關于內部威脅防護(ITP)的三大常見誤解
對于安全從業者而言,內部威脅是越來越令人擔憂而又深感困惑的領域。通常情況下,人們習慣將資源用于對抗外部威脅,許多安全團隊仍然“不確定”應該如何應對內部出現的威脅形式。不幸的是,這種“不確定性”常常會因為一些常見的安全神話,和對內部威脅的誤解而進一步惡化和加劇,這些誤解主要包括:
一、內部威脅總是有意且有害的
圍繞內部威脅的大部分困惑主要始于其定義。從恐嚇到炒作再到不準確的新聞報道等因素已經讓人們普遍認為,最惡毒和最具破壞性的內部攻擊類型——例如涉及企業間諜活動的攻擊——代表了所有內部威脅。但是,正如高級持續性威脅(APT)無法代表所有網絡安全威脅一樣,惡意且極具破壞力的內部攻擊也無法代表所有內部威脅。通常而言,大多數網絡威脅比APT的損害程度更低,而大多數的內部威脅也比我們經常聽聞的更為溫和且不夠成熟。
內部威脅有各種為人所接受的定義,但大多數人所認同的因素主要包括:
- 威脅來自組織內部,且會對組織本身構成威脅;
- 涉及擁有或已授權訪問組織的網絡、系統或數據,并濫用該訪問權限的現任或前任員工、承包商或合作伙伴;
- 只有當用戶是有目的的實施操作時,才稱得上是“有意的”內部威脅(也有一些業內人士將“有意的”內部威脅稱為“惡意威脅”);
- 當用戶在無意的情況下實施操作,那這種內部威脅就是“無意的”;
- 內部威脅可能是有害的,也可能是無害的;
大多數情況下,人們都忽略了“無意的”內部威脅這種形式。例如,用戶意外地將含有敏感信息的電子郵件發送給了錯誤的收件人等情況。雖然用戶不打算進行潛在的威脅行為,但是他們的行為著實可能會為公司帶來嚴重的后果,甚至可能會造成與“有意的”內部威脅相同的傷害。
同樣地,人們也經常會忽略不會造成傷害的內部威脅這種形式。如果上述電子郵件收件人濫用了包含敏感信息的電子郵件內容,和/或未能及時銷毀它,那么這種“無意的”內部威脅無疑是有害的。但是,要記住,并非所有的內部威脅都是有害的,即便是有些“有意的”內部威脅也有可能是無害的。例如,假設一名員工忘記了公司系統的登錄憑證,為了順利完成工作,他可能會選擇通過獲取另一名員工的憑證來訪問系統,即便他知道自己的這種行為違反了公司政策,但是仍然這樣做了,這種威脅顯然是“有意的”。但是,除非該員工濫用憑證做出損害公司的行為,否在這種威脅雖然是有意的,但可能并不會造成傷害。
重要的是,要意識到內部威脅的定義具有超越語義本身的含義。無論一個內部威脅是有意還是無意,有害亦或無害,想要有效地對抗這些威脅,就必須全面地了解它們是什么?以及它們究竟緣何而起?
二、如果擁有內部威脅資源,則擁有內部威脅防護
內部威脅防護(ITP)的構成是另一個常見的困擾領域。具體而言,許多組織認為有效的ITP可以包含專用于解決內部威脅的任何資源或資源組合。
在某些情況下,這種假設的形成主要歸因于,越來越多的工具正在作為應對內部威脅的“銀彈頭”或“靈丹妙藥”在使用。例如,雖然各種類型的警報和用戶行為分析(UBA)工具可以為結構良好且配備齊全的ITP提供巨大價值,但實際上,沒有任何一種工具能夠作為“萬靈丹”來替代整個計劃。歸根到底,這種假設除了幫組織營造自己已經做好了準備,并且能夠解決內部威脅的假象外,根本起不到現實作用。
實際上,真正行之有效的ITP需要工具、數據集、專業知識、人員和跨職能協作的特定組合,加之全面和綜合的計劃和調查功能。無論組織的規模如何,這些要求通常都是一致的。較小的組織可以通過在人員之間分擔責任來相應地擴展其ITP,而無需像大型組織一樣投入較為昂貴的工具。但是,即便具有必要的資源和控制措施,想要啟動和開發ITP也是一項漫長而復雜的工作,這也是為什么需要鼓勵那么想要這樣做的組織尋求外部支持的原因所在。
三、只有ITP才可阻止內部威脅
但是,在組織考慮啟動此類計劃之前,重要的是要了解ITP的主要目標是遏制、檢測和響應內部威脅 - 而不是阻止它們。問題不在于無法阻止內部威脅,而在于阻止過程主要發生在信息安全層面,而不是ITP層面。大部分基礎、最佳的信息安全控制實踐可以幫助組織緩解網絡釣魚和惡意軟件感染等威脅,同時也有助于阻止內部威脅。
這些控制包括強大的身份和訪問控制(IAM)流程,可以迅速撤銷前員工對公司系統和資產的訪問權限,阻止用戶訪問網絡內的個人電子郵件、社交媒體和外部即時消息,以及限制閃存驅動器和外部設備的使用等;針對媒體存儲設備實施您自己的設備(BYOD)策略,并確保所有用戶都經過了全面培訓,并且了解安全意識和最佳實踐。
這就是為什么組織在啟動ITP之前,實施和維護有效的信息安全計劃至關重要的原因所在。如果組織無法維護適當的信息安全標準,那么,即便是最復雜且最全面的ITP也毫無價值可言。
上述內容旨在強調內部威脅方面存在的一些常見誤區,但是這些概括顯然并不全面。隨著越來越多的組織開始意識到內部威脅的危害性,并且迫切需要解決這一威脅,作為安全從業者的我們必須承認,內部威脅存在令人困惑的誤區,我們的目的是盡可能地幫助大家消除誤解,并提供清晰、準確的見解,以幫助組織更好地應對內部威脅。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
