高楓

黑客、網(wǎng)絡(luò)犯罪分子、惡意軟件感染和其他外部威脅占據(jù)了頭條新聞。作為安全漏洞的一部分，數(shù)百萬條數(shù)據(jù)記錄的丟失現(xiàn)在似乎很常見。隨著我們向綜合數(shù)字經(jīng)濟(jì)邁進(jìn)，大規(guī)?；騾f(xié)調(diào)網(wǎng)絡(luò)攻擊的影響可能會產(chǎn)生破壞性后果。

但實際情況是絕大多數(shù)網(wǎng)絡(luò)攻擊仍未被發(fā)現(xiàn)，2018年的網(wǎng)絡(luò)攻擊造成6 000億美元損失，其中有針對性的攻擊導(dǎo)致了大部分的損失。更不為人所知的是，將近一半的數(shù)據(jù)泄露和系統(tǒng)妥協(xié)來自組織內(nèi)部而非外部來源，其中近一半是故意的，其余是偶然的。

從安全角度來看，防范內(nèi)部人員攻擊與防御外部網(wǎng)絡(luò)攻擊完全不同。獲取易受攻擊的設(shè)備和系統(tǒng)的訪問權(quán)限或升級網(wǎng)絡(luò)權(quán)限通常也更容易從內(nèi)部執(zhí)行。許多安全系統(tǒng)根本不關(guān)注用戶正在做什么，特別是在圍繞隱式信任建立的環(huán)境中，大多數(shù)安全資源專注于外圍控制的環(huán)境中。

通過識別危害資源的內(nèi)部操作，以及識別可能執(zhí)行此類操作的人員，企業(yè)可預(yù)防內(nèi)部威脅。內(nèi)部威脅產(chǎn)生于兩種類型的內(nèi)部人員：

1.惡意行動者

由于多種原因，這些人愿意將企業(yè)置于風(fēng)險之中。這些可以包括個人利益，報復(fù)被認(rèn)為是不公正的愿望，例如被忽視晉升或者管理不善；政治動機(jī)或由民族國家或競爭對手資助的工業(yè)間諜活動。

內(nèi)部人員攻擊可能導(dǎo)致有價值的數(shù)據(jù)和知識產(chǎn)權(quán)被盜，向公眾或競爭對手暴露可能令人尷尬或?qū)Ｓ械臄?shù)據(jù)，以及劫持或破壞數(shù)據(jù)庫和服務(wù)器?？蛻艉蛦T工信息（包括個人身份信息（PII）和個人健康信息（PHI））是最受歡迎的目標(biāo)，因為它們在黑暗網(wǎng)絡(luò)上具有最高的轉(zhuǎn)售價值。知識產(chǎn)權(quán)（IP）和支付卡信息是下一個最常被竊取的數(shù)據(jù)類型。

對于更傳統(tǒng)的外部攻擊，由于快速數(shù)據(jù)泄漏到不尋常的目的地而導(dǎo)致的異常數(shù)據(jù)流可能難以偽裝。活動可能與企業(yè)安全策略沖突，在奇怪的時間發(fā)生、源自奇怪的訪問點(diǎn)、顯示移動到不尋常的網(wǎng)絡(luò)地址或包含意外的大量數(shù)據(jù)。這其中的任何一個都應(yīng)該觸發(fā)可以關(guān)閉主動違規(guī)的安全響應(yīng)。

但由于內(nèi)部人員已經(jīng)擁有持續(xù)且可信的訪問權(quán)限，攻擊和數(shù)據(jù)泄露可能會隨著時間的推移而發(fā)生，使攻擊者有更多時間來規(guī)劃他的策略，掩蓋蹤跡、偽裝數(shù)據(jù)，因此安全工具很難或不可能識別并保留數(shù)據(jù)低于檢測閾值的運(yùn)動。許多用戶還可以通過在核心環(huán)境和多云環(huán)境之間移動數(shù)據(jù)來超越檢測，從而利用跨生態(tài)系統(tǒng)不一致的安全實施。

2.疏忽

組織為某些用戶提供比他們技能管理更多的權(quán)限并不罕見。例如，有數(shù)據(jù)庫提供升級權(quán)限的高管可以更改字段長度，由此可能會導(dǎo)致關(guān)鍵應(yīng)用程序出現(xiàn)故障。這些用戶如果不知道處理敏感應(yīng)用程序或信息的基本預(yù)防措施，就容易出錯，他們只是粗心大意，大多數(shù)情況下他們并不打算造成傷害。

