他承认,人们对工作场所的隐私期望有限,尤其是在公司网络上。但他表示,员工的“创造性倡导者”可能会辩称,“UBA与其他类型的监控非常不同,因此需要在通知中明确提到UBA。”
卢米斯补充说,在不受“工作权”法管辖的州,“如果一个人没有任何原因(除了预测智能)而终止工作,将会引发法律问题。”
甘布斯说,美国法院已经裁定,员工在工作场所有合理的隐私期望。“我无法想象行为预测不会越过这条线的情景,”他说。“只有国家安全问题才有理由取代此类裁决。”
UBA的支持者强调,它的目的不仅仅是追踪那些有犯罪意图的人。虽然恶意的流氓员工会造成最大的伤害,往往会登上最多的头条,但他们相对较少。
他们说,更大的问题来自那些无意的流氓——那些拥有太多访问特权的人,那些使用“影子”信息技术的人,以及/或那些只是懒惰或粗心的人。
Nayyar说:“根据我们的经验,特权过多的情况约占内部威胁事件的65%,影子IT事件占20%,粗心大意占15%。”
莫兰德为这类员工列出了一系列标签,包括“权限囤积者”,这些人“尽可能多地获取权限,并拒绝放弃任何权限,即使不再需要。”
其他被他称为“创新者”的人是善意的——他们试图变得更有生产力——但他们做到这一点的方法之一是绕过IT政策。
冈布斯指出,威瑞森数据泄露调查报告发现,“特权滥用是最具破坏性的内部威胁。”
但他补充说,并非所有滥用访问特权的行为都是无辜的,也并不一定意味着员工享有过多的特权。他说:“在大多数情况下,用户对他们的角色拥有适当级别的特权,他们只是为了个人或经济利益而滥用这些特权。”
他和其他专家表示,在这些情况下,身份和访问管理可以显著降低安全风险。
“过度特权是一个严重的问题,”奥弗利说。“总的来说,如今企业中的大多数用户都享有过多的特权。最低特权的概念很少被恰当地实施,随着人员职责的变化和演变,更少被提及。”
SAVANTURE的联合创始人、首席信息官和隐私实践高级副总裁丹尼斯·德夫林(Dennis Devlin)说,他也看到了同样的事情。他说:“根据我的经验,大多数在一个组织工作了很长时间的人都有过多的特权。”“访问权限是不断增加的,而且会随着时间的推移而增加。最低特权法的存在不仅是为了防止恶意访问,也是为了防止意外或无意的泄露。”
丹尼斯·德夫林他是SAVANTURE的联合创始人、首席信息技术官和隐私业务高级副总裁
他说,更好的访问管理可以减少侵入式监控的需要。他说:“适当的特权可以使个人保持在各自的‘泳道’内,减少过度监测的需要,并使SIEM分析更加有效。”
然而,除了法律和士气方面的问题,对联合银行的裁决还有待观察。
奥弗利以他的经验说:“在准确性方面还有很长的路要走。通常情况下,当识别出真正的威胁时,错误警报的数量会导致结果被忽略。”
Nayyar说,通过分析地理位置、权限提升、连接未知IP或安装未知软件以后门访问敏感数据等异常或“异常”行为,它确实有效。
她提供了一个标记流氓行为的例子:一个软件工程师从一家公司辞职,一个月后就要离职,他表现出了以前从未见过的行为。
她说,在休假期间,这名员工“从以前看不到的IP地址登录,访问源代码存储库,并从他没有被分配的项目中下载敏感文件”。
“两天后,该工程师访问了多个服务器,并将下载的文件移动到一个NFS(网络文件系统)位置,他将该位置设置为可挂载,并试图将文件同步到被禁止的消费者云存储服务。”
她说,用户在创建NFS挂载点时就会被标记,“基于预测建模,他的VPN连接被终止。”
但是,尽管这听起来很有效,就连UBA的倡导者也警告说,就像任何安全工具一样,它是一个“保护层”,而不是保证。
“完美是不可能实现的,”奥弗利说。“内部人意图对业务造成损害的,可能无法防止。”
这篇文章《行为分析vs.流氓内部人员》最初是由方案 .