內(nèi)部威脅是對組織最大的內(nèi)部網(wǎng)絡(luò)威脅之一,因為它們往往被發(fā)現(xiàn)得太晚,而負(fù)責(zé)的個人可以訪問已發(fā)布或暴露的敏感信息。內(nèi)部威脅可能會引起各種規(guī)模和行業(yè)的組織的嚴(yán)重關(guān)切,因為它們可能導(dǎo)致嚴(yán)重的財務(wù)和聲譽損失,甚至法律處罰。
此外,內(nèi)部攻擊,無論是有意還是無意,通常都不在網(wǎng)絡(luò)保險的承保范圍內(nèi),因為它們是公司安全政策的失敗,而不是由外部網(wǎng)絡(luò)攻擊造成的。公司需要了解如何檢測潛在的內(nèi)部威脅并減輕內(nèi)部威脅的風(fēng)險,以及最終如何首先防止它們發(fā)生。這篇文章將介紹如何識別、管理、檢測和預(yù)防內(nèi)部威脅,以最大限度地降低內(nèi)部違規(guī)的總體風(fēng)險。
什么是內(nèi)部威脅?
內(nèi)部威脅是來自組織內(nèi)部的安全風(fēng)險,通常是由于個人的疏忽或惡意行為造成的。由于內(nèi)部威脅通常可以訪問關(guān)鍵業(yè)務(wù)信息,因此它被認(rèn)為是必須加以保護的高度關(guān)鍵的網(wǎng)絡(luò)威脅。
這些威脅非常難以查明,因為根據(jù)定義,內(nèi)部人員可以合法訪問組織的數(shù)據(jù),在某些情況下,還可以訪問關(guān)鍵資產(chǎn)。他們對公司的安全政策、數(shù)據(jù)存儲位置以及在某些情況下如何繞過安全協(xié)議有廣泛的了解。
可能構(gòu)成威脅的個人并不嚴(yán)格限于員工——他們可以包括曾經(jīng)接觸過機密或?qū)S行畔⒌娜魏稳耍?/p>
- 董事會成員
- 行政領(lǐng)導(dǎo)
- 利益相關(guān)者
- 投資者
- 前員工
- 第三方供應(yīng)商
即使威脅本身是偶然的,惡意威脅行為者或黑客等待利用糟糕的安全策略竊取公司機密數(shù)據(jù)、知識產(chǎn)權(quán)或商業(yè)秘密以實施欺詐、盜竊數(shù)據(jù)的可能性也會增加經(jīng)濟利益,或有目的的破壞。
內(nèi)部威脅的類型
內(nèi)部威脅主要分為三種類型:
- 意外或疏忽 - 意外或疏忽的內(nèi)部人員是由于人為錯誤或判斷失誤而在不知不覺中造成安全漏洞的員工。在大多數(shù)情況下,疏忽是由于缺乏監(jiān)督、沒有安全監(jiān)控和網(wǎng)絡(luò)安全培訓(xùn)不足造成的。
- 惡意 - 惡意的內(nèi)部人員通常是心懷不滿或出于惡意目的故意公開敏感數(shù)據(jù)的前雇員。他們的意圖是出于不滿、分歧或個人利益而破壞公司。
- 受損 - 受損的內(nèi)部人員甚至可能不知道他們已被破壞,這隨后會導(dǎo)致更多的安全問題和潛在的數(shù)據(jù)丟失。它們可能會因網(wǎng)絡(luò)釣魚攻擊、社會工程攻擊或惡意軟件攻擊而受到損害。
然而,內(nèi)部威脅并不僅限于疏忽或惡意的個人。那些知道但沒有報告可疑或惡意活動的人也可以被視為同謀和主要威脅的延伸。
識別內(nèi)部威脅的跡象
內(nèi)部威脅通常很難檢測到,因為威脅來自擁有授權(quán)憑據(jù)的個人,這使得跟蹤未經(jīng)授權(quán)或可疑的活動變得更加困難。訣竅是盡快識別異常活動跡象,以防止?jié)撛诘陌踩┒础?/p>
以下是最常見的內(nèi)部威脅指標(biāo)的一些示例:
- 心懷不滿的員工表現(xiàn)出負(fù)面行為
- 異常的帳戶活動或用戶行為
- 網(wǎng)絡(luò)流量中的隨機或無法解釋的峰值
- 不自然的數(shù)據(jù)下載
- 嘗試訪問受限文件或系統(tǒng)
- 發(fā)送給外部各方的可疑電子郵件或消息
- 在下班時間訪問文件或系統(tǒng)
- 使用未經(jīng)批準(zhǔn)的遠(yuǎn)程設(shè)備連接
組織如何檢測內(nèi)部威脅
對于許多組織而言,出于多種原因,檢測內(nèi)部威脅是風(fēng)險管理策略中最困難的部分。
首先,內(nèi)部人員通常可以直接訪問組織最關(guān)鍵數(shù)據(jù)的各個部分,并且通常不會被標(biāo)記為訪問該數(shù)據(jù)。
其次,如果員工是負(fù)責(zé)特定數(shù)據(jù)處理或通信職責(zé)的員工,那么他們犯下的一個簡單錯誤可能會被忽視。
