内部威胁:意义、预防、计划和重要性

内部威胁

当今现代企业的顺利运作依赖于大量的员工。 但这意味着成百上千的现任或前任员工、供应商、合作伙伴或承包商始终可以访问敏感的组织信息。 “内部威胁”是网络安全专业人士所说的。 这些人是内部人员,因为他们被允许访问可能被共享或用于损害组织的信息、数据或资源。 本文将涵盖网络安全中内部威胁的整个主题,包括它们是什么、如何识别它们、为什么它们是危险程序以及如何预防它们。

什么是网络安全中的内部威胁?

为贵公司工作的人员如果破坏了关键信息的可用性、机密性或完整性,则被视为内部威胁。 他们可能会通过无意中泄露私人信息、上当受骗、破坏财产、丢失公司设备或故意破坏系统来实现这一目标。

可能的内部威胁是有权访问敏感数据或资源的人。 其中包括人员、分包商和合作伙伴。 如果前员工在离开公司后继续接触机密信息,他们可能会构成内部威胁。

内部威胁的类型

对网络安全的内部威胁可分为恶意行为者或疏忽人员。 在这一部分中,我们将讨论它们之间的区别以及它们为何构成威胁。

#1。 恶意内部人员

恶意内部人员是指故意获取机密信息或破坏公司的人。 他们这样做通常是为了经济利益,要么利用被盗数据进行欺诈,要么将其出售给第三方,例如竞争对手或黑客团伙。

报复是恶意内部人员背后的另一个驱动力。 这种情况最常发生在最近被解雇的人身上,他们对以前的公司怀有怨恨。 如果个人仍然可以访问重要系统,他们很可能会造成麻烦,无论是因为他们的建筑物钥匙仍在他们手中,还是因为他们的工作场所登录凭证仍然有效。

报复也可能激励现有的工人。 当他们感到自己被低估或因晋升而被忽略时,这种情况经常发生。 他们可以使用对公司系统的访问权来破坏运营或窃取机密数据。

#2。 疏忽的内部人士

丢失工作设备或上当网络钓鱼诈骗等员工错误可能会导致疏忽的内部风险。 这些情节可以分为两个子类别。 首先,一些员工运用了合理的判断力,却因情有可原而违反了数据安全法。 例如,他们可能因过度劳累或分心而犯错。

相反,一些粗心大意的内部人士不断违法,对员工意识计划不感兴趣。 他们经常使用组织的政策和流程过于官僚化或太不方便来为他们的行为辩护的论点。

他们甚至可能引用没有数据泄露来支持他们的主张。 如果是这样,数据泄露几乎肯定会在某个时候发生,而且更可能是运气而不是判断。

内部威胁有多普遍?

内部威胁一直是网络安全关注的焦点。 在 Cyber​​security Insiders 发布的 2021 年内部威胁报告中,几乎所有企业 (98%) 都表示他们感到容易受到内部攻击。

尽管这些事件经常发生,但要解释它们却具有挑战性。 在许多情况下,数据泄露的确切来源是未知的,并且很难估计危害。 根据 Cyber​​security Insiders 的一项研究,只有 51% 的公司能够识别内部威胁,或者他们只能在数据被泄露后才能这样做。

与此同时,89% 的受访者表示他们认为他们监控、检测和应对内部威胁的能力并不有效,82% 的受访者表示很难评估攻击的真实成本。

如何检测内部威胁

无论您是在寻找恶意行为还是疏忽行为,发现内部风险的最佳方法是留意员工的异常行为。
例如,如果员工在工作中表现得不开心,他们在面对面和写作时可能会表现得不够专业。 他们也可能做出不那么出色的工作并表现出其他不服从行为,例如上班迟到或早退。

在奇怪的时间工作有时可能是怀疑的迹象。 如果员工在半夜登录系统,他们可能正在做一些他们不想让公司知道的事情。
与上一个示例类似,如果流量很大,则可能意味着员工正在将私人数据复制到个人硬盘驱动器,以便他们可以欺诈性地使用它。

