当涉及到实体工厂时,用监控摄像头和访问徽章很容易就能判断内部人员是否有不轨行为。现在有了一个更加虚拟的网络,你不可能总是知道坐在隔壁隔间的人是否能接触到机密文件。
虽然内部威胁仍然指的是公司的员工,但入侵者不再是位于大楼范围内的人。访问网络可以在当地的咖啡馆等公共场所进行。
“对于今天的公司来说,老的公司系列正在更频繁地消失,挑战只会增加。企业需要调整它们的政策和程序,通过保护企业的终端设备和正确的工具来防止威胁,这些设备和工具保护并允许用户进行他们的工作,”Okta的黑客Matias Brutti说。“工作环境在不断变化,因此在公司层面进行监控是困难的。”
他说,大部分技术已经发生了变化,但限制仍然存在,公司必须继续积极主动地阻止恶意攻击。“他们必须了解自己面临的威胁,并调整自己的技术来为他们服务。雇佣正确的团队和开发正确的技术比以往任何时候都更重要。”
Cylance公司信息安全高级主管史蒂夫·曼奇尼(Steve Mancini)表示,并非所有的内部威胁都是一样的。“我们如何阻止那些来自粗心或疏忽的人,可能会与那些来自故意恶意的人有所不同。”众所周知的‘胡萝卜加大棒’原则适用于人类行为的这个领域,就像适用于其他领域一样。”
■相关报道:内部风险政策应该怎么说?
他补充称,对内部威胁的威慑,需要与你试图减轻的风险类型挂钩。这个问题的答案取决于公司文化的环境因素,组织的状况(健康、失败、裁员等),以及你如何对待/监控/合法管理承包商。
安全供应商们就如何对付这种无形的威胁发表了自己的看法,这种威胁实际上可以在网络中传播到任何地方。
Exabeam的首席执行官和联合创始人Nir Polak简洁地说:“Mini-Max”——尽可能地减少访问,最大限度地监控不寻常模式的相同访问。
Matias Brutti, Okta的黑客
这是安全厂商的共同主题。不要为员工打开通向整个网络的大门。让访问成为一种特权,而不是一种权利。
哈梅什·舒拉,工程副总裁西风他说,公司应该提供一种“需要知道”的途径,并对所有采取的行动进行审计。审计应该由那些有足够能力这样做的人来实现,比如root和administrator角色。
Geoff Webb, Micro Focus的战略副总裁,他说,企业能做的最重要的一件事就是减少内部人士接触敏感数据的机会。“许多组织难以充分管理谁有权访问数据,甚至是高度敏感的数据,这主要是因为现代员工的复杂性、许多外来者的角色、信息流动的速度,以及长期员工的特权效应。”
他说,除了减少员工的访问权限之外,企业还应该执行良好的治理实践,其中审查和认证谁具有访问权限的责任完全由管理该数据源的业务部门经理承担。
Webb说:“企业应该监控围绕敏感或有价值数据访问的活动,寻找异常行为,这些异常行为可能表明内部人员不正确地访问了数据,或者像通常的情况一样,外部人员在窃取了他们的凭证后成功地冒充了有特权的用户。”“就像所有的安全措施一样内部威胁需要一个多层次的方法。好消息是,提供最大价值的往往是最基本的步骤,而系统性和彻底性在保护敏感数据方面提供了巨大的好处。”
Sungard Availability Services全球首席信息官肖恩•伯克(Shawn Burke)表示,内部政策需要通过正确的技术加以实施,例如,为财务和人力资源部门实施用户活动监控,可以帮助发现并防止他们滥用敏感信息的能力。组织也应该执行日常工作安全意识以及信息治理培训。这样的培训可以确保员工得到良好的建议事件响应并鼓励他们积极主动地报告可疑活动。”
意识培训
接受采访的安全专家的另一个共同点是,安全意识培训是员工识别内部威胁的关键。
AlienVault公司的安全倡议者Javvad Malik说,用户意识和教育应该被广泛传播和重复。这包括提醒什么是可接受的行为,什么是不可接受的行为,风险是什么,以及如何报告可疑的违规行为。
马利克说:“部门经理还应该接受培训,定期提醒员工,并保持警惕,发现任何不良行为。”
AppRiver的网络和安全管理员Scottie Cole说,阻止内部风险的最大因素是对所有员工进行持续的安全意识培训。这就培训了员工对他们的期望,并为他们提供了识别风险的信号。内部风险团队还应该持续进行评估,对公司资产进行审计,以帮助识别可能被忽视的风险。”
