对公司网络最大的内部威胁是什么?高科技人士把它放在一起对其进行修改,并比任何人都更了解其内容和工作原理。
当数据库、网络或系统管理员变得无赖时--窃取数据,为自己建立秘密通道,甚至在愤怒中植入逻辑炸弹破坏数据,或者只是随便看看敏感信息他们知道这是禁区——他们成为了IT部门应该防范的内部威胁。
事实上,与其他类型的员工相比,拥有特权接入网络的IT员工往往被认为具有更大的风险和潜在危险。
全球金融服务公司Computershare的首席信息安全和隐私官唐娜•杜尔金(Donna Durkin)表示:“它们之所以不同,是因为它们可能造成的潜在损害风险很高。”
雷神公司内部威胁技术执行总监迈克·泰斯(Mike Theis)也认为,系统管理员和其他拥有特权用户访问权限的人比其他类型的组织员工构成更大的潜在威胁。他说,他在联邦政府和商业部门担任调查员长达数十年的经验告诉他,半数发现的异常情况(即公认协议中的漏洞)都是由这些内部人士造成的。
“这并不意味着他们犯了什么罪,”泰斯补充道。“有时他们只是想把工作做完,但他们超出了组织政策的范围。”
有时,IT员工会被要求苛刻的用户(如业务和销售经理)催促匆忙执行任务,或违反官方IT政策,例如,在不允许的网段上添加打印机。
关于特权访问的一个主要关注点是确保IT工作者只对他们需要的资源有适当的访问权,即使他们的工作功能可能会改变。仅在北美,Computershare就有大约100名拥有IT资源访问特权的IT工作者,他们每个月都要进行“授权审查”,以确保他们访问系统和数据的权限适合他们的角色功能。
Computershare正在从Durkin称之为权利审查的更为“手动”的流程(这需要业务和IT经理以及人力资源部门的输入)转变为供应商Sailpoint的自动化系统,在该系统中,软件将从各种应用程序获取数据,以保存预定义规则和角色的数据库。
通过专注于内部威胁,Computershare正瞄准一个真实且日益严重的问题。Verizon的《2010年数据泄露调查报告》(2010 data Breach Investigations Report)对2009年发生的275起数据泄露案件进行了分析。报告显示,48%的数据泄露是内部人员参与的。这一数字比前一年的26%有所上升。
Verizon的报告指出,黑客等外部代理窃取的记录要比内部人员多得多。尽管如此,报告称,大多数内幕案件(90%)都是蓄意的、恶意的,而且通常涉及滥用特权。报告指出,员工在履行工作职责时,往往会获得比实际需要更多的特权,而监督往往不够。另一项发现是,24%的与内部特工有关的犯罪与那些正在更换工作的人有关,无论是被解雇或辞职,新雇佣或在组织内更换角色。
系统管理员自己知道他们的权力是巨大的,并且可能被心怀不满的同事滥用。
“内部威胁——这很棘手。你不知道。德国第二大银行、在美国设有办事处的德国商业银行的高级系统工程师Angelo DiPietro说。雷竞技比分
DiPietro承认IT工作者更高的权利和特权就网络而言,获取信息可能会误入歧途。“出于无聊的好奇心,他们会登录一些东西,”DiPietro说,并指出测试系统的极限是人类的天性。
但为了对抗这种倾向,并检测任何恶意活动,安全专家表示,公司需要监控那些拥有特殊网络特权的人。为此,德国商业银行依靠软件来监控员工的行为。该公司使用安全信息和事件管理(SIEM)产品ArcSight企业安全管理器(ArcSight Enterprise Security Manager)和利伯曼软件公司的企业随机密码管理器(Enterprise Random Password Manager)来监视系统管理员和其他人所采取的行动。迪皮埃特罗说:“自从我们把它放在合适的位置,每个人都表现得很好。”
Lieberman密码管理软件有时被称为一种“召回”工具,它为顶级IT管理人员提供了一种临时批准帐户提高域权限的方法。它需要多个具有经理身份的个人来批准任何账户的提升。
当时间限制到期时,银行正在使用的系统将自动重新设置。而批准提升特权的请求可能会因为各种各样的原因被拒绝。“我被拒绝了很多次,”DiPietro说。他知道为什么会有控制装置。“我创造了环境,但我不管理环境。”
显然,这一认识从未进入特里·蔡尔兹(Terry Childs)的头脑,他曾是旧金山市的网络管理员。蔡尔兹被认为帮助建立了这座城市的现代烽火网络,但他拒绝在一个对峙与经理两年前,他显然担心自己即将失业或被重新分配工作。这一叛乱行为使孩子们被捕,被判有罪,并受到惩罚宣判四年之久。
审判中的一名陪审员Jason Chilton恰巧是Cisco认证的互联网专家,他说,他发现案件中最难的部分是思考谁应该是拥有密码的授权人,特别是旧金山市似乎没有任何员工应该遵守的程序或政策。
奇尔顿说他找到了同情心,尽管“可能有点偏执”。但问题是他没有很好的管理来控制这一点。他被允许自由发挥,这使得多年来的工程决策变得越来越糟糕,并将人们排除在可能进入这个网络的之外。”
看观众
