторинг активности подозреваемого без его уведомления
🔒
Ограничение доступа
Постепенное ограничение привилегий и доступа к критическим системам
💬
HR вмешательство
Привлечение HR для разрешения конфликтов и выявления мотивов
🚨
Немедленная изоляция
Блокировка всех доступов при критическом уровне угрозы
📸
Сбор доказательств
Документирование всех подозрительных действий для юридических целей
🔄
Ротация обязанностей
Перераспределение критических функций между несколькими сотрудниками

🔍 Правила детектирования для SIEM

Массовое скачивание файлов HIGH
Обнаружение аномального объема скачанных данных
index=file_access action=download | stats sum(file_size) as total_size count by user | where total_size > 1000000000 AND count > 100 | eval risk_score=case( total_size>5000000000, "CRITICAL", total_size>2000000000, "HIGH", 1=1, "MEDIUM" )
Доступ в нерабочее время MEDIUM
Выявление активности вне обычного расписания
index=authentication | eval hour=strftime(_time,"%H") | where (hour<6 OR hour>22) OR date_wday IN ("saturday","sunday") | stats count by user, date_wday, hour | where count > 10
Использование USB устройств HIGH
Мониторинг подключения съемных носителей
index=endpoint event_id=6416 OR event_id=4663 | where Object_Type="Removable Storage" | stats count sum(bytes_transferred) as total_bytes by user, device_id | where total_bytes > 100000000
Отправка на личную почту HIGH
Детектирование пересылки корпоративных данных
index=email | rex field=recipient "(?@.+)" | where NOT match(domain, "@company\.com$") | where attachment_size > 0 OR attachment_count > 0 | stats count sum(attachment_size) as total_size by sender, domain | where count > 20 OR total_size > 50000000