對于無休無止的威脅,我們往往將過多的精力放在了外部威脅上,對內部人員可能造成的威脅卻重視不足。
這可能是一種戰略性的錯誤,因為內部人員的威脅正在上升,而且與高級的外部攻擊有許多相同之處。安全團隊應當能夠以一種統一的方式同時解決外部人員和內部人員威脅,從而在最大程度上減少企業的總體風險。
安全專家普遍感到,內部人員威脅比外部威脅更難以檢測。
內部人員擁有網絡和資源的特權訪問。內部人員不像外部的攻擊者,惡意的內部人員不必找到漏洞、開發漏洞利用和惡意軟件,或者創建隱蔽的通道來管理攻擊。
其實,無論是惡意的內部人員還是高級的外部攻擊者,都可以繞過防御控制。
外部的攻擊者可能針對的是零日漏洞,并使用可以感知沙箱的惡意軟件來滲透到網絡,而惡意的內部人員只需用合法的憑據就可以登錄。
不管攻擊者是否獲得了特權,內部和外部的威脅必須尋找并獲得有價值的數據。無論是因為感染惡意軟件或背叛,這些活動很容易被觀察并與正常行為區分開。
因而,安全模型必須對威脅如何進入網絡和進入網絡后的動作保持高度警惕。通過監視網絡內部主機的行為,安全團隊可以快速地確定正在收集數據或在非正常時間訪問資源的主機。
例如,主機是否正在訪問平常并不到達的區域?有沒有跡象表明數據被遷移到其它位置?當然,也許是有管理員在內部傳輸數據,或者將數據復制到一個外部位置(如Dropbox)。
最聰明的安全團隊都知道,威脅事件往往與網絡中的關鍵資產緊密相連。除了要理解威脅,安全團隊需要知道威脅對企業的影響。在檢測到威脅時,受到損害的設備會給哪些資產帶來風險?可疑設備可以直接訪問關鍵資產嗎?這是安全團隊必須重視的問題。
專注于網絡中的關鍵資產可以使安全團隊更容易地看出,異常行為什么時候在其最關心的資產上發生。
這些方法可以有效地檢測內部和外部威脅。更為重要的是,由于明確了內部的關鍵資產,安全團隊就不僅可以追蹤威脅,還可以真正地減少威脅。
資產被竊或破壞會使企業遭受真正的破壞。幾乎所有的威脅都集中于企業最寶貴的內部資產,所以安全模式也應這樣。
京公網安備 11010502049343號