左机会,除非你碰巧碰到一个带有装满文件的盒子的人离开建筑物,否则你可能永远不会抓住一名内幕红牌。这就是内幕风险团队进入的地方 - 来自各个部门的员工组,这些员工创造了创建系统的政策,以注意这些机密项目已离开建筑物。
“内幕风险是一个真正的网络安全挑战。When a security professional or executive gets that call that there’s suspicious activity — and it looks like it’s someone on the inside who turned rogue — the organization needs to have the right policies and playbooks, technologies, and right team ready to go,” said Rinki Sethi, senior director of information security at Palo Alto Networks.
Cylance的信息安全高级总监史蒂夫·曼奇尼(Steve Mancini)站在了不满员工的角度,他表示,在他们的恶行发生之前,需要为他们提供发泄不满的渠道和追索权。“的员工和管理者需要培训发现的迹象心怀不满的员工并给予渠道报告问题的方式并不判断潜在不满的雇员,而是把合适的人放在他们的路径来帮助他们解决任何投诉之前他们已经升级。”
但并非所有公司都在发现愤怒的员工可能在报复时进步。政策将涵盖员工的那些明显的员工举例,这是一个经过大量的复印件或通知USB驱动器被插入计算机的警报,但它令人棘手地处理这些方案,这些方案对于所有人来说都是为了看到。它是内幕风险团队,必须提出每一个假设情景,以便在那些只想达到Vendetta的不满的员工领先地位。
“内幕风险往往比外部威胁更少发生,但负面影响可能是十倍。有权管理专业知识的正确内幕风险团队是一个必须评估罪恶的必要条件,确定罪魁祸首并执行您的反击计划,“Sethi说。
谁应该加入这支队伍?
许多保安专家明确表示,关注内部威胁的迹象是每个人的责任。但就球队的化妆而言,它应该是整个公司的代表。
该团队应包括技术IT和安全团队,以及非技术利益相关者,如C-Suite成员,法律顾问和人力资源,说Veriato的CSO David Green表示。
“后三位可能不熟悉这样一个事实,即传统的安全解决方案并不总是能有效地防止内部威胁,因为,首先,它们主要集中在外围安全,其次,他们的目的并不是为了识别或防止那些被授权访问敏感数据或系统的内部人士所引发的问题。”“但这些部门应该团结起来,讨论与内部威胁相关的各种挑战,并制定政策和程序,在保护员工隐私的同时防止和检测这些威胁。”
这是每个部门应该带到表格的内容:
管理层:A member of the executive team should be present because you’ll need buy-in from the executive team to ensure the other departments represented on the insider risk team have the authority to establish a risk-based monitoring program and sign off on an Acceptable Use Policy (if one isn’t already established); set boundaries of what’s acceptable behavior and what’s not; and tie the plan to the company’s strategic objectives and help outline a security policy.
合法的:法律团队应在场,以确保所有员工/用户监控活动符合任何地方、州和联邦法律。他们还应该帮助界定哪些是允许监控的,比如电子邮件和即时消息、员工访问的网站、他们使用的在线应用程序或他们下载或打印的任何内容。如果员工的账户出了什么问题,记录他们在线登录银行账户可能会给公司带来法律风险。此外,由于IT可能不被允许审查更高级别员工的活动,legal将与安全团队合作,以确定组织中的哪个角色可以审查哪些活动集。
人力资源:人力资源可以帮助创建必要的流程,以确保有必要的监控和文件化的需要,并使安全团队意识到这些问题,而不违反任何隐私法。例如,他们可能意识到员工离职(潜在风险)或员工的个人或财务问题可能使他们面临高风险,值得调查。人力资源团队(或任何部门)将通过预先确定的职位风险级别来传达这种威胁,而不是单个员工的名字。
它/安全:IT – or whomever will be involved in both evaluating possible technology solutions and implementing the selected solution, will provide the other non-technical team members with context around which users have access to what sensitive data, as well as what’s possible when it comes to monitoring activity – all of which will be invaluable when putting the planning and preparation output of this team into practice. Technologies such as user behavior analytics, for example, look at patterns of behavior, and do not require inspection of the content of an employee’s activity to deliver on its promise of detecting insider threats. User activity monitoring software lets you capture and review the specific actions of an employee’s activity, including their emails or texts, if needed. There are versions of both that enable you to configure the types of activity monitored to align to your organization’s goals, with privacy protections woven throughout to address HR concerns.
