思考关于数据盗窃和泄漏的头条新闻与你无关?再想想。许多此类事件都有一个共同的主题:特权访问。您的工作是确保您的组织不会成为同样命运的牺牲品,至少要检查您现有的内部威胁程序,并可能进行重大修改。
+也在网络世界有个足球雷竞技app5个免费软件工具,以获得更大的隐私+
爱德华斯诺登的盗窃并发布国家安全机构数据,陆军私人第一级布拉德利曼宁公开敏感的军事文件信息经销商维基解密和华盛顿海军院子的拍摄通过一个全权证书的分包商在跨行业暂停其高管暂停,重新考虑其安全政策和程序。
减少内部威胁的提示
- 建立一个由它,人力资源,法律和关键业务的多学科团队
- 目标人员和特权访问的地区
- 看看公司内部和外部的数据流
- 了解客户,员工和供应商的信息需求
- 平衡员工的需求与公司的安全要求
- 创建指南,并在员工手册和其他地方进行通信
- 使用技术来加强你的指导方针
- 创建举报的程序,以保持匿名的完整 - 对抗员和被告
——桑德拉Gittlen
“讨论的讨论是关于内部人员可以对公司资产的影响的议会中,”仲裁公司副总馆安全官汤姆马赫利克(Tom Mahlik)汤姆马赫里克(Citer Corporation)经营联邦政府承包商经营联邦资助研究发展中心。
华盛顿海军院子的事件成本12人的生活;Wikileaks和SnOlden数据发布的全部影响尚不能量化。
“这些事件为威胁范式 - 特权访问增加了另一个维度,”马哈利克说。
Mahlik建议,现有的内部威胁程序必须越来越多地聚焦于有权访问关键信息的用户。在这一点上,他正在领导对MITRE自己的项目进行彻底改革。他的目标是了解内部人员构成的威胁,并通过一个同步人员、政策、流程和技术的程序来阻止这些威胁。“我们正处于这项努力的初期阶段,”他表示。
实现新的威胁
一个新的或修复的内部威胁项目要想取得成功,首席信息官、首席信息官或首席信息官首先必须获得董事会的支持,并阐明这样一个项目在发现和防止对人员、财产和公司声誉的损害方面对公司的价值。对已知或现有的漏洞和威胁进行彻底的评估,并与整个公司的风险偏好进行权衡,是至关重要的。
例如,如果公司制造独特的产品,那么知识产权将是内部威胁计划的关键焦点区域。但如果公司提供医疗服务,那么保护患者记录将重点。
“讨论的讨论是在任何地方的议会中发生了关于Insider可能对公司资产的影响,”仲裁公司副总徒官Tom Mahlik说。
在攻击或疑似攻击期间,不要试图创建一个内部威胁程序。Mahlik说:“这是建立任何有效项目的最差时机。”“你不可能在危机时刻建立人际关系。”
相反,公司应该把规划、设计和基线作为必要的、持续的业务流程来处理。Mahlik解释说:“最理想的做法是在危机发生前将剧本制度化并进行演练。”
在大多数情况下,寻找安全差距的第一个地方是公司进出的数据流。“人们今天可以很快地移动大量数据,”雷神网络产品的高级计划经理Dan Velez说,Insview内幕威胁检测和预防产品线。“虽然这对业务有益,但风险很糟糕,”他指出。
传统上,组织在保护外围环境方面做得很好,但在保护内部环境方面做得不好。他说:“是时候揭开面纱,更仔细地检查我们的网络上发生了什么。”
专注于数据流,Velez建议,因为较新的技术如云计算和移动计算每天都被引入到组织中,潜在地改变了特权用户池。此外,一些公司继续外包部分业务,将访问权交给公司无法直接控制的人和机器。
定义的威胁
“当我们谈论'内幕威胁'时,我们正在谈论某人或某些东西有权访问[世卫组织]可以使用这种访问伤害,”Velez说。Mahlik同意,添加内部人员可以是员工,商业领袖或监事,承包商,分包商或供应链伙伴。
在更新内部威胁计划之前,您必须形成一个多功能团队,了解员工,承包商和服务提供商的信息需求。内幕威胁计划需要平衡公司的保护与员工的权利和需求。
多学科方法至关重要。“目标是预防或干预危机面前,这需要一个方案方法,一个不是安全部门,”马哈克说。
Mahlik的团队已经与人力资源,法律和商业群体合作,以及吉尔的内幕威胁计划合作。团队成员考虑雇员的生命周期,从求职者退出,并将风险的风险领域的危险区域从作业候选人中出口,以检测和减轻威胁。
它必须尽一切努力,不要妨碍生产力和创新的政策或程序。“你要做的最后一件事是部署一个降低整体性能的系统,”马赫利克说。
识别威胁
通过内部威胁预防和缓解团队的就位,您能够迅速识别具有特权访问权限的员工、承包商和服务提供商的适当和不适当行为。
安全培训公司The Sans Institute的新兴安全趋势主管约翰·佩斯卡托雷(John Pescatore)表示,这样做有助于建立基线,从而引发异常警报。
“SANS学院的新兴安全趋势的主管John Pescatore表示,”设定指南“可以帮助第三方,如承包商,临时工人员和服务提供商,也是”作为员工。