不过,员工对他们工作通常不需要的资源的使用是最有启发性的。 这意味着他们将信息用于不当目的,例如欺诈或与第三方共享。

如何防止内部威胁

您可以保护公司的数字资产免受内部危险。 如何? 继续阅读。

#1。 保护重要资产

确定贵公司最重要的逻辑和物理资产。 这些包括网络、系统、私人信息(如客户数据、员工信息、图表和复杂的商业计划)、实物资产和人员。 确定每项资产的保护现状,按重要程度对资产进行评级,理解每项关键资产。 自然地,应该为具有最高优先级的资产提供最高级别的内部威胁保护。

#2。 建立正常用户和设备活动的平均值。

内部威胁跟踪软件有多种形式。 这些系统最初通过从访问、身份验证、帐户更改、端点和虚拟专用网络 (VPN) 记录中收集数据来集中用户活动信息来发挥作用。 利用此信息来模拟与特定事件相关的用户行为,例如在便携式媒体上下载私人信息或用户的异常登录位置,并为该行为提供风险评分。

#3。 提高认识

在 2019 年针对高级威胁的 SANS 民意调查中,超过三分之一的受访者承认无法了解内部滥用行为。 部署持续跟踪用户行为以及编译和关联来自各种来源的活动数据的工具至关重要。 例如,您可以使用网络欺骗工具来设置陷阱来引诱邪恶的内部人员、监控他们的行为并推断他们的动机。 为了识别或防止现有或未来的攻击,此数据随后将提供给其他业务安全解决方案。

#4。 执行政策

应定义、记录和共享组织的安全策略。 它还为执法创建了适当的框架,防止了不确定性。 任何员工、承包商、供应商或合作伙伴都不应不确定什么行为适合其公司的安全政策。 他们应该意识到他们有义务避免与未经授权的人共享特权信息。

#5。 鼓励文化转变

尽管识别内部风险至关重要,但阻止用户进行不当行为更为明智且成本更低。 这方面的目标是鼓励文化转向安全意识和数字化转型。 灌输正确的价值观可以帮助防止粗心大意和处理有害行为的原因。 应不断衡量和提高员工满意度,以发现不满的早期预警信号。 员工和其他利益相关者应经常参加安全培训和意识计划,告知他们安全问题。

内部威胁计划

一种用于识别内部威胁预警信号、防止内部威胁或将其影响降至最低的行之有效的方法是开发有效且一致的内部威胁计划。 根据美国国家标准与技术研究院 (NIST) 特别出版物 800-53,内部威胁计划是“集中管理下的一组协调能力,旨在检测和防止未经授权泄露敏感信息。” 通常,它被称为“内部威胁管理程序”或“框架”。

内部威胁计划通常包括识别内部风险、解决这些风险、减轻其影响以及提高组织内部内部威胁意识的步骤。 但首先,在深入研究内部威胁计划的组成部分和实施该计划的最佳实践之前,让我们看看为什么值得将您的时间和金钱投入到这样的计划中。

创建高效内部威胁程序的步骤

我们制定了这个 10 步清单来帮助您充分利用您的内部威胁计划。 您可以采用以下 10 种方法来保护您的企业免受内部威胁。

#1。 准备创建一个程序来应对内部风险。

成功构建内部威胁程序需要做好准备,从长远来看,这也将为您节省大量时间和工作。 在此步骤中尽可能多地收集有关当前网络安全措施、合规标准和利益相关者的数据,并决定您希望该计划提供什么结果。

#2。 进行风险分析。

内部威胁计划的基础是定义您认为敏感的资产。 这些资产,如客户和员工信息、技术商业秘密、知识产权、原型等,可以是有形的也可以是无形的。 发现此类资产及其潜在危险的最佳方法是进行外部或内部威胁风险评估。

#3。 确定开发该程序需要多少资金。

创建成功的内部威胁程序需要时间和精力。 在开始之前,重要的是要认识到实施此类计划需要的不仅仅是网络安全部门。

#4。 获得高层管理人员的支持。

在此阶段,您可以使用在早期步骤中获取的数据来赢得关键利益相关者对将计划付诸实施的支持。 CEO、CFO、CISO 和 CHRO 经常出现在重要利益相关者的名单上。

#5。 组建团队应对内部威胁

负责威胁管理所有阶段(从检测到补救)的工作团队被称为“内部威胁响应团队”。 与普遍看法相反,这个团队不应该只由 IT 专业人员组成。

#6。 确定检测内部威胁的最佳方法。

抵御内部威胁的最关键方面是早期识别,因为它可以快速采取行动并降低修复成本。 这就是为什么符合 PCI DSS、HIPAA 和 NIST 800-171 的软件经常包含威胁检测组件。