多蒂·辛德林格,管理技术布道者勤奋的他说,培训应该是对该组织目前已经进行的安全培训的补充。内部风险团队可以在评估以安全为重点的软件工具方面发挥领导作用,这些工具有助于识别和遏制内部威胁,并为敏感信息提供安全保障——尤其是与外部方共享的信息,如发送给外部董事的董事会文件。
Absolute技术风险管理和风险隐私主管Jo-Ann Smith提到,内部风险管理团队应该定期开会更新政策。“一旦到位,关键是要创建和维护风险登记册,对风险进行限定和量化,以进行补救和随后的缓解措施。”为了展示进展,团队应该创建kpi,然后对风险水平进行审计和报告,以显示状态和年复一年的改进。”
Schindilinger说,风险管理团队还可以帮助确保公司的“告密者”政策和程序是可行的,易于操作,并能够在发现内部威胁的情况下迅速实施。“最重要的是,这个团队应该与公司领导层合作,建立一种透明和负责的文化,确保政策得到严格执行,任何提供有关潜在威胁的信息的人都会得到奖励,而不是惩罚或排斥。”
她补充说,实施风险缓解和安全软件对于识别、阻止和报告事故非常重要。然而,软件不能单独解决这个问题。建立一种问责和透明的文化——以及严格执行政策——可以帮助阻止潜在威胁演变成危机。
一些安全专家在指出需要如何实现意识培训时使用了术语“社交化”。
Kennet Westby,总裁兼联合创始人Coalfire系统他说,最大的威慑力量是识别风险并制定应对方案。“比任何具体政策、控制或技术更有价值的是,公司的重点和文化承诺要解决内部威胁。”通过提高意识,了解风险的影响,并在内部建立一个团队来迎接挑战,你可以立即将公司文化转变为一个致力于自我保护的团队。”
OneLogin的首席信息安全官阿尔瓦罗•霍尤斯(Alvaro Hoyos)表示,让所有员工都有责任震慑和侦测内部威胁的观念变得社会化是关键。这类似于一个成功的安全意识项目努力做到的。投资于技术解决方案也很重要,但没有任何技术解决方案可以取代专注的最终用户。”
Forcepoint的咨询服务总监Eric Stevens说,从威慑的角度来看,有一个明确的社会化的计划是一个很好的开始。教育用户您正在运行一个内部威胁程序,该程序的目的是什么,正确的数据处理是什么样的,并确保他们理解自己在保护企业方面的作用,这有助于遏制粗心的行为,并将有意的错误行为者置于注意的位置。技术控制,例如用户和或端点行为分析,然后可以提供必要的监控程序和警报IT安全异常行为,同时收集必要的法医证据。
知道你的资产
如果你不知道你的网络中有什么,就很难确定是否有人正在访问他们不应该访问的信息。
Malik说,企业应该有关键资产及其所有者的身份,并对数据进行分类。应该对前提和云基础设施都有一个了解。这一点应该通过可靠的威胁情报加以加强,以便确定有组织的团伙和流氓个人已知使用的任何行为模式。
Bay Dynamics负责战略和实施的副总裁史蒂文•格罗斯曼(Steven Grossman)表示,为了有效降低内部风险,公司应该了解哪些资产如果受到损害,将会造成最大的损害,这些资产位于何处,以及由谁来管理和与之互动。公司还应该将访问这些资产的权限限制在需要这些资产的员工和承包商范围内,持续监视行为,并让应用程序所有者参与业务,以使警报符合可疑或业务合理的条件。
“这种以业务为导向的认证大大减少了噪音和误报,将最重要和最紧迫的警报挤到了最前面。”非恶意的政策违反者应该被告知,这是不可接受的行为,并被送往有针对性的安全意识培训,重点关注违反政策的行为,并在培训后跟踪,以确保他们改变自己的行为,”他说。
布鲁蒂说,组织应该始终通过模拟新的威胁来测试内部威胁,而不是将其视为一次性构建的策略。红队应该总是执行新的攻击,而蓝队应该尝试检测他们,并建立在他们所学的基础上。
BluVector首席执行官克里斯•洛夫乔伊(Kris Lovejoy)的策略与其他安全专家略有不同。她认为,切断联系将扼杀创新。她表示,企业不应过度保护自己的网络,而应在保护组织和业务健康之间保持平衡。“就像水一样,员工和承包商也会在过于严格的控制下找到自己的出路。”他们会使用个人电子邮件、收件箱和其他不太安全的数据传输机制来完成工作。”
这个故事,“检测内部威胁比你想象的要容易”,最初是由方案 。