•Twitter公司的員工Ahmad Abouammo于2022年8月被定罪,其罪名是收受賄賂以換取訪問、監控Twitter用戶的私人信息,并將其提供給中東某國的政府部門。
•2022年7月,美國中央情報局(CIA)前雇員Joshua Schulte被定罪,他利用訪問權限收購了美國一些最有價值的情報,秘密收集這些材料并提供給維基解密。
•2022年6月,已經轉為民用承包商的前美國陸軍直升機飛行員Shapour Moinian認罪,他接受了某國政府代表提供的數千美元,以從其國防承包商雇主那里提供航空相關信息。
Code42公司首席執行官Joe Payne是2022年內部風險峰會主席,他在會上列了一個案例。他說,“這可能是我們多年來遇見的規模最大內部風險案例”。在這個案例中,弗吉尼亞州費爾法克斯縣巡回法院的陪審團發現,低代碼平臺提供商Pegasystems公司雇傭了一名政府承包商的員工,長期監視編碼自動化服務商Appian公司,以了解如何更好地與競爭對手競爭,因此,Pegasystems公司由于盜用商業機密而被判賠償Appian公司20.36億美元。
Payne說,“Pegasystems公司的價值不到20億美元,在獲得20億美元賠償金之后,Appian公司的價值增長到30億美元。由此可以看到一家承包商可能造成問題的規模和嚴重程度,人們就會開始明白,內部風險在當今各行業中可能非常具有破壞性。”
在最近的一個內部風險示例中,社交媒體平臺Twitter公司前安全主管Peiter Zatko在美國參議院一個委員會作證,聲稱該公司雇傭了外國特工。他還對這家公司雇傭的其他外國特工表示擔憂,其中至少有一名來自印度。
無意的內部威脅可能是最大的風險
這些企業內部風險的典型例子被認為是有意或惡意的威脅,而不是無意或非惡意的威脅。Mandiant公司總經理Jon Ford表示,“無意的威脅包括內部人員的粗心大意,他們的行為在大多數研究和學術活動中經常被忽視,甚至沒有包括在內部威脅本身的定義中。這是一個重大缺陷,因為無意的內部威脅是最大的內部威脅。大多數研究表明,粗心的內部人員造成了50%至75%的內部威脅事件。”
CybSafe公司首席執行官兼創始人OzAlashe MBE說:“正是員工在無意中做出了增加企業內部風險的事情。我認為最大的內部風險和威脅并不是蓄意和惡意竊取信息、提供網絡和系統訪問權限的用戶。”
國外間諜帶來的內部威脅很少見
事實上可能發生的惡意內部威脅的公開實例,證明大多數內部威脅都是非惡意的,不涉及敵對國家的行為。Red Goat Cybersecurity公司合伙人Lisa Forte說:“Twitter公司前安全主管Peiter Zatko指控的是,Twitter公司雇傭了國外間諜。這種情況確實極為罕見。”
然而,Forte表示,更常見的是企業或工業間諜案件,其中盜竊某一企業的知識產權并提供給其競爭對手。Forte說,“這些案件涉及的不是政府間諜,而是那些想賺錢或討好其他競爭對手以獲得利益的員工。”
Mandiant公司的Ford說,“即使國外間諜是一種罕見的內部風險,員工必須了解這種風險以及這些方法的作案方式,以便他們能夠識別間諜采用的方法,企業員工在被誘騙商業機密的同時,他們可能只是認為參加了一場商務會議,這種情況并不少見。”
如何發現內部威脅
發現內部威脅的技術各不相同,取決于企業可能面臨的威脅類型,無論是惡意還是無意的。在惡意內部威脅方面,要注意員工的反常行為變化,Alashe說,“一些企業會將其視為個人正常登錄和注銷的時間,或電子郵件流量的變化。它們是可能值得進一步關注的興趣領域的指標。”
對企業不滿的員工或知道自己將被解雇的員工,是可能存在惡意內部威脅的另一個跡象。Alashe說,“我們看到的一個挑戰是,有些員工知道他們將被解雇,但他們的權限并沒被取消。因此在一段時間內提高了企業面臨的內部威脅的風險。”
Forte說,“在觀察到的幾乎所有案件中,都是在一些員工辭職前一個月內發生的。”此外他指出,盜竊案件中存在兩個重要因素,一是員工對自己的工作感到不滿,二是他們對工作職位的占有欲很強。
至于無意的內部威脅,Ford說:“員工可能因為快速或方便而采取的行動,例如共享或重用憑據、將文件復制到個人U盤或將文件存儲在個人云存儲中,這些行動也意味是一種內部威脅,即使它們可能不是惡意的。”
非惡意內部威脅的另一個指標是員工未能完成安全意識培訓。Alashe說,“培訓并不能徹底改變人們的行為,但據我所知,培訓是一些企業應對非惡意內部威脅的方法。”
防止內部威脅的措施
企業可以采取措施將內部威脅的程度降到最低。Ford說,“第一步應該是進行全面的內部威脅能力評估,這將有助于確定現有的差距和有待改進的領域。利用從評估中獲得的見解,企業可以制定有效的內部威脅計劃,平衡員工隱私與安全,并且應該包括明確定義的組件、功能、范圍和治理結構。”
Forte表示,抵御內部威脅的具體措施取決于威脅的類型:欺詐、盜竊或破壞。Forte建議,為了最大限度地減少內部盜竊,除了其他事項之外,企業應確定最具商業敏感性的資產,確定有權使用這些資產的員工,并為他們提供加強的內部威脅培訓。她說:“在某些情況下,人們沒有意識到他們處理的一些報告是不能帶走或復印的。”
Alashe表示,解決內部威脅的關鍵一步是首先確定非惡意的內部活動是內部威脅。他說,“一些企業表示,他們的安全意識團隊負責處理非惡意內容,而內部威脅團隊只負責處理惡意內容。更明智的企業并不這么認為。他們會更全面地考慮這個問題。”
關于企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營18個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號