從管理的角度預防內部威脅導致的數據泄露
2017年,我們見證了數起最具破壞性的網絡攻擊。內部威脅繼續領跑大型數據泄露主要原因排行榜。
隨著惡意軟件即服務的興起,內部人員如今更能破壞公司的運營,更易于盜取公司數據到暗網售賣。如果缺乏管理層的正確支持,我們幾乎不可能預防重大數據泄露。惡意內部人員與危險惡意軟件的組合,意味著管理層需要更積極地參與進安全工作中來。
管理層傾向于認為網絡安全最好交給IT部門或內部網絡安全團隊來做。然而,這種思維與當今良好網絡安全操作相去甚遠。之所以會有這種錯誤的觀念,很大程度上是由于網絡安全固有的技術本質;而有關人員和過程的其他方面卻被忽略掉了。
本文專注于可改善網絡安全中人員與過程方面的最佳管理操作,討論公司企業可采取何種措施來確保其網絡安全始終保持優質水平。
數字資產識別
我們采用的資產概念來自于 ISO 55000 標準。
根據ISO標準,資產就是對企業而言具有當前或潛在價值,且處于企業管理范疇之內的東西。
雖然 ISO 55000 對資產的定義偏重于物理資產管理,但這一定義同樣適用于包括數據在內的數字資產。“關鍵資產”則不僅僅取決于其價值,關鍵資產是一旦受損就可能會嚴重損害企業持續運營能力的東西。
當今世界,對任何企業而言最重要的資產就是數據了。
然而,并非所有的數據都同等重要。每家公司都對其客戶、合作伙伴、倉儲、供應商的數據及其自身運營數據負有責任。流經企業的數據流通常包括金融數據、運營數據、客戶個人可識別數據,有時候還會有機密數據。
預防數據泄露的第一步,就是識別并分類這些數據。雖然IT部門了解公司各類系統的運行狀況,但他們往往不清楚整體業務運營過程。作為管理人員,這就是你可以發揮作用的地方。
數據往往可被分為如下幾類:公共數據、內部數據、機密數據和監管所需數據。必須標明哪類數據與公司哪個過程相關。網絡罪犯通常不會試圖獲取所有類型的數據。有時候他們只想要內部數據,其他時候也可能針對內部數據、機密數據或監管所需數據。但是網絡罪犯和內部人員一般都有試圖獲取的某類特定數據。
內部威脅解決方案
內部威脅是每一家公司企業都面臨的一類非常獨特的安全問題,需要特定的資源來加以解決。
內部威脅解決方案就是為此而設的。解決方案是全公司范圍內施行的一個計劃,具備統一的愿景和使命,有各自的角色、職能,還有針對性培訓。理想情況下,該方案應納入人力資源、法務、IT、工程、數據擁有者和各部門主管。但最重要的是,該方案應僅涵蓋公司中最可信的個人。
內部威脅解決方案是要建立起相關信息的來源、一系列協議和機制,用以檢測、預防和響應內部威脅。其中應包含有方案的使命、詳細的預算、監管結構和一個共享的平臺。
以上這些還僅僅是方案的構成,方案的執行需要:
1. 合規與過程監管理事會
該組織的存在是要審查公司現有過程并提出修改建議以預防內部威脅。
2. 報告機制
辦公室政治、抱團行為和其他很多因素都會阻礙員工報告可疑行為。因此,對可疑內部人員的報告機制應是保密的,以防揭發者會受到報復。
3. 事件響應計劃
已發現內部威脅,甚至都有證據證明內部人員導致了數據泄露,此時難道僅僅是炒了他們并向官方舉報嗎?如果有個內部事件響應計劃的話,這些問題就可以有個更為明晰的答案了。響應計劃會詳細闡明警報的觸發、管理和升級步驟。而即便有了這么詳盡的步驟,每一步行動和流程仍需引入時間框架。
4. 針對性培訓
內部威脅培訓是對公司內所有人員的意識培訓項目。不過,直接涉及內部威脅方案的人員會接受更有針對性培訓,以更好地檢測并緩解內部威脅。
5. 基礎設施
這一組件很直觀,就是用來檢測、預防和響應內部威脅的基礎設施;支持管理層達成其使命的技術。部署的技術應定期審查,優中擇優。
一個典型的內部威脅方案共包含13個部分。上面沒列出的還有:言論自由保護、通信框架、內部威脅方案支持策略、數據收集工具、供應商管理和風險管理集成。
安全審查與監視(HR)
招聘員工時,有助防護公司安全的一個預防性措施,就是對應聘者進行背景調查。有些公司常出于節約成本的目的而做此類審查,但在網絡安全領域,招聘過程只是人事部門的第一步。
需要特別注意的是應聘者的犯罪前科和來應聘的真實原因。惡意內部人員有時候會是間諜,會表現得像是公司最適合的人選一樣,而一旦成功進入公司,就不定會干出什么事來了。
NIST網絡安全框架建議,公司企業應為每個職位都賦予一個風險等級。
