阻止內(nèi)部和外部威脅:具有欺騙性的Microsoft Office 信標(biāo)文件
針對來自世界各地的陰暗攻擊者抓住了大多數(shù)網(wǎng)絡(luò)安全頭條。但是,研究表明,組織中60%的數(shù)據(jù)泄露和其他網(wǎng)絡(luò)攻擊實際上是由疏忽的內(nèi)部人員實施的。根據(jù)波耐蒙研究所最近的一項研究,控制內(nèi)部威脅平均需要72天的時間,擁有超過1000名員工的典型組織每年在內(nèi)部時間后平均花費(fèi)10萬美元清理。
各種因素有目的地誘使惡意內(nèi)部人員;他們可能正在尋求報復(fù),以遭受雇主的虐待,正在尋求回報以將機(jī)密信息出售給感興趣的競標(biāo)者,或者正在尋求對自己或有同情心的第三方有經(jīng)濟(jì)或政治利益的知識產(chǎn)權(quán)。偶然的內(nèi)部人員可能根本不知道他們應(yīng)該用來處理敏感信息或?qū)で蟾奖愕臄?shù)據(jù)訪問的安全協(xié)議,從而無意中為攻擊者提供了切入點。無論哪種方式,即使是擁有一整套部署的安全解決方案的受保護(hù)最多的組織,也仍然難以在數(shù)據(jù)離開組織之前識別并阻止內(nèi)部人員。
內(nèi)部威脅程序不足
安全策略顯然需要阻止惡意行為者,如果他們設(shè)法進(jìn)入,則將其阻止,但內(nèi)部人員是員工,從本質(zhì)上來說,他們已經(jīng)在外圍,并且可以信任地訪問一定數(shù)量的端點。此外,內(nèi)部人員憑借對組織最有價值資產(chǎn)的專業(yè)知識洞察,通常比外部攻擊者更謹(jǐn)慎地進(jìn)行操作。專注于外圍邊緣的安全措施將不適用于此類內(nèi)部人員,并且由于他們的許多行動都將得到授權(quán),因此需要基于行為來處理數(shù)據(jù)以突出顯示安全事件的解決方案不一定會抓住他們。
許多組織已將內(nèi)部威脅計劃作為其網(wǎng)絡(luò)安全策略的一部分,以防止和檢測內(nèi)部威脅,避免意外數(shù)據(jù)泄漏,提高員工的意識并遵守國際和本地安全法規(guī)。這些程序是阻止員工成為內(nèi)部威脅,檢測當(dāng)前對組織構(gòu)成風(fēng)險的內(nèi)部人員以及減輕內(nèi)部人員所引起的后續(xù)安全事件的良好的第一步。
但是,沒有一個依靠員工行為分析或教育的內(nèi)部威脅程序,無論設(shè)計得如何好,都不會永遠(yuǎn)消除內(nèi)部威脅。基于員工行為的檢測解決方案通常會產(chǎn)生大量誤報,浪費(fèi)您的安全團(tuán)隊的時間和資源。雖然員工教育可以幫助提高人們對內(nèi)部人員過失或盜竊的潛在風(fēng)險和后果的認(rèn)識,但依賴于員工記住他們的培訓(xùn)材料并不是全面或可靠的安全解決方案。畢竟,我們只是人類,容易犯錯誤,誘惑,錯誤的記憶和分散注意力。沒有內(nèi)部人員培訓(xùn)計劃可以預(yù)測員工可能犯的每一個潛在錯誤,也不能保證員工總是選擇最適合其組織的方法,而不是非法獲得個人利益的方法。
利用正確的情報來捕獲內(nèi)部人員:具有欺騙性的Microsoft Office信標(biāo)文件
盡管如此,惡意內(nèi)部人員通常仍需要潛入網(wǎng)絡(luò),因為外部攻擊者會找到憑據(jù)和與他們未經(jīng)授權(quán)訪問的系統(tǒng)和應(yīng)用程序的連接,以竊取關(guān)鍵數(shù)據(jù)。欺騙性Microsoft Office信標(biāo)文件是我們的攻擊檢測系統(tǒng)解決方案的一項功能,可以對Word和Excel文檔進(jìn)行信標(biāo),以便組織可以立即收集取證,以了解何時有人嘗試從組織中的哪個計算機(jī)上未經(jīng)授權(quán)訪問Office文檔。正在嘗試訪問Office文檔以及公開了哪些數(shù)據(jù)。在這種情況下,Office文檔的“信息化”意味著您的組織可以對其進(jìn)行跟蹤,如果有人試圖在您的網(wǎng)絡(luò)上復(fù)制或者打開這些文件,則可以發(fā)送事件報告。
一旦在組織的網(wǎng)絡(luò)上訪問了信標(biāo)辦公室文件,就會將Web請求發(fā)送到由我們預(yù)配置的陷阱IP地址,從而觸發(fā)有關(guān)事件的通知。在內(nèi)部人員可以利用其企圖進(jìn)行盜竊之前,及時進(jìn)行識別和捕獲內(nèi)部人員威脅特別有用。具有欺騙性的Microsoft Office 信標(biāo)文件可以輕松地大規(guī)模增強(qiáng)內(nèi)部威脅的檢測,并且可以與組織的其他事件響應(yīng)功能結(jié)合使用,以在檢測到惡意事件后隔離或隔離惡意內(nèi)部人。
欺騙惡意內(nèi)部人員揭露自己
欺騙性的Microsoft Office信標(biāo)文件還使組織能夠創(chuàng)建偽造的Microsoft Word docx文件和Excel電子表格,這些文件可以自定義為看起來像組織端點上的任何其他Word或Excel文檔。使用專有的技術(shù),可以自動創(chuàng)建帶有頁眉,頁腳和組織典型圖標(biāo)的欺騙性文件,并將其分布在數(shù)千個端點的戰(zhàn)略位置,幾乎不會增加IT開銷。這些文件將以某種方式隱藏在端點上,以便只有正在尋找不應(yīng)該在哪里的人才能找到它們。這可以防止欺騙性文件破壞正常業(yè)務(wù),并提供高保真警告信號,因為只有惡意用戶才會嘗試查找和訪問這些文件。
Microsoft Word和Excel文檔通常包含憑據(jù)和其他機(jī)密信息,它們?yōu)閮?nèi)部和外部攻擊者提供了向包含關(guān)鍵數(shù)據(jù)的機(jī)器,系統(tǒng)和應(yīng)用程序橫向移動的密鑰。在許多情況下,攻擊者將使用惡意軟件自動執(zhí)行此過程,該惡意軟件在網(wǎng)絡(luò)中抓取具有這些確切數(shù)據(jù)參數(shù)的文檔。為響應(yīng)這種常見的攻擊趨勢,欺騙性Microsoft Office信標(biāo)文件可以自動創(chuàng)建并包含攻擊者希望在此類文件的真實版本中發(fā)現(xiàn)的欺騙性數(shù)據(jù),例如偽造的密碼列表。這進(jìn)一步欺騙并浪費(fèi)了攻擊者的時間,因為他們試圖利用此信息進(jìn)行橫向移動。
欺騙性Microsoft Office信標(biāo)文件將欺騙性攻擊面擴(kuò)展到Microsoft Office文檔,幾乎每個組織都利用它來進(jìn)行文字處理和表格數(shù)據(jù)存儲,以外科方式識別內(nèi)部威脅,還迫使入侵者暴露自己。
