如何緩解網絡上的內部威脅
今天我們來關注一下來自網絡外部的數字威脅,它具有一個主要風險:來自網絡本身的威脅。
“內部威脅”是什么樣子?它們是什么類型,它們的增長方式以及組織如何防御它們。我們還將查看一些最近的示例,以幫助我們更好地了解內部威脅如何發揮作用。
什么是內部威脅?
用最簡單的術語來說,內部威脅是來自組織內部的安全風險。此威脅可能來自事件發生時的員工,管理人員或與組織直接相關的其他人員。它也可以來自顧問,前雇員,業務合作伙伴或董事會成員,他們可能具有訪問重要數據的必要功能和特權。
當然,重要的是要記住,并非所有內部威脅都是相同的。其中一些行為者會懷有惡意意圖,而其他行為者會意外地損害組織的數字安全性。這些不同的動機解釋了為什么內部威脅會以不同的類型出現。
安全情報確定了五個主要種類:
- 盡管接受了安全意識培訓,但無響應者仍繼續成為網絡釣魚測試的犧牲品,并且表現行為舉止疏忽。
- 疏忽大意的內部人員的行為與安全意識銘記在心,但他們會犯孤立的錯誤,并會定期錯誤判斷與數字安全問題有關的情況;
- 內部人串通不是很常見;在這種情況下,惡意內部人員會與外部攻擊者合作,以掠奪目標組織;
- 持續的惡意內部人員是犯罪的內部人員威脅,他們訪問敏感的業務資產并竊取數據,目的是持續地從財務中獲利;
- 心懷不滿的員工比頑固的惡意內部人員更具局限性。他們故意在短期內進行破壞活動或知識產權盜竊。
最近四起涉及內部威脅的事件
內部威脅通常是一些小事件,員工竊取其當前公司的數據,接受競爭對手公司的職位,然后出售這些信息以幫助新雇主獲得競爭優勢。但是,有些在本質上要大得多,并且會引起媒體的關注。以下是最近成為頭條新聞的四種內部威脅攻擊:
- 菲利普斯研究中心(Phillips Research Center):2019年2月,ClearanceJobs報告說,某位人士是如何濫用其在俄克拉荷馬州巴特爾斯維爾的菲利普斯66研究中心的材料科學家身份竊取數百個文件的。這些文件中的一些文件涉及到一箱價值10億美元的技術產品,在研究中心工作時就使用了該產品。
- Capital One:《紐約時報》于2019年7月報道稱,一名軟件工程師違反了Capital One擁有并由Amazon Web Services(AWS)托管的服務器。33歲的Paige Thompson來自華盛頓州西雅圖,利用她在AWS的工作滲透到服務器并竊取了銀行超過1億客戶的個人信息。
- 通用電氣:在2019年10月的一份報告中,CrowdStrike透露中國政府針對西方航空航天制造商開展了一次數字間諜活動。該活動涉及與通用電氣內部人員以及其他公司內部人員的勾結,以幫助中國政府獲得必要的知識,以幫助其建造C919商業客機。
- Twitter:2019年11月上旬,美國司法部針對35歲的Ali Alzabarah和41歲的Ahmad Abouammo提出了起訴書。該指控指責兩名Twitter前雇員不當訪問了數千個用戶帳戶。
為什么內部威脅會引起關注?
內部威脅應該在我們的腦海中起著重重作用,原因有幾個。首先,這些類型的攻擊正在上升。Verizon的《 2019年數據泄露調查報告》發現,自2015年以來,內部威脅每年都在增加,并且內部人員以某種形式參與了最新研究分析的所有違規事件的三分之一。為支持這些發現,對Bitglass的《 2019年內部威脅報告》做出回應的IT專業人士中有73%表示,過去一年內部攻擊越來越頻繁。59%的受訪者告訴Bitglass,他們的組織在過去一年中遭受了至少一次內部人員攻擊。
第二,內部威脅很難發現。回到Bitglass報告中,只有12%的IT專業人員表示,他們的雇主已成功檢測到來自個人移動設備的內部威脅。這一發現與50%的調查受訪者保證其組織能夠在一天之內檢測到/從內部威脅中恢復的形成鮮明對比。相反,Ponemon的2018年數據泄露成本研究發現,識別內部漏洞平均需要197天,而遏制內部漏洞需要69天。
考慮到它們被忽視的時間長短,這些攻擊往往代價高昂就不足為奇了。Ponemon在2018年的內部威脅成本研究中發現,公司的平均內部威脅成本約為20萬美元,這些威脅可能會使公司總共損失10萬美元。(在北美,換個數字甚至更高,約為20萬美元。)這些成本也在增加;埃森哲和Ponemon的2019年網絡犯罪成本研究發現,從2018年到2019年,惡意內部攻擊的平均成本增加了15%。
組織如何防御內部威脅
正如SearchSecurity指出的那樣,我們可以使用以內部人員為中心的安全策略,安全意識培訓,多因素身份驗證和最低特權模型來加強對惡意內部人員的防御。但是這些控件只能做到這一步。最終,我們需要能夠監視網絡中的可疑活動,例如濫用合法憑據來泄露敏感信息。
使用網絡流量分析和文件分析以及人工智能(AI)的功能來發現可能指示內部威脅的異常行為。發現可能不是惡意的確鑿證據的行為,但似乎是異常的行為,足以使您的安全團隊對事件進行更深入的了解。因此,這些解決方案使您可以防止內部人員竊取您的敏感數據(或從根本上限制內部人員可能造成的破壞),而又不會使安全專業人員陷入調查安全問題的麻煩。
