Mặc dù viễn cảnh mối đe dọa nội bộ nghe có vẻ là một chiến trường thảm khốc, nhưng thần may mắn vẫn chưa ngoảnh mặt với chúng ta, vẫn còn một vài biện pháp các tổ chức có thể áp dụng nhằm ít nhất một phần có thể giảm thiểu rủi ro:
1. Thiết lập một nền tảng vững chắc
Cuộc chiến chống lại những rủi ro gây ra bởi những mối đe dọa nội bộ được trang bị với một nền tảng vững chắc bao gồm cả các hoạt động an ninh và ứng phó sự cố. Trước khi có thể bắt đầu theo dõi mối đe dọa nội bộ, chúng ta cần phải đảm bảo rằng tổ chức tồn tại một chương trình bảo mật vững vàng, chiến lược phù hợp cùng với nhân sự, quy trình và công nghệ đạt tiêu chuẩn.
2. Thiết lập chuẩn hành vi
Trước khi tập trung vào việc phát hiện hành vi bất thường, chúng ta cần phải hiểu được những biểu hiện hành vi thông thường. Nếu chúng ta vẫn có những khoảng trống về tầm nhìn và không hiểu về hệ thống mạng của chính mình tại bất kỳ thời điểm nào, còn hy vọng gì để có thể tìm kiếm các mối đe dọa nội bộ bí ẩn?
3. Nguyên tắc đặc quyền tối thiểu
Đặc quyền tối thiểu là một nguyên tắc cơ bản mà tập trung vào việc cho phép người dùng chỉ truy cập vào các thông tin cần thiết cho công việc của mình. Nếu các thông tin nhạy cảm, bí mật, hoặc độc quyền dễ dàng được tự do truy cập, điều này vô tình tiếp tay cho những mưu đồ bất lương.
4. Quản lý hoạt động truy cập trái phép hoặc đáng ngờ
Ví dụ, một người dùng cố gắng tiếp cận dữ liệu mà họ không có quyền truy cập, hoặc một cá nhân truy cập vào một số lượng lớn hơn rất nhiều so với khối lượng dữ liệu bình thường. Rất nhiều dấu hiệu đáng báo động có thể được nghĩ đến, và đầu tư thời gian để đối phó với chúng có thể tiêu tốn rất nhiều nguồn lực.
5. Hãy tìm kiếm thông tin cá nhân có thể bị đánh cắp hoặc bị lợi dụng
Ví dụ, một người dùng truy cập vào cùng hệ thống từ nhiều nơi làm việc hoặc các địa điểm khác nhau trong một khoảng thời gian ngắn có thể là một tín hiệu ám chỉ rằng các thông tin cá nhân của họ đã bị đánh cắp, chia sẻ hoặc lợi dụng.
6. Hãy điều tra việc “dàn dựng”
Hãng bảo mật Trend Micro cho biết, số lượng lớn các thông tin của một hoặc nhiều cá nhân hay trên một hoặc nhiều thiết bị điểm cuối (endpoint) có thể ám chỉ kẻ nội gián đang chuẩn bị để thu thập dữ liệu đó. Hay một người dùng thường xuyên truy cập vào một số lượng nhỏ các thông tin đều đặn có thể là một dấu hiệu cho thấy người dùng đang tìm cách tích lũy một số lượng lớn các thông tin mà không muốn tạo ra dấu hiệu khả nghi nào.
7. Phát hiện việc chuyển trái phép các dữ liệu từ một máy tính (exfiltration)
Nên nhớ rằng chuyển trái phép dữ liệu có thể xảy ra trên một khe hở không gian (chẳng hạn như thông qua ổ đĩa USB) chứ không phải trên hệ thống mạng. Điều này đòi hỏi phải lưu ý trên cả hai traffic của mạng lưới và các hoạt động tại điểm cuối.
Các chuyên gia của Trend Micro cho biết, mối đe dọa nội bộ là một thách thức khó khăn hiện vẫn chưa tìm ra giải pháp khắc phục. Vẫn còn biện pháp một tổ chức có thể áp dụng nhằm giảm thiểu ít nhất một số các rủi ro gây ra bởi các mối đe dọa nội bộ. Trong khi chắc chắn đây chưa phải là giải pháp hoàn hảo, ý tưởng được đề cập trên có thể cùng đồng hành song song với nỗ lực giảm thiểu nguy cơ khác có thể là cách bảo vệ hiệu quả trước những mối đe dọa nội bộ. Trend Miro khuyên các tổ chức, cho đến khi tìm ra phương thức hoàn mỹ nhằm phát hiện mục đích xấu xa, chúng ta nên nhìn nhận giảm thiểu rủi ro là biện pháp ngăn chặn tốt nhất có thể làm.