“来自表面上受信任的内部人员的恶意活动的风险仍然是全球组织的现实。IT部门无法独自实施一个完整的内部风险计划,也无法使其正常工作。
每个组织都需要建立一个“内部风险”团队,专门处理相关的挑战——从确定谁有权(或应该有权)访问公司和客户的机密数据,以及每个位置的“风险级别”应该是什么,到什么构成不当用户行为,他补充说,他们的活动将如何被监控,该组织将如何沟通哪些行为是可以接受的,以及违反“规则”的后果。
AppRiver的网络和安全管理员Scottie Cole表示,内部风险团队对一个组织的安全至关重要。然而,内部风险团队不一定要专门的全职职位,而是要有广泛的职位,以带来最全面的安全角度。
Sungard Availability Services的全球CSO Shawn Burke表示,一个内部风险团队要想取得成功,需要整个公司的合作。负责供应商尽职调查的采购,负责筛选的人力资源,负责内部沟通和后果协议,负责整体应对策略的风险委员会。然而,总法律顾问和首席合规官是关键的利益相关者,因为内部监控必须遵守一系列新的州和国家隐私法。
Mancini表示,一个有效的内幕风险团队,将设计控制,采取行动,提供治理和调查。“治理和控制对内幕风险队来说至关重要,谁会观看观察者?审计能力必须编织到该过程中。“
Kennet Westby,总裁兼联合创始人煤炭系统,表示,内部风险团队还应包括来自任何具有更高权限和特权的其他用户/团体的代表,包括任何供应商管理团队和第三方承包团队。其他人认为团队应该包括CISO、CIO以及风险和合规官员。
Steven Grossman,战略副总裁和湾动力学的支持,指出,组织中的每个人都需要发挥作用。“然而,关键的核心玩家必须由多个理解用户行为的人才组成,以及网络风险的整体景观。其中包括应用程序的类型和值,与这些应用程序关联的主机以及这些主机和应用程序的漏洞姿势。具有深入业务理解其治理下申请的价值和安全的应用安全所有者在团队中发挥着重要作用。他们知道看似异常的行为是否确实是业务合理的,“他说。
首先,该团队应将允许基于业务需求的适当访问的政策,并查看工具以防止内幕滥用。这需要提供对内幕访问和可能的偏差的正确可视性。
不是每个人都同意谁需要在这支球队上。它可能只是语义,但有些专家认为,内幕风险团队的主要责任是创造政策,然后是各个团队要遵循它们。其他专家认为该团队是一个小组在一分钟后跟进,以了解任何异常何处。
Hamesh Chawla,工程副总裁西风据悉,内幕风险团队应始终如一地每天查看报告和日志,以了解正在发生的偏差,并立即与本集团立即解决这些偏差以实施行动方案。“这些专业团队应制定危机计划,减轻损害,如果内部人士袭击事件发生并具有具体,适当的滥用行动。”
javvad malik,Alienvault的安全倡导者,将职责分成几乎层数:
部门经理:第一道防线,他们知道员工最好,了解他们需要的任务,他们需要访问的信息以及他们的整体士气和幸福。
资产所有者:需要编译准确的资产库存,分类数据和所识别的所有者。这些资产所有者应了解需要在停机时间和任何计划更改时访问该资产的服务和用户。如果检测到任何可疑活动,资产所有者应该能够验证是否恶意。
法律/人力资源:无论何时调查潜在的内部欺诈,都必须有法律和人力资源代表,以确保个人权利不被侵犯,任何调查都是以合法的方式进行的。
取证:同样,可能需要取证调查人员以进行详细的调查。这可能包括为法律目的拍摄设备的法医图像,并调查弊端。
分析师/ SOC:安全运营中心(SoC)是组织内所有威胁检测的核心。与所涉及的各方合作,可以识别资产和配置的适当警报。类似地,行为分析应该是SOC的核心组件,因此它们可以检测与正常活动和行为的任何偏差。他们通常会通过从事其他负责任的缔约方来启动事故响应流程。
Chris Camacho(Chris Camacho)Chris Camacho(Chris Camacho)是Chris Camacho,Chris Camacho表示,成功的内幕威胁计划需要访问数据,该数据应该包括终点,代理,搜索历史记录,电话记录和物理访问日志。“能够理解和摄取多个源数据/信息是一个关键部分,以便对谁进行准确分析,谁可能处于内部内幕活动的高风险。当然,员工的动机是为什么可以发生恶意活动并且可以从思想,财务需求甚至勾结员工的勾结或敲诈勒索的关键方面。右数据集的访问和相关性是倾向的,但利用智能分析师,人类因素是内幕难题的重要组成部分,“他说。
内部程序还可以利用诸如用户行为分析(UBA)将提供头部开始将所有数据携带在一起。“但是,为了充分利用该工具,有人必须能够过滤噪音。在一个平台中访问数据是一个很好的开始,但通过事件和噪声过滤更为重要,“Camacho表示,添加了如何找到如何找到没有意义的异常或模式是一个关键函数到A开始的一个关键函数成功的计划。