第三,由于員工熟悉組織的安全控制和流程,心懷不滿的員工可以輕松繞過安全協(xié)議,在非法活動中不被發(fā)現(xiàn)。
以下是組織可以檢測潛在威脅并提前解決問題的幾種方法:
實施網(wǎng)絡(luò)和用戶監(jiān)控解決方案
在憑據(jù)被盜或泄露的情況下,很難檢測到主動網(wǎng)絡(luò)攻擊或數(shù)據(jù)泄露,因為黑客使用合法憑據(jù)獲得了對組織網(wǎng)絡(luò)的訪問權(quán)限。為了解決這個問題,公司必須監(jiān)控所有用戶活動和網(wǎng)絡(luò)流量,以實時檢測異常和可疑行為。
用戶和實體行為分析 (UEBA) 是一種安全解決方案,它使用高級分析通過跟蹤網(wǎng)絡(luò)和用戶行為模式來快速識別內(nèi)部威脅。UEBA 會立即標(biāo)記系統(tǒng)中的任何行為異常,例如未經(jīng)批準(zhǔn)的用戶角色更改、權(quán)限升級或可疑的數(shù)據(jù)訪問模式。
為了提高效率,系統(tǒng)管理員應(yīng)該考慮將 UEBA 解決方案與IDS(入侵檢測系統(tǒng))、EDR(端點檢測和響應(yīng))和SIEM(安全信息和事件管理)威脅檢測解決方案一起使用。
實施用戶身份驗證過程
身份驗證過程,例如多因素或雙因素身份驗證,可以大大降低來自內(nèi)部或外部各方的網(wǎng)絡(luò)攻擊的可能性。實施身份驗證有助于通過三種主要方式檢測內(nèi)部威脅:
- 如果未經(jīng)授權(quán)使用其憑據(jù),則向受感染的員工發(fā)出警報
- 創(chuàng)建數(shù)字蹤跡以跟蹤系統(tǒng)或資產(chǎn)被破壞的訪問點并查看訪問了哪些數(shù)據(jù)文件
- 識別不尋常的登錄模式或失敗的登錄嘗試
最有效的身份驗證方法之一是生物識別掃描,它會掃描員工的唯一定義特征,例如指紋、面部 ID 或語音簽名,這使其成為一個更加可靠的身份驗證系統(tǒng)。
最有用的身份驗證方法包括:
- MFA/2FA
- 密碼或代碼認(rèn)證
- 生物識別掃描
- 第三方移動應(yīng)用
- 單點登錄 (SSO)
- 基于代幣
- 基于證書
對員工進行安全培訓(xùn)和教育
建立安全意識是確保盡快識別和報告所有潛在內(nèi)部威脅的最佳方法之一。由于許多員工通常沒有接受過關(guān)于常見網(wǎng)絡(luò)威脅的教育,他們可能無法識別可疑活動,即使這些活動就在他們眼前發(fā)生。
特別是當(dāng)威脅是行為問題而不是可以跟蹤的數(shù)字問題時,關(guān)注員工的基層是檢測內(nèi)部威脅的最佳方法之一。此外,擁有一個渠道來報告所有與疏忽或惡意內(nèi)部威脅有關(guān)的潛在事件,使公司能夠在威脅變得更嚴(yán)重之前輕松監(jiān)控威脅。
組織如何防止內(nèi)部威脅
最終,內(nèi)部威脅預(yù)防來自于減輕內(nèi)部風(fēng)險并降低其發(fā)生機會的主動策略。組織需要制定全公司范圍的基線政策,以加強強大的 IT 安全實踐,不僅可以限制潛在內(nèi)部攻擊和數(shù)據(jù)泄露的影響,還可以從源頭上防止此類事件發(fā)生。
進行員工篩選
防止內(nèi)部威脅發(fā)生的最基本步驟之一是在雇用或授予訪問受限數(shù)據(jù)和系統(tǒng)的權(quán)限之前對員工進行篩選。這包括徹底的背景調(diào)查和審查,以確保員工之前沒有可能對公司構(gòu)成風(fēng)險的歷史。
應(yīng)該標(biāo)記的一些關(guān)鍵指標(biāo)是:
- 犯罪史
- 財務(wù)歷史(債務(wù)和付款歷史)
- 工作經(jīng)歷(之前的非自愿終止)
- 社交媒體存在(極端意識形態(tài)或負(fù)面聯(lián)想)
例如,需要安全許可的工作,如政府國防承包商或聯(lián)邦政府,必須經(jīng)過密集的背景調(diào)查和持續(xù)的審查程序,以確保允許員工訪問某些數(shù)據(jù)層。必須定期更新許可,以確保員工將風(fēng)險保持在最低水平。
如果任何行為或活動被標(biāo)記,這并不意味著員工應(yīng)該自動被標(biāo)記為內(nèi)部風(fēng)險。在做出最終決定之前,組織應(yīng)盡職盡責(zé)地監(jiān)督和審查員工。盡管大多數(shù)公司不需要像國家安全許可那樣嚴(yán)格的要求,但在允許訪問高度敏感的數(shù)據(jù)之前,公司必須對員工進行全面審查,即使他們在公司有很長的歷史。
監(jiān)控和審查所有員工行為
網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露的主要原因之一是人為錯誤和疏忽。錯誤可能導(dǎo)致數(shù)據(jù)泄露,如果沒有通過指揮鏈的審計和審查政策,錯誤可能不會被發(fā)現(xiàn)并導(dǎo)致更大的問題。
防止內(nèi)部威脅的最佳方法是實施一項政策,其中所有執(zhí)行的工作和采取的行動都經(jīng)過簽署和審查。這可以消除意外或疏忽的內(nèi)部風(fēng)險,尤其是在處理和傳輸關(guān)鍵數(shù)據(jù)時。
通過灌輸一種強大的溝通文化,在這種文化中,所有經(jīng)理、董事、部門負(fù)責(zé)人和執(zhí)行領(lǐng)導(dǎo)層都始終處于重大項目或事件的循環(huán)中,處于風(fēng)險中的內(nèi)部人員出現(xiàn)的機會微乎其微。然而,這也需要全面的網(wǎng)絡(luò)安全教育,以確保各方充分了解公司內(nèi)部的常見風(fēng)險和漏洞。
建立基于角色的訪問控制 (RBAC) 策略
通過將員工對某些系統(tǒng)或資產(chǎn)的訪問限制為僅那些絕對需要訪問它們的人員,組織可以防止員工在未經(jīng)授權(quán)的情況下試圖查看其管轄范圍或工作角色之外的數(shù)據(jù)。基于角色的訪問控制 (RBAC)或特權(quán)訪問的想法是向某些員工分配特定權(quán)限,以便僅根據(jù)他們的工作職責(zé)和要求訪問數(shù)據(jù)。
這也遵循零信任模型和最小特權(quán)原則,假設(shè)所有員工都有可能成為內(nèi)部威脅,并通過限制訪問主動防止最壞情況發(fā)生。此外,訪問控制策略可以通過限制允許員工訪問的數(shù)據(jù)范圍來阻止竊取當(dāng)前員工憑證的網(wǎng)絡(luò)犯罪分子。要訪問不同的文件,威脅行為者需要竊取或獲取多組憑據(jù)和特定員工才能成功執(zhí)行完整的數(shù)據(jù)泄露,這將很難實現(xiàn)。
定期審核和審查安全策略
組織總是在變化和成長,因此安全策略迅速過時的情況并不少見。應(yīng)定期審查與內(nèi)部威脅相關(guān)的安全政策包括:
- 審查員工篩選程序
- 審查事件響應(yīng)計劃
- 更新物理安全策略
- 進行系統(tǒng)漏洞測試
- 更新員工網(wǎng)絡(luò)意識培訓(xùn)
- 定義 IT 安全團隊的角色和職責(zé)
- 確保第三方供應(yīng)商、承包商和服務(wù)提供商都滿足最低安全要求
事件響應(yīng)計劃對于阻止?jié)撛诘膬?nèi)部威脅尤為重要。如果已報告或發(fā)現(xiàn)威脅,組織必須迅速采取行動減輕和消除威脅,以防止未經(jīng)授權(quán)訪問數(shù)據(jù)或破壞系統(tǒng)。通過定義應(yīng)對內(nèi)部威脅的具體行動計劃,組織可以防止這種情況成為內(nèi)部攻擊。
加密所有數(shù)據(jù)
假設(shè)黑客或惡意內(nèi)部人員已成功滲透到組織的網(wǎng)絡(luò)而未被發(fā)現(xiàn),經(jīng)過加密的敏感數(shù)據(jù)將阻止內(nèi)部人員查看或傳輸它。加密數(shù)據(jù)僅允許授權(quán)個人使用分配的解密密鑰讀取數(shù)據(jù)。
被盜或攔截的數(shù)據(jù)傳輸也將幫助組織檢測誰非法訪問了數(shù)據(jù),并看到對數(shù)據(jù)進行解密的重復(fù)嘗試。作為整體安全策略的一部分,對最關(guān)鍵的資產(chǎn)實施數(shù)據(jù)加密是內(nèi)部威脅預(yù)防計劃的主要部分。
文章鏈接: http://www.qzkangyuan.com/19998.html
文章標(biāo)題:如何檢測和防止內(nèi)部威脅
文章版權(quán):夢飛科技所發(fā)布的內(nèi)容,部分為原創(chuàng)文章,轉(zhuǎn)載請注明來源,網(wǎng)絡(luò)轉(zhuǎn)載文章如有侵權(quán)請聯(lián)系我們!
