內(nèi)部威脅指的是公司內(nèi)部員工,但入侵者卻不再僅僅局限于身處公司大樓內(nèi)部的人。甚至本地咖啡館這種公共場所,都能連上公司網(wǎng)絡。
由于企業(yè)系統(tǒng)的邊界正在模糊,網(wǎng)絡安全的難度加大,企業(yè)需要調(diào)整策略和規(guī)程。雖然很多技術(shù)都在改變,但限制依然留存,公司必須在阻止惡意攻擊上繼續(xù)保持積極主動。他們必須了解自己的威脅,并調(diào)整自己的技術(shù)以適應威脅。更重要的是,招募合適的團隊,打造正確的技術(shù)。
對內(nèi)部威脅的遏阻,應與期望緩解的風險類型相匹配,要基于環(huán)境因素制定計劃,比如公司文化、公司狀態(tài)(健康度、弱點、裁員情況等),還有公司看待/監(jiān)測/合法管理承包商的方式。
公司應提供“按需知密”的訪問控制,審計所有行為,且審計應由具備足夠能力的人來實施,比如管理員。企業(yè)能做的最重要的一件事,是減小內(nèi)部人對敏感數(shù)據(jù)擁有的權(quán)限。這是安全廠商之間的共識,別向員工開放整個網(wǎng)絡,讓訪問成為特權(quán)而非權(quán)利。
最小化訪問授權(quán),最大化對授權(quán)異常模式的監(jiān)測。
除了減小雇員權(quán)限級別,企業(yè)還應實行良好的監(jiān)管,權(quán)限審查與驗證的責任,應直接賦予該管理數(shù)據(jù)資源的生產(chǎn)線經(jīng)理。
“企業(yè)應監(jiān)測敏感或有價值數(shù)據(jù)的訪問活動,查找可能揭示內(nèi)部人不恰當訪問該數(shù)據(jù)的異常行為,或者,更常見的:外部人盜取憑證后成功冒充特權(quán)用戶的情況。就像所有良好安全一樣,遏阻內(nèi)部威脅需要多層次方法。好消息是,最基礎的步驟往往提供最大的價值,做到系統(tǒng)且深入,可以為敏感數(shù)據(jù)保護帶來巨大好處。”
此外,企業(yè)還應推行常規(guī)安全意識和信息監(jiān)管培訓。此類培訓可確保員工領會事件響應規(guī)則,積極報告可疑活動。
意識培訓
安全專家的另一個共識是,安全意識培訓是員工輔助發(fā)現(xiàn)內(nèi)部威脅的關(guān)鍵。
全體員工的安全意識教育和培訓應普及且成為常態(tài)。這包括反復提醒哪些是或不是可接受的行為,風險是什么,以及怎樣報告可疑的攻擊或數(shù)據(jù)泄露。
建立內(nèi)部風險團隊,可在輔助識別和阻止內(nèi)部威脅的安全軟件工具評估上,充當領導角色,為敏感信息提供安全防護,尤其是與外部共享的信息,例如被發(fā)送給外部董事的董事會文檔。
創(chuàng)建并維護風險登記簿,登記并量化需修復的風險,并采取后續(xù)緩解措施,十分關(guān)鍵。為演示進展,內(nèi)部風險團隊應建立關(guān)鍵業(yè)績指標(KPI),然后審計并報告風險等級,展現(xiàn)每年的狀態(tài)和改進。
風險管理團隊還可以幫助確保公司“檢舉”策略和規(guī)程是簡單易用且可行的,而且能在內(nèi)部威脅被發(fā)現(xiàn)時快速確定。最重要的是,該團隊應與公司領導層協(xié)作建立一種透明且負責的文化,確保策略被嚴格執(zhí)行,任何報告了潛在威脅信息的人都會受到獎勵,而不是被懲罰或放逐。
實現(xiàn)風險緩解和安全軟件,對發(fā)現(xiàn)、遏阻和報告安全事件至關(guān)重要。但是,僅靠軟件解決不了這個問題。建立起負責且透明的文化,并嚴格實施策略,可以有效防止?jié)撛谕{演變?yōu)檎嬲奈C。
傳遞“遏制內(nèi)部威脅,人人有責”的概念是關(guān)鍵。雖然在技術(shù)解決方案上的投入也很重要,但沒有任何一個技術(shù)解決方案能夠替代警醒的終端用戶。
讓員工知道內(nèi)部威脅計劃,告訴他們計劃的意圖、恰當?shù)臄?shù)據(jù)處理是什么樣的,確保他們理解自己在公司保護中的作用,可以幫助抑制疏漏行為,發(fā)現(xiàn)故意犯錯的人。技術(shù)控制,例如用戶或終端行為分析,便可隨之提供必要的監(jiān)視,通報IT安全團隊異常行為的出現(xiàn),并同時收集必要的鑒證證據(jù)。
弄清自身資產(chǎn)
如果自己都不知道自家網(wǎng)絡里有些什么,要確定是否有人在訪問不該訪問的東西就特別難了。
企業(yè)應識別出自身關(guān)鍵資產(chǎn)及其擁有者,對數(shù)據(jù)進行分類。公司內(nèi)部資產(chǎn)和云基礎設施上的資產(chǎn)都要了解。想要識別出有組織犯罪團伙和個別惡棍的行為模式,必須依靠值得信賴的威脅情報予以強化。
想有效減小內(nèi)部人風險,公司應搞清有哪些資產(chǎn)是一旦被侵入就會導致最嚴重破壞的,這些資產(chǎn)位于何處,誰負責管理和操作這些資產(chǎn)。公司還應限制對這些資產(chǎn)的訪問,只有真正需要的雇員和承包商才可以訪問,并實施持續(xù)的行為監(jiān)測,讓業(yè)務應用擁有者參與進警報是否誤報的判定中來。
這種面向業(yè)務的警報評定可以大幅減少噪聲和誤報,凸顯出最重要和緊急的警報。非惡意策略違反者應被列入不可接受行為通告,送去進行相關(guān)針對性安全意識培訓,并在培訓后跟蹤觀察,確保不再犯同樣的錯。
京公網(wǎng)安備 11010502049343號