查看并處理分布式網絡中的內部威脅
黑客,網絡犯罪分子,惡意軟件感染和其他外部威脅占據了頭條新聞。并且有充分的理由。作為安全漏洞的一部分,數百萬條數據記錄的丟失現在似乎很常見。隨著我們向綜合數字經濟邁進,大規模或協調網絡攻擊的影響可能會產生破壞性后果。
但實際情況是,絕大多數網絡攻擊仍未被發現。雖然我們沒有看到或聽說過它們,有針對性的攻擊負責大部分的損失在去年的網絡攻擊造成6,000億美元。更不為人所知的是,將近一半的數據泄露和系統妥協來自組織內部而非外部來源。其中近一半是故意的,其余是偶然的。
從安全角度來看,防范內部人員攻擊與防御外部網絡攻擊完全不同。獲取對易受攻擊的設備和系統的訪問權限或升級網絡權限通常也更容易從內部執行。許多安全系統根本不關注已知用戶正在做什么,特別是在圍繞隱式信任建立的環境中,或者大多數安全資源專注于外圍控制的環境中。
識別潛在的內部威脅
通過識別危害資源的內部操作,以及識別可能執行此類操作的人員,企業可以領先于內部威脅。有兩種類型的內部人員:
1. 惡意行動者
由于多種原因,這些人愿意將企業置于風險之中。這些可以包括個人利益,報復被認為是不公正的愿望,例如被忽視晉升或者經理不善,政治動機或由民族國家或競爭對手資助的工業間諜活動。
內部人員攻擊可能導致有價值的數據和知識產權(IP)被盜,向公眾或競爭對手暴露可能令人尷尬或專有的數據,以及劫持或破壞數據庫和服務器。客戶和員工信息(包括個人身份信息(PII)和個人健康信息(PHI))是最受歡迎的目標,因為它們在黑暗網絡上具有最高的轉售價值。知識產權(IP)和支付卡信息是下一個最常被竊取的數據類型。
對于更傳統的外部攻擊,由于快速數據泄漏到不尋常的目的地而導致的異常數據流可能難以偽裝。活動可能與企業安全策略沖突,在奇怪的時間發生,源自奇怪的訪問點,顯示移動到不尋常的網絡地址,或包含意外的大量數據。這些中的任何一個都應該觸發可以關閉主動違規的安全響應。
但由于內部人員已經擁有持續且可信的訪問權限,攻擊和數據泄露可能會隨著時間的推移而發生,使攻擊者有更多時間來規劃他的策略,掩蓋他的蹤跡,偽裝數據,因此安全工具很難或不可能識別并保留數據低于檢測閾值的運動。許多用戶還可以通過在核心環境和多云環境之間移動數據來超越檢測,從而利用跨生態系統的不一致的安全實施。
2. 疏忽
組織為某些用戶提供比他們有技能管理更多的權限并不罕見。例如,堅持向數據庫提供升級權限的高管可以做一些簡單的事情,例如更改字段長度并導致關鍵應用程序出現故障。這些用戶是否不知道處理敏感應用程序或信息的基本預防措施,容易出錯,或者只是粗心大意,大多數情況下他們并不打算造成傷害。
但是,數據丟失或暴露不一定是不正當授予特權的結果。丟失移動設備,筆記本電腦或拇指驅動器,無法在丟棄的硬件上擦除光盤和硬盤驅動器,甚至在社交網絡上聊天時泄露商業信息,都可能導致錯誤,這些錯誤可能與其他人的故意攻擊一樣昂貴。
解決您的內部風險
組織需要完全了解其數據流,他們需要知道誰在訪問哪些數據,何時何地,包括在核心,多云或SD-WAN環境中。安全團隊還需要特別識別和分類風險用戶,包括可以訪問敏感信息和權限的管理人員,管理員和超級用戶,以及維護和監控可以訪問關鍵數據,資源和應用程序的每個人的列表。
通過實施控制措施以幫助安全人員更早發現攻擊,您可以開始創建有效的內部威脅計劃。例如,你應該仔細觀察特權升級等事情; 應用程序,探測器和流量超出其正常參數; 應用程序和工作流程的異常流量模式,特別是在不同的網絡域之間。
行為分析需要通過分布式網絡,以智能地標記異常事件并立即向安全人員報告。轉向零信任模型并實施嚴格的內部分段可以防止許多攻擊所需的網絡橫向移動。需要制定協議,以便立即看到優先級警報,而不會使安全團隊陷入大量低級別信息。
需要注意的事項包括:
1. 未經授權使用IT資源和應用程序
- 員工使用個人云獲取公司信息
- 盜賊使用影子IT
- 訪問,共享或分發PII
- 安裝未經批準和未經許可的軟件
- 未經授權使用受限應用程序,包括網絡嗅探和遠程桌面工具
2. 未經授權的數據傳輸
- 使用可移動媒體存儲或移動數據
- 未經授權將業務關鍵型數據復制到云或Web服務
- 傳輸與異常目的地之間的文件傳輸
- 使用即時消息或社交媒體應用程序移動文件
3. 濫用和惡意行為
- 濫用文件系統管理員權限
- 禁用或覆蓋端點安全產品
- 使用密碼竊取工具
- 訪問黑暗網站
預防是關鍵的第一步
通過創造鼓勵良好員工行為的工作條件,還可以進一步預防問題。
例如,當工資水平,職業前景或工作的其他方面低于某些可測量的滿意度時,員工可能會尋求離開組織并隨身攜帶機密信息。因此,衡量和響應員工滿意度是防范內部人員安全風險的關鍵部分。人力資源和IT之間協調的定期信息安全意識計劃有助于減少粗心行為。
結論
內部威脅的風險通常比我們想象的要大,特別是隨著網絡變得越來越大和越來越復雜。粗心大意和惡意企圖是兩個主要原因,但兩者都可以減輕。提高認知度和謹慎信息處理的解決方案包括培訓和意識,以及從核心到云的分布式網絡的特權用戶和關鍵數據的監控。這需要與動態網絡分段和安全工具集成到單一結構中,包括高級行為分析。
這些技術解決方案只是答案的一半。創建和維護有吸引力的工作條件對于防止惡意行為也有很長的路要走。請記住,薪水只是一個因素,并不總是關鍵因素。擁有感,團隊合作以及創造員工執行重要任務的感覺與您可能擁有的任何內部安全解決方案一樣重要。
