根据Gartner的观点,不是每个内部风险都会演变成内部威胁,但每个内部威胁都源于内部风险。这一区别强调了一个重要的细微差别,该差别对于制定企业的网络安全策略和解决方案至关重要。
与"内部威胁"不同,"内部风险"这个术语并不意味着恶意意图或归咎于用户。它包括了一个常见的情况,即出于善意而犯错误的人。根据Ponemon(Ponemon是一家专注于独立研究和咨询服务的机构。该机构致力于研究隐私、数据保护和信息安全等领域。他们进行调查和分析,为组织提供关于数据安全和隐私保护的见解和建议)的调查研究,超过50%的内部事件归因于错误和疏忽,例如系统配置错误、未经授权或意外数据泄露。
事实上,过去两年内,国外统计的企业因内部事件导致的风险增长了44%,每起事件的产生成本增加了超过三分之一,达到1538万美元,因此,了解企业内部威胁和内部风险的指标对于降低潜在影响已经变得非常重要。
接下来,我们将介绍增加风险的企业内部行为以及常见的内部威胁指标。通过掌握这些信息,你可以立即采取有效策略来降低风险并对这些威胁指标采取相应措施。
1. 什么是内部威胁指标?
内部威胁指标是指可疑的行为模式或未经授权的活动,用于识别企业内部的个人或其他实体是否存在潜在的安全风险。这些风险通常在员工、实习生、承包商、供应商、合作伙伴等人员拥有企业数据和系统的特权访问时增加。
2. 常见的内部威胁指标有哪些?
u 异常登录活动:频繁的登录尝试、登录时间或登录位置异常等。
u 数据访问异常:未经授权或超出正常权限范围的数据访问行为。
u 文件或数据下载量的异常增加:大量下载敏感或机密文件的行为。
u 数据泄露或数据传输异常:未经授权的数据传输、大量数据外流或数据传输至异常位置等。
u 异常网络活动:异常的网络通信、大量数据传输、未授权的网络访问等。
u 不当行为或违反政策:违反安全政策、擅自更改权限、删除或篡改数据等。
u 异常设备使用:未经授权的设备接入、使用未知设备或使用个人设备处理敏感信息。
u 外部联系或合作异常:与竞争对手或非授权实体建立联系、非正常的合作行为。
3. 恶意的内部行为和无意的内部行为之间有哪些区别?
l 动机
恶意的内部人员通常受个人或经济利益的驱动。例如,不满的员工可能会对他们认为损害了自己的企业进行报复。有些人的动机是揭露不当行为。
无意的内部威胁主要是受到在快节奏行业和预算限制下做更多事情的压力驱使。他们只是想完成自己的工作。
l 行为
恶意的内部人员通过注入恶意软件等行为来积极寻求关闭或减缓系统的运行。他们还会进行金融欺诈行为,或在黑市上出售敏感的企业信息和知识产权。
相比之下,无意中的内部威胁通常会访问或共享他们没有意识到应受合规和隐私规则保护的信息。
l 影响
恶意的内部人员可以对企业造成重大损害,特别是如果他们的意图是阻止企业运营。
无意中的内部行为可能不会导致停机,但通常会暴露数据,这可能会导致合规罚款和保险费用增加。
4. 来看一些实例
例子1:恶意内部威胁的指标
A正在另一家公司进行最后一轮面试。在他目前的职位上,他可以访问机密信息,这些信息在他下一份工作中会派上用场。A在深夜下载数据,并将其导出到一个USB驱动器中。
根据DTEX的研究,这种由离职员工引起的数据盗窃在56%的企业中发生过。
Q: 什么内部威胁指标会引起A目前雇主的警觉?
A: 不寻常的访问时间和大量的下载行为。
例子2:无意中的内部威胁指标
B是一名第三方供应商,具有访问客户服务器的特权。她获得了一台新电脑,在设置过程中不经意间下载了一个病毒。然后,B登录到她客户的系统,病毒也传播到了客户的系统中。
Q: 什么内部威胁指标会引起她的客户的警觉?
A: 未知设备访问特权资源。
事实上,许多无意中的内部行为会给企业带来风险
常见的工作场所行为和流程会使您的企业面临内部风险,例如:
l 员工将信息发送到个人电子邮件或云存储账户,以便能够远程工作,增加了意外数据泄露的风险。
l 员工点击钓鱼邮件中的可疑链接或下载未经批准的应用程序。
l 密码管理不善,导致凭证被盗。
l 访问管理不善,例如宽泛的访问权限,使得那些没有必要查看敏感受保护数据的人能够访问。
l IT系统的错误配置,如S3存储桶,使其对用户开放。
l 信任和假设。我们希望假设人们在做正确的事情,因此当有可疑情况出现时,我们不会进行调查。
l 过度依赖全能的域管理员。这些技术专家了解企业的IT系统,知道后门入口,有机会对企业造成严重损害。恶意管理员了解内部威胁检测技术,能够隐匿行踪,利用其权限掩盖恶意行为。因此,企业需要审慎管理权限和访问控制,减少对域管理员的过度依赖。
那么,该如何降低内部威胁呢?
传统的用于应对外部威胁的威胁搜寻和清除方法并不适用于预防、识别和遏制内部威胁,降低内部风险。有效的检测内部威胁需要结合技术工具、行为分析和员工意识,这是一个三位一体的方法。
1. 阻止员工成为内部威胁
赋予员工能力,使他们能够高效安全地完成工作,而不需要将遵循复杂安全流程的责任完全放在他们的肩上。
取消广泛的访问权限,包括在工作站上的本地管理员访问权限。这样,基于策略的自动化控制措施将阻止用户查看或暴露敏感数据、更改系统设置或在IT环境中引入恶意软件。
通过尽量限制管理员的权限,您可以降低意外和故意的内部滥用风险。确保管理员只具备有限的权限,除非他们需要提升权限,而且只在有限的范围内提升权限。
2. 使用自动化工具检测内部威胁迹象
用户和实体行为分析(UEBA)解决方案利用机器学习来检测用户和实体行为中的异常和异常值,帮助识别潜在的内部威胁。数据丢失预防(DLP)系统可以向管理员发出警报,提示未经授权的数据下载和传输。特权行为监控可以为高风险环境和用户添加更强化的监视机制。
了解内部威胁风险增加的常见时期,例如公司大规模裁员、新的合作伙伴关系形成或新的工作场所工具集成。在这些时期,增加对内部威胁迹象的监控,并增加身份验证和访问要求,是一个不错的做法。
3. 打击内部威胁
考虑采用实施主动阻止技术的软件,防止特定的数据类型、字段或文件离开企业。很少有公司依赖完全自动化的流程来剥夺员工对关键系统的访问权限。相反,他们更倾向于调查和确认异常的内部行为的原因,发出警告并增加安全控制措施。
在识别潜在的内部威胁迹象方面,责任在于每个人!
在面对日益复杂的内部威胁时,降低内部威胁风险至关重要。通过采取综合的方法,可以更好地保护企业免受内部威胁的损害。
首先,需要阻止人们成为内部威胁,通过授权和权限管理来确保员工的合理访问权限。
其次,利用自动化工具来检测内部威胁迹象,包括使用行为分析和监控系统来识别异常行为。
最后,采取措施来打击内部威胁,例如实施主动阻止技术和建立内部威胁搜寻计划。然而,识别潜在的内部威胁迹象是每个人的责任,需要建立良好的网络安全意识和报告文化。
通过这些措施,企业将能够更好地保护自己免受内部威胁的风险,并确保安全和业务的持续运营。