启动此过程的一种方法是缩小由于其访问而敏感的位置,以及哪些行为是红旗或无法忍受的行为。
佩斯卡托雷说,将这些标准应用于求职者可以帮助组织避免严重问题。比如说,一个申请敏感职位的人属于黑客论坛,那么人力资源和招聘经理马上就会判定他不适合这个职位。Pescatore说:“制定指导方针也可以帮助审查承包商、临时工和服务提供商等第三方。”
雇用员工后,应强制执行访问规则。试图下载数据库的客户服务代表应该导致警报,因为这在您的访问权限之外。同样,一次浏览一条记录的数据库管理员应该唤起关注。贮存管理员在分配的窗口之外的备份也应被视为一个异常。
Pescatore称此基本安全卫生和内部威胁计划的关键要素。
技术进入游戏的地方
一旦建立了用户活动的护栏,那么您就可以开始使用技术来确保用户彻底转向它们。
一些公司不愿实施内部威胁计划,因为他们担心支持该计划的技术成本太高,或者对员工来说太麻烦。
但专家表示,内部威胁程序在很大程度上可以通过删除不需要或不太危险的特权访问,以及使用网络中已经嵌入的工具来实施。
Robert Bigman,咨询2MSECURE和中央情报局的前CISO,指向老年的应用程序,需要特权权限作为开始支撑您网络的好地方,因为它们是海外黑客的主要目标。
美国士兵布拉德利曼宁最终收到了35年的判决,以泄露到维基解密的分类文件。路透社/ Kevin Lamarque
在早期版本的C中编写的一些遗留计划,例如石油和天然气行业的那些,以进行市场定价计算,要求用户使用管理权限登录Windows环境。“如果他们需要在内部网络上运行这些应用程序,那么不要让他们连接到互联网,”Bigman说。
它还可以通过将它们放入带沙箱的虚拟环境中隔离这些易受攻击的应用程序,实际上隔离它们,但仍然可以提供对互联网的访问,同时保护它们免受漏洞。
Bigman补充说,承包商,如目标的HVAC公司,不应被允许在与敏感的客户数据相同的逻辑网络层上运行。“它应该是检查服务级别协议,以确保它占与公司数据分开的连接,”他说。
作为工作站审核日志的简单,可以转发有关内幕威胁的关键信息。“审计日志在进程启动和停止时显示,或者移动或更改文件时,可以揭示在工作站上操纵安全控件的用户,”雷斯龙的Velez说。
此外,典型的网络数据流监视器可以在业务类型或卷中显示异常。如果用户突然开始转移成堆的文档,则数据流监视器将拾取。
然而,Velez警告说,传统工具只能走这么远,组织需要一个适当的过程来响应警报。他说:“虽然你可以得到数据传输量增加的迹象和警告,但你也需要有能力窥探内部,检查这些活动是否适当和得到授权。”
人类遇到机器的地方
吉尔玛丽克说,很少有人加入公司的意图成为内在威胁。“那些成为内界威胁的大多数人有一些改变事件或者发展环境,这会将它们推向边缘。”
他说,这是必要的,让员工人口对正常行为敏感,并且鼓励在看到异常时发表说话。
资源
联邦安全界一直专注于帮助企业减轻他们的内部威胁,并结合了一些指导方针:
- 一个内部威胁类型分析被证书收集,大部分分为三类:破坏(24%),欺诈(44%)和知识产权盗窃(16%)
- 一种内部威胁资源清单由证书编制
- 一种FBI的底漆;可提供可下载的(PDF)版本
- 的清单内部资源的威胁由保安顾问Gideon T. Rasmussen策划
——桑德拉Gittlen
然而,公司也必须通过对观察到的行为进行分析来避免误报。管理人员必须将该计划视为公司风险管理框架的一部分,员工必须将该计划视为公司责任的一部分,以确保一个安全和有保障的工作环境。
他补充说:“市场上有有效的IT工具可被动,而不是侵入性,并且不会降低生产力或网络性能。”
Laconia集团咨询和退休高级情报官员Larry Knutsen将在主动内幕威胁检测计划升级过程中的步骤比较隆隆声,当他们偏离路时,警告司机。
例如,如果有人开始访问他的工作计算机上的黑客网站 - 并且最终阻止这样做 - 但是内幕威胁检测程序从其端点监控系统接收警报,这是这种立即解雇的理由吗?克伦森说,最有可能没有。相反,内幕威胁团队的代表可以接近个人并解释为什么行为是不可接受的。然后,该团队可以留意持续的异常行为。(Knutsen说他表达的观点是他自己的观点。)
克努森还认为,大多数员工并非故意伤害员工,他们可以通过教育、培训和深思熟虑的政策加以阻止。克努森说:“内部威胁检测程序的目标应该是拯救有价值的员工,并迅速清除邪恶的员工,因此不应该透露秘密武器。”他表示:“这是至关重要的,因为企业要花费宝贵的资源来确定候选人,然后聘用他们,将他们整合到员工队伍中,培训他们并提拔他们。”
“一个明确的过程对于保护所涉及的个人和知识产权的隐私和声誉至关重要。”Laconia集团咨询总裁拉里·纳滕说。