越来越多的组织开始注意到这种潜力内部威胁特权访问IT工作者所代表的。虽然通过让他们负责关键数据,对他们的信任是不言而喻的,但人们意识到,实施强大的安全控制有利于整个组织。
德克萨斯州麦卡伦市的IT项目经理鲁迪·华雷斯(Rudy Juarez)表示:“因为我们从事的是知识业务,我们必须以身作则。”该市一直在建设一个现代化的数据中心和网络,与一个新的墨西哥边境过境点(称为Anzalduas国际桥梁设施)相关联。该市还在升级市政厅和其他市政建筑的网络。雷竞技电脑网站
该项目的一些最严格的信息安全措施已经涉及到对IT部门数据中心的访问限制,在该中心,IT员工和服务提供商使用基于Bioscrypt指纹读取器的生物指纹访问来获得访问权限。雷竞技电脑网站
“我们有机会引入这项技术,”Juarez说,并指出基于指纹的访问比门禁接近卡更好,因为它可以被实际上没有卡的人使用。数据中心也有视频监控监控,就像在城市其他地方的市政建筑一样。雷竞技电脑网站其目标是使用Matrix systems的Frontier Standard软件将这些物理安全系统统一起来,包括新的HID集成门禁和分发给城市员工的考勤卡。
由于网络和安全控制的核心是数据中心,因此也有对服务器访问的控制,少数IT部门的员工被授予对IT系统的逻辑访问权。雷竞技电脑网站问题不在于其他IT员工不受信任。这是为了降低风险,尤其是当城市的大部分网络和安全基础设施现在集中在一个数据中心的时候。雷竞技电脑网站
IT安全分析师表示,企业应围绕“职责分离”(也称为“职责分离”)的概念来构建IT员工队伍运营,以便有一种方法来实施检查和监控,防止权力过度集中在任何个人身上。这不容易做到,而且可能很昂贵。更进一步的问题是,系统管理员和其他人经常参与企业安全部署的某些方面,尽管已经努力使IT安全管理人员和审计员能够控制。
咨询公司SystemExperts的分析师菲尔·考克斯(Phil Cox)表示,他最近了解到一位系统管理员,在过去十年中,他在网络、电信和桌面支持等领域的IT运营中从一个组转到另一个组。考克斯说:“随着时间的推移,他积累了工作所不需要的机会。”。他是一名外国人,最终辞职,公司开始查看他最后几周储存的电子邮件,这是那里常见的离职策略。他们看到了一些“怪异”的东西,让经理们认为他是在拿数据。他们查看了日志,发现他一直在访问三年前访问过的数据。
Cox建议的策略是“保持基于角色的访问和配置的最新状态,并了解正常的使用模式。”SIEM工具是一种帮助,但也有一些有意义的策略,例如“没有人以root用户身份登录计算机。如果您看到root用户登录,您将进行调查。”
用于临时访问的企业密码管理工具很有吸引力,但它们可能很难发挥作用,因为“如果系统管理员每次想做什么都必须获得授权,这是一个巨大的开销,而且永远不会起作用,”Cox说。
考克斯指出,有一些第三方服务,比如SecureWorks,会寻找IT员工的可疑行为。当然,这个想法是为了让监控过程,不管它是什么,远离被监控的it工作者的手中。
雷神公司的Theis说,尽管IT工作者必须被告知他们正在被监控,但重要的是要对他们隐藏实际的监控机制,这样他们就不能禁用它。他补充说,他见过很多这样的例子,系统管理员提出理由,为什么监视工具不应该在他们的机器上运行,并故意试图禁用任何他们可以禁用的东西,所以应该对他们尽可能保密。
对于监控和其他对IT工作者施加控制的技术是否应该自动阻止可疑行为,有很多争论。雷神公司内部威胁专家泰斯赞成在不阻断的情况下进行监控,因为“在所有发生的活动中,只有一小部分是恶意的。”
弗雷斯特研究公司(Forrester Research)分析师王chenxi表示,她知道系统管理员在查看电子邮件和他不应该查看的文件时存在侵犯隐私的情况,并补充说,这种情况很难阻止,因为它可能只是在“正常操作范围内”在某种程度上发生。她补充说,重要的是意图。“他们是在解决IT问题,还是为了自己的娱乐和游戏?”
他还强调,拥有网络资源特权的IT工作者本身就是高价值的攻击目标。她指出针对谷歌的臭名昭著的攻击与中国有关,众所周知,攻击目标与一个特权用户有关。
IT工作者受到怀疑的另一个领域是在外包和第三方支持安排中,在这些安排中,IT工作者虽然不是组织的具体雇员,但他们可以像直接雇员一样访问公司网络。
雷神公司的泰斯说,显然,最重要的事情之一是能够“准确判断人们的信任”。从正式意义上讲,这可能意味着背景调查,其中的危险信号可能是糟糕的推荐或犯罪记录。如果仅仅是因为支付卡行业的数据安全标准,现在在某些情况下需要IT人员,那么IT人员的数量正在变得越来越普遍。来自SystemExperts的考克斯指出:“PCI DSS实际上规定,如果有人持有持卡人数据,他们必须进行背景调查。”。
洛杉矶县员工退休机构首席信息官詹姆斯·普(James Pu)表示,背景调查被认为是该机构招聘IT人员的主要手段。虽然这主要由人力资源部负责,但背景调查也可能包括查看信贷历史和债务人的支出模式。“雇佣好员工很重要,”普说。危险信号明显包括任何犯罪史、欺诈、盗窃或不良道德。