# Insider Threat Prevention ![Insider threat prevention software](https://www.manageengine.com/endpoint-dlp/images/insider-threat-banner.png) Insider threats ที่เกิดขึ้นจากภายในองค์กรสร้างความเสี่ยงอย่างมาก เพราะเกี่ยวข้องกับพนักงาน อดีตพนักงาน หรือคู่ค้าทางธุรกิจที่เข้าถึงข้อมูลสำคัญได้ ภัยคุกคามเหล่านี้อาจเกิดได้หลายรูปแบบ เช่น การขโมยข้อมูลโดยเจตนา การเปิดเผยข้อมูลโดยไม่ตั้งใจ หรือการก่อวินาศกรรม แม้มาตรการ cybersecurity แบบดั้งเดิมจะเน้นรับมือภัยคุกคามจากภายนอก เช่น malware และการพยายามแฮ็ก แต่ก็มักมองข้ามความเสี่ยงภายในที่เกิดจากบุคคลในองค์กร ## Insider Threats มีกี่ประเภท พร้อมตัวอย่าง? Insider threats คือความเสี่ยงด้าน cybersecurity ที่เกิดขึ้นจากภายในองค์กร ภัยคุกคามประเภทนี้เกิดขึ้นเมื่อผู้ใช้ที่มีสิทธิ์เข้าถึงข้อมูลของบริษัทอย่างถูกต้อง เช่น พนักงานหรือที่ปรึกษาจากภายนอก ใช้สิทธิ์ของตนในทางที่ไม่เหมาะสมจนทำให้ข้อมูลสำคัญรั่วไหลหรือถูกขโมย มีรายงานว่าองค์กรทั่วโลกประมาณ 70% พบเหตุการณ์ insider attacks เกิดขึ้นบ่อยครั้ง เหตุการณ์เหล่านี้อาจส่งผลร้ายแรงต่อธุรกิจ ทั้งด้านการสูญเสียความเป็นส่วนตัว ค่าปรับทางการเงินจากการฟ้องร้องที่อาจเกิดขึ้น รวมถึงผลกระทบต่อมูลค่าแบรนด์และความน่าเชื่อถือของบริษัท ### การโจมตีโดยเจตนา การโจมตีประเภทนี้เรียกอีกอย่างว่า turncloak และเกี่ยวข้องกับหลายบริษัทชื่อดังที่เคยถูกขโมยข้อมูลโดยอดีตพนักงาน เช่น Tesla และ SunTrust Bank นอกจากพนักงานแล้ว บุคลากรที่ผ่านการยืนยันตัวตน เช่น พาร์ทเนอร์หรือผู้รับเหมา ก็อาจมีส่วนเกี่ยวข้องกับ insider threats ได้เช่นกัน แรงจูงใจในการเปิดเผยข้อมูลสำคัญอาจมีดังนี้: 1. แลกเปลี่ยนเพื่อผลประโยชน์ทางการเงิน เช่น ขาย personally identifiable information (PII) ให้กับแอปทำฟาร์มข้อมูลที่ผิดกฎหมายหรือเว็บไซต์ของบุคคลที่สาม 2. ใช้ความรู้เฉพาะทางของธุรกิจเพื่อสร้างความได้เปรียบในการแข่งขัน เช่น ขโมยทรัพย์สินทางปัญญาไปใช้ในโปรเจกต์ของตนเอง 3. เปิดเผยข้อมูลส่วนตัวต่อสาธารณะเพื่อทำลายชื่อเสียงของบริษัทหลังถูกเลิกจ้างหรือพักงาน ### การรั่วไหลโดยไม่ตั้งใจ ภัยคุกคามประเภทนี้เกี่ยวข้องกับบุคคลภายในที่ประมาทเลินเล่อ ซึ่งอาจไม่ทราบว่าไฟล์ใดเป็นข้อมูลลับ หรือไม่ทราบว่าต้องปฏิบัติตามขั้นตอนใดบ้าง หรือแม้จะทราบกฎแล้วแต่ยังจัดการข้อมูลผิดพลาดโดยไม่ตั้งใจ สาเหตุหลักของความประมาทของบุคคลภายในและการรั่วไหลโดยไม่ตั้งใจ ได้แก่ human error อันตรายจากสภาพแวดล้อมที่ไม่ได้รับการควบคุม และความล้มเหลวของฮาร์ดแวร์ ## จะตรวจจับ Insider Threats ได้อย่างไร? การกำจัด insider threats ต้องอาศัยการสแกนอย่างต่อเนื่องเพื่อระบุตำแหน่งของข้อมูลลับและตรวจจับการกระทำของผู้ใช้ที่น่าสงสัย พฤติกรรมผู้ใช้ที่ผิดปกติอาจรวมถึงการพยายามเข้าถึงข้อมูลที่ไม่เกี่ยวข้องกับบทบาทของตน การอัปโหลดข้อมูลไปยัง application ที่ไม่ใช่ขององค์กร หรือการส่งข้อมูลผ่าน route ที่ไม่เป็นทางการ เช่น อีเมลส่วนตัว เพื่อปกป้ององค์กรของคุณจากความเสียหายที่เกิดจากบุคคลภายใน สามารถใช้ Endpoint DLP Plus เพื่อตรวจจับสัญญาณเตือนในโลกดิจิทัลได้อย่างมีประสิทธิภาพ และตอบสนองต่อพฤติกรรมที่ไม่เหมาะสมได้ทันที ## จะป้องกัน Insider Threats ได้อย่างไร? ### จัดหมวดหมู่ Application ว่าเหมาะสำหรับใช้งานในองค์กร application หลายประเภทถูกนำมาใช้ในการประมวลผลข้อมูล แต่ไม่ใช่ทั้งหมดจะปลอดภัย ควรจัดให้เฉพาะแอปที่มาจากผู้ให้บริการที่น่าเชื่อถือและจำเป็นต่อการทำงานของผู้ใช้เท่านั้นเป็นแอปที่เหมาะสำหรับองค์กร หากบุคคลภายในพยายามคัดลอกข้อมูลจากแอปขององค์กรไปยังแอปที่ไม่ได้รับการยืนยัน ไม่ว่าจะโดยตั้งใจหรือไม่ก็ตาม Endpoint DLP Plus จะบล็อกการกระทำนั้น ### ค้นหาและจัดประเภทข้อมูลสำคัญ Endpoint DLP Plus สแกนอุปกรณ์ Endpoint ที่มีการจัดการทั้งหมด และรวบรวมข้อมูลทุกประเภทที่พบ ไม่ว่าจะเป็นข้อมูลแบบ structured หรือ unstructured ข้อความและรูปภาพที่มี PII ข้อมูลทางการเงิน และเวชระเบียนสามารถตรวจพบและติดป้ายกำกับเป็นข้อมูลสำคัญได้อย่างแม่นยำ เนื่องจากการเปิดเผยข้อมูลสำคัญส่งผลร้ายแรงที่สุด การเพิ่มมาตรการป้องกันให้ข้อมูลเหล่านี้จะทำให้บุคคลภายในนำข้อมูลออกไปได้ยากขึ้น และช่วยยับยั้งการโจมตีได้ตั้งแต่ต้น ### บังคับใช้การป้องกันการอัปโหลดขึ้น Cloud เมื่อระบุข้อมูลสำคัญได้แล้ว ก็สามารถกำหนดกฎเพื่อควบคุมได้อย่างชัดเจนว่า Cloud application ใดบ้างที่อนุญาตให้อัปโหลดข้อมูลได้ Endpoint DLP Plus สามารถหยุดการส่งออกข้อมูลสำคัญผ่าน web browser ที่ไม่ได้รับอนุญาตไปยัง Cloud storage application ของบุคคลที่สามได้โดยอัตโนมัติ ### ป้องกันการถ่ายโอนข้อมูลสำคัญด้วยเครื่องมือ Clipboard หาก application บล็อกการถ่ายโอนข้อมูลสำคัญ ผู้ใช้อาจหันไปใช้ยูทิลิตีของบุคคลที่สาม เช่น เครื่องมือ clipboard เพื่อจับภาพหน้าจอของเนื้อหา ในสถานการณ์เช่นนี้ Endpoint DLP Plus จะยับยั้งการถ่ายโอนภาพหน้าจอจากพื้นที่ทำงานไปยังพื้นที่ดิจิทัลส่วนตัวได้ทันที ### ใช้มาตรการความปลอดภัยสำหรับอีเมล ข้อมูลที่แลกเปลี่ยนผ่านอีเมลต้องคงความเป็นส่วนตัว และควรอยู่ภายในขอบเขตขององค์กร Endpoint DLP Plus อนุญาตให้รวมเฉพาะโดเมนของบริษัทที่เชื่อถือได้และ Outlook clients เท่านั้น ดังนั้นหากผู้ใช้พยายามส่งข้อมูลบริษัทออกนอกเครือข่าย หรือใช้อีเมลส่วนตัวของตน ผู้ใช้จะต้องระบุเหตุผล และระบบจะแจ้งให้ผู้ดูแลทราบ ### จัดการการเข้าถึงข้อมูลผ่านอุปกรณ์ต่อพ่วง หากการถ่ายโอนข้อมูลผ่านช่องทางดิจิทัลไม่สำเร็จ ผู้กระทำอาจเลือกย้ายข้อมูลผ่านอุปกรณ์จริง ด้วย Endpoint DLP Plus ผู้ดูแลสามารถอนุญาตเฉพาะ USB และอุปกรณ์ต่อพ่วงของบุคลากรที่เชื่อถือได้ให้เข้าถึงข้อมูลได้ และยังจำกัดการดาวน์โหลดและการพิมพ์ข้อมูลสำคัญได้ด้วย การเชื่อมต่ออุปกรณ์อื่นที่ไม่ได้รับอนุญาตทั้งหมดจะถูกล็อกโดยค่าเริ่มต้น ### รับการแจ้งเตือนทันทีและ Audit แบบละเอียด หลังจากตั้งค่ากฎการป้องกันข้อมูลสูญหายแล้ว ทุกความพยายามในการหลีกเลี่ยงมาตรการเหล่านี้ เช่น การคัดลอกข้อมูลด้วย application ที่ไม่ได้รับอนุญาต หรือการส่งข้อมูลผ่านอีเมลที่ไม่ได้รับการยืนยัน จะถูกบล็อกและทำ Audit แบบเรียลไทม์เพื่อการวิเคราะห์เพิ่มเติม Endpoint DLP Plus ยังมี report แบบละเอียดและสรุปบน Dashboard ที่หลากหลาย ช่วยให้ผู้ดูแลเข้าใจแนวโน้มข้อมูลและพฤติกรรมผู้ใช้ภายในเครือข่ายได้ลึกยิ่งขึ้น ซึ่งช่วยระบุความผิดปกติที่อาจเกิดขึ้นได้ ## ทำไมต้องเลือก Endpoint DLP Plus สำหรับ Insider Threat Prevention? [Endpoint DLP Plus](https://www.manageengine.com/th/endpoint-dlp/index.html) เป็นโซลูชัน Insider Threat Prevention แบบครบวงจรที่มอนิเตอร์กิจกรรมของผู้ใช้อย่างต่อเนื่อง เช่น การถ่ายโอนข้อมูลผ่านการอัปโหลดขึ้น Cloud การแลกเปลี่ยนอีเมล และการใช้งานอุปกรณ์ ระบบใช้อัลกอริทึมขั้นสูงเพื่อระบุพฤติกรรมที่น่าสงสัยและสัญญาณของกิจกรรมภายในที่ไม่ชอบด้วยกฎหมาย เช่น การเข้าถึงโดยไม่ได้รับอนุญาตหรือรูปแบบการถ่ายโอนข้อมูลที่ผิดปกติ นอกจากนี้ Endpoint DLP Plus ยังมอบ console แบบรวมศูนย์ให้ผู้ดูแลสามารถกำหนดค่าและบังคับใช้ข้อจำกัดที่เข้มงวดเพื่อรับมือ insider threats ได้อย่างมีประสิทธิภาพ ด้วยการใช้การเฝ้าระวังที่แข็งแกร่งและมาตรการเชิงรุก องค์กรจึงสามารถปกป้องข้อมูลสำคัญและลดความเสี่ยงจาก insider threats ได้