#7。 制定事件反应计划。

您的响应团队必须练习典型的内部攻击场景,以快速响应已识别的危险。 内部威胁响应策略最重要的方面是它应该实用且易于执行。

#8。 计划事件的调查和补救。

规划您调查网络安全问题的流程以及潜在的纠正措施以减轻内部风险。

#9。 通知您的员工。

培训课程的主题将根据特定公司所采用的安全威胁、资源和方法而有所不同。 最后一步是评估内部威胁意识培训的成功与否。 您可以通过进行员工访谈、创建测试或模拟内部攻击来观察员工的反应来做到这一点。

#10。 定期回顾你的计划。

制作内部威胁程序是一个持续的过程。 为了使您的计划有效,内部威胁必须改变并变得更加复杂和危险。

为什么内部威胁如此危险

根据 SANS 关于高级威胁的报告,已经发现了内部威胁防御的主要漏洞。 这些差距是由于缺乏关于正常用户行为的基线数据以及特权用户帐户的访问控制管理不善造成的,而特权用户帐户是暴力攻击和网络钓鱼等社会工程攻击的主要目标。
最好的安全团队仍然难以识别内部威胁。 根据定义,内部人员可以合法访问公司的资产和信息。 很难区分合法活动和有害行为。

基于角色的访问管理是一种不充分的控制,因为内部人员经常知道敏感数据保存在哪里并且可能有合法的访问需求,这加剧了问题。

因此,内部人员造成的数据泄露比外部威胁行为者造成的数据泄露要昂贵得多。 研究人员发现,在 Ponemon Institute 的 166 年数据泄露成本报告中,恶意或犯罪攻击每条记录的平均成本为 132 美元,而系统错误为 133 美元,人为错误为 2019 美元。

当您认为内部威胁是造成大约三分之一的数据泄露 (Verizon) 和 60% 的网络攻击 (IBM) 的原因时,您就会理解为什么创建内部威胁计划是一项明智的投资。

内部威胁检测解决方案

由于它们隐藏在防火墙和入侵检测系统等专注于外部威胁的典型安全解决方案之外,因此与外部攻击相比,内部威胁可能更难检测或预防。 如果攻击者利用授权登录,现有的安全措施将无法注意到异常行为。 此外,如果恶意内部人员熟悉组织的安全协议,他们可以更容易地逃避检测。

您不应依赖单一解决方案,而应多样化您的内部威胁检测策略来保护您的所有资产。 一个高效的内部威胁检测系统集成了多种方法,不仅可以监控内部活动,还可以从大量警告中剔除误报。

机器学习 (ML) 应用程序可用于评估数据流并对最重要的警报进行排名。 为了帮助识别、分析和通知安全团队任何潜在的内部风险,您可以使用数字取证和分析技术,例如用户和事件行为分析 (UEBA)。

虽然数据库活动监控可以帮助发现违反政策的行为,但用户行为分析可以为典型的数据访问活动创建基线。

最常见的内部威胁是什么?

最典型的内部威胁

  • 过多的特权访问
  • 特权滥用
  • SQL注入
  • 薄弱的审计线索
  • 数据库不一致
  • 网络钓鱼攻击

内部威胁的 3 个主要动机是什么?

  • 恶意的:追求经济利益或寻求对犯罪的报复
  • 疏忽的:粗心的或无知的
  • 妥协:没有意识到他们所代表的危险

内部威胁的三个阶段是什么?

减轻内部威胁的关键步骤是定义、检测、识别、评估和管理。

内部威胁行为者的前 5 大指标是什么?

  • 内部威胁的类型
  • 培训不足
  • 无效的过程。
  • 对工作不满。
  • 财政困难。

威胁的三种主要类型是什么?

自然威胁(如地震)、物理安全威胁(如停电破坏设备)和人为威胁(如内部或外部的黑帽攻击者)是最广泛的三个类别。

什么不被视为内部威胁?

如果攻击来自不可靠、身份不明的外部来源,则该攻击不被视为内部威胁。 为了识别任何异常的流量习惯,需要高级监控和日志系统来防止内部攻击。

参考资料

发表评论

您的电邮地址不会被公开。 必填带 *

你也许也喜欢