一个公司自己的员工是一个重要的因素大多数数据泄露两项新的研究表明,无论是通过恶意活动,还是通过可避免的错误,但企业在解决这个问题上做得还不够。
根据CompTIA最近的一项调查,在安全漏洞的根本原因中,人为错误占52%,技术错误占48%。
然而,不到三分之一的受访者认为人为错误是一个严重的问题。
报告称:“企业对人为错误不太关心的主要原因是,这是一个没有明显解决方案的问题。”“对恶意软件或黑客攻击的高度担忧可以通过技术投资来解决。”
但一周前发布的这份报告称,人为错误只能通过培训来解决,而且几乎没有衡量培训有效性的指标。
与此同时,SANS研究所昨天发布的调查显示,疏忽大意的员工占了公司对内部威胁的大多数担忧,而不是恶意的员工,以及所有承包商、客户、合作伙伴和其他附属机构的总和。
但32%的受访者表示,他们没有能力防止内部事件或攻击。略占多数的受访者(51%)表示,缺乏培训限制了他们应对内部威胁的能力,43%的人提到预算问题,40%的人说他们没有足够的员工,40%的人指出缺乏技术解决方案。
除了教育
安全专家很快提出了技术解决方案,以解决疏忽和恶意员工的问题。
洛杉矶利伯曼软件公司总裁菲利普•利伯曼表示:“我们的立场是,过去十年来,IT部门一直在试图通过基本的手工方法来确保系统的安全。”
他建议公司使用更自动化的工具来管理访问权限和证书。
洛杉矶Securonix公司的首席科学家Igor Baikalov说:“安全意识是必须的,但这是一项缓慢而困难的任务,正如CompTIA的研究表明,人为错误仍然是安全漏洞背后的最大因素。”
“改变游戏规则的是,”他说,“通过自动化分析进行持续的风险监测。”
他说,它可以检测人为错误,减少误报,并降低发生率响应时间。
卢森堡BalaBit安全公司产品经理Péter Gyöngyösi表示:“人类一直被认为是IT安全链中最薄弱的环节,他们拥有的特权越多,对公司网络构成的风险就越大。”
Gyöngyösi建议,公司应该采用能够学习员工典型行为模式,然后观察异常情况的技术,对拥有最高特权的员工给予最多关注。
超越它
另一个问题是处理员工,SANS研究的赞助商、位于佛罗里达州维罗海滩的SpectorSoft公司的首席运营官迈克·蒂尔尼(Mike Tierney)说,无论是疏忽还是恶意,都需要一套不同于对抗外部威胁的流程。
“这需要一个不同的团队,一种不同的处理方式,因为你是在和公司内部的员工打交道,他们有合法的权利,”他说。
预防和应对都需要人力资源、法律和公司其他部门采取行动,而不仅仅是IT部门。
蒂尔尼建议,信息安全经理与这些部门联系,不仅仅是在发生泄密事件后,而是主动地,帮助防止泄密。
例如,如果一名员工申请升职却被拒绝,或者一名销售人员被列入绩效计划,但即将达不到目标而被解雇,这些都可能是潜在问题的早期指标。
由于隐私原因,人力资源部门可能无法提供每个情况的详细信息。
“但他们可以说风险升高了,”蒂尔尼说。然后,IT可以通过提高特定员工的意识来做出响应。
他说:“我认为这将大有帮助。”
内部人士到底有多大的问题?
然而,这两项新的调查都与其他关于安全漏洞原因的研究相反。
例如,根据威瑞森(Verizon)的数据,在2010年、2011年、2012年和2013年的所有入侵事件中,内部行为者的责任平均占11%。合作伙伴对不到1%的违规行为负责。
据蒂尔尼说,那是因为很多内部人的案子都被漏掉了。
他说:“75%的内部犯罪没有报告或没有被起诉。”
事实上,根据CERT去年的报告,不仅75%的公司在没有任何法律行动的情况下在内部处理内部威胁,只有10%的公司涉及执法,其余的大多数公司通过内部法律行动处理事件。
这篇题为《调查:员工在大多数违规行为中的过错》的文章最初是由方案 。