查看并處理分布式網(wǎng)絡(luò)中的內(nèi)部威脅
2019年02月19日
黑客��,網(wǎng)絡(luò)犯罪分子,惡意軟件感染和其他外部威脅占據(jù)了頭條新聞�����。并且有充分的理由�����。作為安全漏洞的一部分����,數(shù)百萬條數(shù)據(jù)記錄的丟失現(xiàn)在似乎很常見。隨著我們向綜合數(shù)字經(jīng)濟(jì)邁進(jìn)��,大規(guī)?���;騾f(xié)調(diào)網(wǎng)絡(luò)攻擊的影響可能會產(chǎn)生破壞性后果����。
但實(shí)際情況是����,絕大多數(shù)網(wǎng)絡(luò)攻擊仍未被發(fā)現(xiàn)����。雖然我們沒有看到或聽說過它們,有針對性的攻擊負(fù)責(zé)大部分的損失在去年的網(wǎng)絡(luò)攻擊造成6,000億美元�。更不為人所知的是,將近一半的數(shù)據(jù)泄露和系統(tǒng)妥協(xié)來自組織內(nèi)部而非外部來源�。其中近一半是故意的,其余是偶然的����。
從安全角度來看,防范內(nèi)部人員攻擊與防御外部網(wǎng)絡(luò)攻擊完全不同���。獲取對易受攻擊的設(shè)備和系統(tǒng)的訪問權(quán)限或升級網(wǎng)絡(luò)權(quán)限通常也更容易從內(nèi)部執(zhí)行�。許多安全系統(tǒng)根本不關(guān)注已知用戶正在做什么�,特別是在圍繞隱式信任建立的環(huán)境中,或者大多數(shù)安全資源專注于外圍控制的環(huán)境中�����。
識別潛在的內(nèi)部威脅
通過識別危害資源的內(nèi)部操作��,以及識別可能執(zhí)行此類操作的人員,企業(yè)可以領(lǐng)先于內(nèi)部威脅����。有兩種類型的內(nèi)部人員:
1. 惡意行動者
由于多種原因,這些人愿意將企業(yè)置于風(fēng)險之中�。這些可以包括個人利益,報復(fù)被認(rèn)為是不公正的愿望�����,例如被忽視晉升或者經(jīng)理不善�,政治動機(jī)或由民族國家或競爭對手資助的工業(yè)間諜活動。
內(nèi)部人員攻擊可能導(dǎo)致有價值的數(shù)據(jù)和知識產(chǎn)權(quán)(IP)被盜���,向公眾或競爭對手暴露可能令人尷尬或?qū)S械臄?shù)據(jù)���,以及劫持或破壞數(shù)據(jù)庫和服務(wù)器?�?蛻艉蛦T工信息(包括個人身份信息(PII)和個人健康信息(PHI))是最受歡迎的目標(biāo)�,因?yàn)樗鼈冊诤诎稻W(wǎng)絡(luò)上具有最高的轉(zhuǎn)售價值。知識產(chǎn)權(quán)(IP)和支付卡信息是下一個最常被竊取的數(shù)據(jù)類型�����。
對于更傳統(tǒng)的外部攻擊�,由于快速數(shù)據(jù)泄漏到不尋常的目的地而導(dǎo)致的異常數(shù)據(jù)流可能難以偽裝?�;顒涌赡芘c企業(yè)安全策略沖突���,在奇怪的時間發(fā)生��,源自奇怪的訪問點(diǎn)���,顯示移動到不尋常的網(wǎng)絡(luò)地址,或包含意外的大量數(shù)據(jù)���。這些中的任何一個都應(yīng)該觸發(fā)可以關(guān)閉主動違規(guī)的安全響應(yīng)�。
但由于內(nèi)部人員已經(jīng)擁有持續(xù)且可信的訪問權(quán)限���,攻擊和數(shù)據(jù)泄露可能會隨著時間的推移而發(fā)生����,使攻擊者有更多時間來規(guī)劃他的策略����,掩蓋他的蹤跡���,偽裝數(shù)據(jù),因此安全工具很難或不可能識別并保留數(shù)據(jù)低于檢測閾值的運(yùn)動�。許多用戶還可以通過在核心環(huán)境和多云環(huán)境之間移動數(shù)據(jù)來超越檢測,從而利用跨生態(tài)系統(tǒng)的不一致的安全實(shí)施��。
2. 疏忽
組織為某些用戶提供比他們有技能管理更多的權(quán)限并不罕見���。例如�����,堅持向數(shù)據(jù)庫提供升級權(quán)限的高管可以做一些簡單的事情�,例如更改字段長度并導(dǎo)致關(guān)鍵應(yīng)用程序出現(xiàn)故障�。這些用戶是否不知道處理敏感應(yīng)用程序或信息的基本預(yù)防措施,容易出錯���,或者只是粗心大意�����,大多數(shù)情況下他們并不打算造成傷害���。