數(shù)據(jù)丟失或暴露不一定是不正當(dāng)授予特權(quán)的結(jié)果。丟失移動設(shè)備、筆記本電腦、USB驅(qū)動器或是丟棄的硬件（包括無法擦除的光盤和硬盤驅(qū)動器），甚至在社交網(wǎng)絡(luò)上聊天時泄露商業(yè)信息，都可能導(dǎo)致錯誤，這些錯誤可能與其他人的故意攻擊一樣昂貴。

解決內(nèi)部風(fēng)險

組織需要完全了解其數(shù)據(jù)流，他們需要知道誰在訪問哪些數(shù)據(jù)、何時何地，包括在核心、多云或SD-WAN環(huán)境中。安全團(tuán)隊還需要識別和分類風(fēng)險用戶，包括有訪問敏感信息和權(quán)限的管理人員、超級用戶以及維護(hù)和監(jiān)控可以訪問關(guān)鍵數(shù)據(jù)、資源和應(yīng)用程序的每個人的列表。

通過實施控制措施幫助安全人員更早發(fā)現(xiàn)攻擊，可以開始創(chuàng)建有效的內(nèi)部威脅計劃。例如：仔細(xì)觀察特權(quán)升級等事情和應(yīng)用程序，探測器和流量超出其正常參數(shù)；應(yīng)用程序和工作流程的異常流量模式，特別是在不同的網(wǎng)絡(luò)域之間。

行為分析需要通過分布式網(wǎng)絡(luò)，智能地標(biāo)記異常事件并立即向安全人員報告。轉(zhuǎn)向零信任模型并實施嚴(yán)格的內(nèi)部分段可以防止許多攻擊所需的網(wǎng)絡(luò)橫向移動。制定協(xié)議，以便立即看到優(yōu)先級警報，而不會使安全團(tuán)隊陷入大量低級別信息。

需要注意的事項包括：

1.未經(jīng)授權(quán)使用IT資源和應(yīng)用程序

員工使用個人云獲取公司信息；

盜賊使用影子IT；

訪問，共享或分發(fā)PII；

安裝未經(jīng)批準(zhǔn)和未經(jīng)許可的軟件；

未經(jīng)授權(quán)使用的受限應(yīng)用程序，包括網(wǎng)絡(luò)嗅探和遠(yuǎn)程桌面工具。

2.未經(jīng)授權(quán)的數(shù)據(jù)傳輸

使用可移動媒體存儲或移動數(shù)據(jù)；

未經(jīng)授權(quán)將業(yè)務(wù)關(guān)鍵型數(shù)據(jù)復(fù)制到云或Web服務(wù)；

傳輸與異常目的地之間的文件傳輸；

使用即時消息或社交媒體應(yīng)用程序移動文件。

3.濫用和惡意行為

濫用文件系統(tǒng)管理員權(quán)限；

禁用或覆蓋端點(diǎn)安全產(chǎn)品；

使用密碼竊取工具；

訪問黑暗網(wǎng)站。

預(yù)防是關(guān)鍵的第一步

通過創(chuàng)造鼓勵良好員工行為的工作條件，還可以進(jìn)一步預(yù)防問題。

例如，當(dāng)工資水平、職業(yè)前景或工作的其他方面低于滿意度時，員工可能會尋求離開組織并隨身攜帶機(jī)密信息。因此，衡量和響應(yīng)員工滿意度是防范內(nèi)部人員安全風(fēng)險的關(guān)鍵部分。人力資源和IT之間協(xié)調(diào)的定期信息安全意識計劃有助于減少粗心行為。

內(nèi)部威脅的風(fēng)險通常比我們想象的要大，特別是隨著網(wǎng)絡(luò)變得越來越大和越來越復(fù)雜。粗心大意和惡意企圖是兩個主要原因，但兩者都是可以減輕的。提高認(rèn)知度和謹(jǐn)慎信息處理的解決方案包括培訓(xùn)和提高意識，以及從核心到云的分布式網(wǎng)絡(luò)的特權(quán)用戶和關(guān)鍵數(shù)據(jù)的監(jiān)控。這需要與動態(tài)網(wǎng)絡(luò)分段和安全工具集成到單一結(jié)構(gòu)中，包括高級行為分析。

這些技術(shù)解決方案只是答案的一半，創(chuàng)建和維護(hù)有吸引力的工作條件對于防止惡意行為還有很長的路要走。請記住，薪水只是一個因素，并不總是關(guān)鍵因素，擁有感、團(tuán)隊合作以及創(chuàng)造員工執(zhí)行重要任務(wù)的感覺與可能擁有的任何內(nèi)部安全解決方案一樣重要。