“简而言之,一个内部程序应该能够管理数据点,揭示‘谁’可能是恶意活动的高度关注的有毒风险评分,”卡马乔说。
Hatias Brutti是Okta的黑客,也许是最不占的,但在内幕风险团队中的最重要作用是红色团队,其次是明显的事件响应和监测团队。一个红色的团队负责扮演内部威胁的角色,而蓝队试图监测和防御这些威胁。Red Team成员主动尝试找到抵抗数据的方法,获取个人身份信息(PII)并访问某人范围之外的未经授权的服务。“他们这样做是为了帮助建立将会妨碍未来真正攻击的现实流程和程序,”他说。
Exabeam首席执行官兼联合创始人尼尔·波拉克(Nir Polak)对由谁组成内部风险团队的看法略有不同。“我们看到越来越多的公司创建了内部风险组织,而这些组织通常不会向IT安全组织报告。这些团队通常包括有警察或调查背景的人,而不是IT技能的人。这是有道理的,因为内部攻击往往不是基于技术的。它们使用对敏感信息的有效访问的有效凭证,但目的是将该信息用于无效的目的。在这种环境下,法医和侦探技能将非常宝贵。”
团队职责
简单地说,波拉克说,这些团队是为了创建最小化风险的政策,然后选择帮助实施政策的解决方案。他们还使用相同的工具来监控政策。例如,政策可能会说,“员工对机密数据的访问权限不应该超过他们当前工作所要求的权限”,然后团队实施一个程序来定期审查访问权限。
Polak说:“你会惊讶地发现,员工往往会积累访问权,然后在转到新项目时从不放弃。”
BluVector首席执行官克里斯•洛夫乔伊(Kris Lovejoy)发现,如果员工和承包商(扩展团队的一部分)清楚“为什么”安全很重要,就更容易确保他们学习并坚持“如何”安全。“尽管如此,内部风险团队职能的另一面是确保存在政策和流程,以便在‘规则’被违反时能够迅速做出反应。”
Technologe Rainment管理和风险隐私主管Jo-Ann Smith表示,内幕威胁团队的第一个任务应该是定义组织各级内存中存在的各种类型的风险。接下来,该团队应优先考虑风险和实施解决方案,包括设定与自己的直接报告的交互指南,为减少或减少风险所需的基线控件类型提供指示,并建立将实现的基线标准公司衡量现有风险级别并报告它们。
该团队应彻底,定期审查员工和供应商。Burke表示,这对可能表现出奇怪行为或具有正式投诉的人员尤其重要,以及具有特权获得关键资产和敏感信息的职位。
Westby表示,一支团队领先应负责建立和管理对内幕风险的任何安全,董事会或审计委员会的整体努力和报告。核心团队应具有运营率,负责执行监测,测试,事件响应和修复活动。程序架构师/设计师应引导该程序的策略,控件,流程和选择的开发。分析师应与团队成员及其组织合作,执行风险评估过程和报告。最后,监督铅将有助于衡量绩效并确保合规性。
Optiv Security的企业风险和合规副总裁Chris Gray表示:“监控、监控、监控。我再怎么强调识别威胁的重要性都不为过,而快速、有效的识别有赖于良好的监测过程。连对是什么都不知道,怎么能认错呢?”
Dottie Schindlinger,治理技术福音师勤奋据悉,该政策应该协调系统/控件的培训,测试和审计计划。该策略应导致一个程序标识特定的系统和控件,以帮助识别,缓解和管理潜在的内幕风险。该程序还应向公司内部任何人解释该过程,以报告潜在的内幕风险,以及为“举报人”提供的保护。理想情况下,应至少每年审查,测试和审核该政策及其相关程序。
“合规应该拥有流程,要求和程序,因为它们是这些领域的守门人,”布鲁蒂说。他补充说,所有团队都应该经常满足并讨论新场景,并保留矩阵,使公司将团队映射到可以达到的级别和数据。从此矩阵中,团队可以调整,优先顺序和创建策略。他们还可以协调职责的关键分离,以将某些流程的至关重要函数分散给多个人或部门。
他说:“这降低了风险,并让人们了解如何监控,在哪里投资,并在建立新的监控平台和规则时获得良好的投资回报。”
曼奇尼表示,内部风险团队的职责将根据你对内部风险的看法而有所不同。对于Cylance来说,内部风险有几种形式(不满的员工、间谍、不知情的员工、承包商/供应商威胁),每一种都需要不同的潜在“职责”来降低风险;一些可能会被拦截,通过适当的持续风险渠道,维持程序渠道来表达不满,持续的员工健康/士气计划,适当的高管信息与士气有关,培训经理在他们的报告中发现内部风险,以及对资产和潜在不良活动的技术监控。
“团队使命将设计,实施和提供监督的控制,以减少基于这些不同的内幕威胁配置文件的风险。他们将对技术解决方案提供治理,以确保效力,但也确保保护员工隐私受到保护。他们说,他们将设计,实施和测试定制的必要的事件响应计划,以解决有关内幕风险介绍的差异,“他说。
KomodoSec咨询公司的联合创始人Yossi Shenhav说:“内部风险团队的首要任务是对所有员工,包括新老员工,进行彻底的背景调查,看看是否有危险信号出现。然后,应该让所有员工都知道,敏感或财务数据的访问会受到持续的、系统的监控和限制,这样就会非常清楚,任何不当行为都会被拦截并迅速而严厉地处理。最后,由于有意违反法律的个人仍然会发生事件,一个小组应该作为事件响应小组,以系统的取证支持,以阻止攻击和/或最小化破坏的严重性,并逮捕罪犯。”
这篇题为“谁应该加入内部风险团队?”的文章最初是由方案 。