但是�����,數(shù)據(jù)丟失或暴露不一定是不正當(dāng)授予特權(quán)的結(jié)果。丟失移動設(shè)備����,筆記本電腦或拇指驅(qū)動器,無法在丟棄的硬件上擦除光盤和硬盤驅(qū)動器��,甚至在社交網(wǎng)絡(luò)上聊天時泄露商業(yè)信息����,都可能導(dǎo)致錯誤,這些錯誤可能與其他人的故意攻擊一樣昂貴����。
解決您的內(nèi)部風(fēng)險
組織需要完全了解其數(shù)據(jù)流,他們需要知道誰在訪問哪些數(shù)據(jù)����,何時何地,包括在核心�����,多云或SD-WAN環(huán)境中。安全團(tuán)隊(duì)還需要特別識別和分類風(fēng)險用戶�,包括可以訪問敏感信息和權(quán)限的管理人員,管理員和超級用戶��,以及維護(hù)和監(jiān)控可以訪問關(guān)鍵數(shù)據(jù)�,資源和應(yīng)用程序的每個人的列表。
通過實(shí)施控制措施以幫助安全人員更早發(fā)現(xiàn)攻擊���,您可以開始創(chuàng)建有效的內(nèi)部威脅計劃���。例如,你應(yīng)該仔細(xì)觀察特權(quán)升級等事情; 應(yīng)用程序���,探測器和流量超出其正常參數(shù); 應(yīng)用程序和工作流程的異常流量模式�,特別是在不同的網(wǎng)絡(luò)域之間���。
行為分析需要通過分布式網(wǎng)絡(luò)�,以智能地標(biāo)記異常事件并立即向安全人員報告����。轉(zhuǎn)向零信任模型并實(shí)施嚴(yán)格的內(nèi)部分段可以防止許多攻擊所需的網(wǎng)絡(luò)橫向移動���。需要制定協(xié)議,以便立即看到優(yōu)先級警報�����,而不會使安全團(tuán)隊(duì)陷入大量低級別信息��。
需要注意的事項(xiàng)包括:
1. 未經(jīng)授權(quán)使用IT資源和應(yīng)用程序
2. 未經(jīng)授權(quán)的數(shù)據(jù)傳輸
3. 濫用和惡意行為
濫用文件系統(tǒng)管理員權(quán)限
禁用或覆蓋端點(diǎn)安全產(chǎn)品
使用密碼竊取工具
訪問黑暗網(wǎng)站
預(yù)防是關(guān)鍵的第一步
通過創(chuàng)造鼓勵良好員工行為的工作條件,還可以進(jìn)一步預(yù)防問題��。
例如����,當(dāng)工資水平,職業(yè)前景或工作的其他方面低于某些可測量的滿意度時�,員工可能會尋求離開組織并隨身攜帶機(jī)密信息。因此�����,衡量和響應(yīng)員工滿意度是防范內(nèi)部人員安全風(fēng)險的關(guān)鍵部分�����。人力資源和IT之間協(xié)調(diào)的定期信息安全意識計劃有助于減少粗心行為。
結(jié)論
內(nèi)部威脅的風(fēng)險通常比我們想象的要大�����,特別是隨著網(wǎng)絡(luò)變得越來越大和越來越復(fù)雜��。粗心大意和惡意企圖是兩個主要原因�����,但兩者都可以減輕����。提高認(rèn)知度和謹(jǐn)慎信息處理的解決方案包括培訓(xùn)和意識,以及從核心到云的分布式網(wǎng)絡(luò)的特權(quán)用戶和關(guān)鍵數(shù)據(jù)的監(jiān)控����。這需要與動態(tài)網(wǎng)絡(luò)分段和安全工具集成到單一結(jié)構(gòu)中,包括高級行為分析�。
這些技術(shù)解決方案只是答案的一半。創(chuàng)建和維護(hù)有吸引力的工作條件對于防止惡意行為也有很長的路要走���。請記住�����,薪水只是一個因素�,并不總是關(guān)鍵因素。擁有感�����,團(tuán)隊(duì)合作以及創(chuàng)造員工執(zhí)行重要任務(wù)的感覺與您可能擁有的任何內(nèi)部安全解決方案一樣重要����。
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全��、運(yùn)維平臺建設(shè)���、動漫設(shè)計�、軟件研發(fā)���、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀�。公司遵循信息安全整體性的IATF模型�,從“人員素養(yǎng)”、“制度流程”���、“技術(shù)產(chǎn)品”三個視角提供全面�、可信的方案,業(yè)務(wù)涵蓋咨詢�����、評估�、規(guī)劃、管控����、建設(shè)、培訓(xùn)等�。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商。