風險等級越高,對該職位求職者的信任和安全要求就越高。新人員進駐高風險職位時,應有主管人員更緊密地監視其有無高風險行為。另外,任何事件都應被記錄在案,并進行行為趨勢分析。該過程中可利用行為分析和風險分析技術加以輔助。
HR還應準備好勞動終止協議,以備必須讓員工離職時所需。
該協議應要求主管人員進行離職會談,給出最后的績效考評,并商討最后一筆工資數額。IT部門應刪除擬離職員工的所有賬戶。
如果擬離職員工是特權用戶,IT部門還要修改所有共享口令。HR需向該擬離職員工再次確認知識產權協議。
健康的工作文化和最小化的壓力
主管人員面臨著平衡員工壓力和生產力的挑戰。
通常情況下,經理們會選擇生產力;也就意味著會讓員工以承受高壓為代價來達成業績目標。而人們承受壓力時,各種各樣的負面影響開始顯現,比如出現更多的失誤,接二連三地病倒,還會產生一種被忽視的感覺。
以上點出的這些還僅僅是負面影響的一小部分,而僅僅是這一小部分,已經具備了讓玩忽職守問題和惡意內部人員威脅滋生的沃土。為避免這些讓威脅滋生的條件,公司企業有必要了解創建健康的工作文化需要先解決哪些緊迫問題。
其中一個問題在上文中已提到:管理生產力與壓力水平。其他挑戰還包括為員工生產力水平建立基線,理解降低壓力的成本和收益。識別這些問題對自家公司的影響,有助于管理層看清可進行哪方面的運營過程改進。
減小壓力可能意味著需要實現一種新的管理風格,比如面向工程的任務管理。另一種減小壓力的方法或許是理解公司衡量成功的方式,了解關鍵績效指標(KPI),并弄清這些因素都是如何影響工作文化的。
不良KPI的例子可以參考幫助中心以接電話數量而不是有無實際幫助到客戶作為KPI。如果以電話數量為KPI,那么數量的壓力必然驅使員工為達成特定目標而降低客戶服務質量,增加不必要的競爭,同時催生更多的錯誤。
只需簡單地將KPI改為實際幫助到的客戶,就能改變員工的壓力點。員工就可以與客戶進行更有意義的互動,也會更愿意小心謹慎些以確保少出錯。
上述例子的重點在于采用符合公司環境的KPI。三思而后行,應先確認自身工作文化中的問題的根源,再試圖解決之。
供應商管理計劃&策略
公司自身或許在努力避免來自員工的內部威脅,但供應商和業務合作伙伴就未必那么盡職了。
于是,你需要一個供應商管理計劃,也就是明確自家公司與合作供應商之間責權利的一系列協議。供應商管理計劃屬于公司管理層的責任。IT部門就那么點兒人手和資源,如果管理層沒有在引入供應商之前就設立某些標準,那IT將不得不從有限的資源中再分出一部分來緩解各種漏洞。
此類計劃由4個階段組成:定義、規范、控制,以及集成。
定義階段涉及確認對公司運營而言最關鍵的供應商都有哪幾家,也就是識別出哪些供應商是公司賴以成功的基石。如果沒處理好與這些任務關鍵型供應商之間的問題,公司的運營可能無以為繼,盈利也會受到影響。
規范階段主要涉及為每家合作供應商制定一個安全聯絡員。該聯絡員的職責是維護合規信息,進行審計,協調安全通信,提供培訓,記錄所有合同和文檔,并實施全面監督。
上面兩個階段都履行之后,管理層的重頭戲就來了——制定供應商策略和控制措施。
起草供應商策略時,文檔中應囊括進審計安全控制的權力,并制定出對供應商在監視、安全性能報告和數據泄露及時通告方面的合規要求。
通過制定這些策略,安全聯絡員旅行自己職責的時候就有了有力的依據。不過,聯絡員的成功很大程度上有賴于管理層對供應商的要求,并將這些要求在此一階段設置為供應商控制措施。
最后的階段就是集成,主要關注數據收集、分析和驗證。
公司應能獲取供應鏈的相關信息。如果缺乏此類數據,公司將無法了解自身整體安全狀況。收集來的信息需要集成進公司現有安全操作和審計流程當中。若沒有完全集成,供應商管理計劃就會流于形式,這可不是想要在網絡安全時代取得成功的企業想要的狀態。
管理層關鍵角色
防止內部威脅不僅僅是IT這一個部門的工作。只有管理層對此加以大力支持,公司企業才能更好地防止內部威脅。
管理層可以用來幫助防止內部威脅的方法還有很多,上面提到的一些建議僅僅是其中一小部分。企業中的領導層對過程開發、人員招聘、業務關系和工作文化都具有深遠的影響。
這些領域中的任何一個出現了漏洞,公司都將處于內部相關數據泄露的高風險之下。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
