企業如何建立強大的內部威脅程序
Imperva公司最近發布的一份調查報告發現,只有18%的優先支出用于專門的內部威脅計劃(ITP),而25%的支出則專注于外部威脅情報。
企業需要擔心的不僅僅是懷恨在心的員工——大多數內幕事件本質上都是非惡意的。在其2022年內部威脅全球成本報告中,Proofpoint和Ponemon Institute發現,粗心或疏忽行為占所有事件的56%,而且這些也往往是成本最高的,平均清理操作成本為660萬美元。
修復失敗
部分問題在于認知:Forrester報告發現,近三分之一的受訪者并未將員工視為威脅。但眾所周知,要防止此類事件也非常困難,因為您本質上是在尋求控制對數據的合法訪問。減輕這些威脅不僅是為了提高安全性,而且是為了檢測用戶行為中的潛在危害指標(IoC),因此,大多數企業依靠員工培訓來解決這個問題。然而,如上圖所示,僅靠培訓往往是不夠的。
同一份Forrester報告發現,雖然65%的人使用員工培訓來確保遵守數據保護政策,但55%的人表示他們的用戶已經找到了規避這些相同政策的方法。其他人表示,他們依靠單點解決方案來預防事件,其中43%使用數據丟失防護(DLP)來阻止操作,29%通過SIEM進行監控(盡管這些系統仍然可以在不檢測的情況下泄露數據)。問題是網絡安全和員工監控都沒有考慮到壓力因素,這些壓力因素會促使足智多謀的員工訴諸變通辦法。
雖然預防總是勝于治療,但當前應對內部威脅的方法過于重視其方法。因此,如果發現內部威脅(無論是否惡意),人們對如何處理的關注不足。因此,雖然培訓和網絡安全控制確實可以發揮作用,但兩者都需要成為更廣泛的東西的一部分:ITP。
ITP協調不同業務部門的政策、程序和流程,以應對內部威脅。它被廣泛認為對緩解內部威脅至關重要,但在Forrester的調查中,只有28%的人聲稱擁有一個。這樣做的原因是許多企業發現建立一個令人生畏。除了讓人員參與并制定政策外,企業還需要清點其數據并定位數據源,確定如何監控行為、調整培訓計劃、開展調查以及如何評估ITP本身定期。
入門
首先,需要一名經理和專門的工作組來幫助指導ITP。成員需要有明確的角色和責任,并同意一套道德準則和/或簽署NDA。這是因為有許多與員工隱私和監控相關的法律,以及在制定和執行政策時必須考慮的法律考慮和擔憂。工作組的第一項工作將是制定運營計劃并制定內部威脅政策的高級版本。
然后,他們需要考慮如何盤點和訪問內部和外部數據源,為此,工作組需要熟悉特定數據集的記錄處理和使用程序。一旦創建了收集、整合和分析數據所需的流程和程序,應根據數據的用途對數據進行標記,因此可能與隱私調查有關。(有趣的是,據Forrester稱,近58%的影響敏感數據的事件是由內部威脅引起的。)
考慮您是否會使用技術來監控最終用戶設備、登錄等,并通過簽署的信息系統安全確認協議記錄這一點。潛在的危害指標(IoC)可能包括數據庫篡改、公司機密信息的不當共享、文件刪除或查看不當內容。當此類行為曝光時,自由裁量權至關重要,任何調查都需要無懈可擊且可辯護,因為它可能會導致法律案件。
可防御性的數字取證
ITP還應詳細說明企業如何響應和調查事件。考慮調查是否是內部的,在什么時候你需要讓外部代理人參與進來,以及需要通知誰。用于調查的數據將保存在哪里?信息將保留多長時間?雖然保留相關信息很重要,但您不希望陷入保留過多信息的陷阱,因為這會增加風險,這意味著ITP還應該與數據最小化策略重疊。
應使用數字取證工具來執行ITP。您需要決定如何主動管理內部威脅,以及這些工具是僅用于分析后還是秘密使用。例如,一些擁有高價值資產的企業會進行掃描,以確定員工離開企業時數據是否被泄露。您還應該確保這些工具能夠遠程定位端點和云源,即使它們沒有連接,并且應該與操作系統無關,以便您可以在Mac和PC上捕獲數據。
數字取證確保企業可以快速捕獲和調查任何不當行為。例如,它可以確定用于將數據從公司信息資產中泄露到任何設備、端點、在線存儲服務(如GoogleDrive或Dropbox)甚至通過社交媒體平臺發布的日期、時間和路徑。追蹤數據后,就可以縮小可能的嫌疑人范圍,直到團隊獲得無可爭辯的證據。
無論是調查的方式還是證據本身都必須無可非議且在法律上站得住腳,因為此類事件可能會導致解雇甚至起訴。如果在法律法庭受到質疑,企業將需要證明盡職調查,因此在保護證據處理方面必須有一個法證健全和可重復的流程和適當的監管鏈。
讓員工留在身邊
員工的支持也是成功的關鍵。該政策應在隱私、財務甚至物理影響方面傳達妥協的風險,以便員工了解所涉及的風險。但也應該有適當的流程使用戶能夠報告行為IoC。指南應規定如何以及何時通過特定渠道報告IoC,即通過小費電話線、電子郵件、DropBox等。還應記錄意識培訓的完成情況。
ITP將需要接受測試,但最好不要與實際事件一起進行。相反,應執行內部威脅風險評估,以確定安全控制和業務流程中的差距,或評估數據泄露的難易程度以及數字取證流程的執行情況。考慮如何將內部威脅管理引入其他安全策略,例如涵蓋BYOD的策略,并確保受信任的業務合作伙伴和分包商也接受內部威脅風險評估。
最后,請記住,隨著新流程的上線和數據源的添加,該策略將需要適應和改變。這樣做的關鍵是保持準確的數據庫存,并確保您的數字取證工具為您提供足夠的范圍來處理新技術和/或滲透途徑,但您也可以將您的計劃與您所在行業的其他業務進行基準測試。
實施內部威脅計劃的目的是確保不僅企業、其數據或其流程受到保護,而且其員工也受到保護。秘密監控工作流程可以使IoC被更準確地標記,有助于防止事件升級。但是,當不可想象的事情發生并且毫無戒心的員工確實暴露了敏感數據時,擁有已經記錄該事件的強大的可防御流程可以更容易地進行數字取證調查并迅速結束任何法律案件。
