一段时间以来,安全专家一直警告企业,最大的安全威胁来自内部:他们自己的员工。根据一项新的调查,这条信息显然已经传播开来。但这些结果也带来了一个令人不安的转折:恶意的员工。
一段时间以来,安全专家一直警告企业,最大的安全威胁来自内部:他们自己的员工。根据一项新的调查,这条信息显然已经传播开来。但这些结果也带来了一个令人不安的转折:恶意的员工。
安全供应商Cyber-Ark的“2012信任、安全和密码调查”发现,受访的820名IT经理和c级专业人士中,71%的人表示,内部威胁是他们最关心的问题。然而,内部威胁并非有意为之——员工粗心大意或根本没有意识到安全协议,以及自带设备(BYOD)的趋势——调查受访者表示,很大一部分威胁来自恶意的内部人员。
内部人士的敌意可能有多种原因:没有晋升机会、没有得到预期的奖金、被解雇的威胁,甚至可能成为行业间谍。但当内线知识或访问权限与“特权账户”相结合时,它就会获得巨大的影响力,而“特权账户”可以成为“通往王国的钥匙”。
伯顿集团身份管理和信息安全高级分析师马克·迪奥达蒂说,写在SearchSecurity,指出这种帐户对于平台运行、紧急情况和日常任务是必要的。他写道:“(但)它们的安全性是出了名的难,因为它们不属于真正的用户,通常由许多管理员共享。
“然而,经济下滑增加了工人不满的风险,因此,建立一个控制特权获取的制度比以往任何时候都更重要,”迪奥达蒂写道。“(特权账户)可以破坏个人数据,完成未经授权的交易,造成拒绝服务攻击,并通过删除审计数据来隐藏活动。”
Cyber-Ark的创始人兼首席执行官Udi Mokady说,攻击者会以拥有此类特权的员工为目标。“很明显,特权访问点已经成为企业网络攻击的优先目标,”他说。
然而,一些专家认为,泄露特权账户可能会造成重大损失,但他们表示,内部人士——尤其是恶意的内部人士——构成的威胁被夸大了。
首席研究员、InfosecStuff咨询顾问Mark Baldwin表示,71%的受访者可能认为内部威胁最大,但“证据并不支持这种看法。”
例如,2012年Verizon数据泄露回购该公司使用的是经验数据而不是调查数据,鲍德温指出,2011年的数据泄露事件中只有4%涉及内部人员。
他表示:“涉及内部人士的违规比例多年来一直在下降。”“这是人们的信念与现实不符的一个例子。”
KNOS项目的联合创始人和首席架构师Kevin McAleavey说,他相信一些员工可能会故意破坏他们的雇主,“但这样的人很少。”
“绝大多数‘敏感泄密’来自那些被‘鱼叉’的人。一些入侵者成功地伪装成他们是一个大问题,”McAleavey说。
Cyber-Ark美洲和公司发展执行副总裁Adam波斯尼亚认为,这种恶意的内部威胁不仅仅是人们的看法。他指出,2006年,瑞银(UBS)一名前系统管理员因奖金低于预期而感到不满,引爆了一枚逻辑炸弹,摧毁了2000台服务器,导致备份系统出现故障,并删除了文件。他最终被判处8年监禁。
波黑说:“(但是)问题不在于数量,而在于影响。”“内部人士可以产生重大影响,因为他们已经在公司内部,拥有一些领域知识。”
在这一点上,人们普遍同意,这意味着人们也同意,如果企业采取措施管理特权账户的风险,就可以为自己避免巨大的风险和潜在的损失。
“显然,攻击者想获得特权帐户的访问权。这使他们能够完全进入这个系统。”
“这就是为什么重要的是给予员工只访问他们需要履行职责,保持行政账户严格控制,密切监控管理帐户访问以及对敏感数据的访问,并使用控制等职责分离,以防止任何一个人有太多的接触,使他们窃取数据和掩盖自己的踪迹,”他说。
根据Cyber-Ark调查的结果,现在这种情况并不常见,43%的人承认他们没有监控过自己的特权账户,或者根本不知道自己的特权账户。
“你需要知道谁应该拥有权利,”亚当·波黑(Adam波斯尼亚)说。“谁真正拥有访问权限,而不是谁应该拥有访问权限?你需要信任,但要核实。”
他说,这并不需要购买产品。“我想销售产品,”他说,“但真正需要做的是了解(特权账户持有人)并管理他们。”当你开始自动化这个过程时,这就是我们的切入点。”
波斯尼亚说,令人鼓舞的是,IT经理们越来越意识到“筑墙”不再是有效的安全策略。“公司可能有一个坚硬的外壳,”他说,但攻击者仍能进入内部,一旦他们进入,一切就变得相当脆弱。
他说:“人们越来越意识到,企业不仅需要硬壳,也需要硬壳。”
这篇文章,“在网络安全的世界里,特权伴随着危险”最初发表于方案 。