查看并處理分布式網(wǎng)絡(luò)中的內(nèi)部威脅
2019年02月19日
黑客,網(wǎng)絡(luò)犯罪分子����,惡意軟件感染和其他外部威脅占據(jù)了頭條新聞�����。并且有充分的理由���。作為安全漏洞的一部分���,數(shù)百萬條數(shù)據(jù)記錄的丟失現(xiàn)在似乎很常見��。隨著我們向綜合數(shù)字經(jīng)濟(jì)邁進(jìn)���,大規(guī)?��;騾f(xié)調(diào)網(wǎng)絡(luò)攻擊的影響可能會產(chǎn)生破壞性后果�。
但實際情況是,絕大多數(shù)網(wǎng)絡(luò)攻擊仍未被發(fā)現(xiàn)�����。雖然我們沒有看到或聽說過它們��,有針對性的攻擊負(fù)責(zé)大部分的損失在去年的網(wǎng)絡(luò)攻擊造成6,000億美元����。更不為人所知的是����,將近一半的數(shù)據(jù)泄露和系統(tǒng)妥協(xié)來自組織內(nèi)部而非外部來源。其中近一半是故意的�����,其余是偶然的���。
從安全角度來看����,防范內(nèi)部人員攻擊與防御外部網(wǎng)絡(luò)攻擊完全不同。獲取對易受攻擊的設(shè)備和系統(tǒng)的訪問權(quán)限或升級網(wǎng)絡(luò)權(quán)限通常也更容易從內(nèi)部執(zhí)行�。許多安全系統(tǒng)根本不關(guān)注已知用戶正在做什么����,特別是在圍繞隱式信任建立的環(huán)境中����,或者大多數(shù)安全資源專注于外圍控制的環(huán)境中����。
識別潛在的內(nèi)部威脅
通過識別危害資源的內(nèi)部操作,以及識別可能執(zhí)行此類操作的人員,企業(yè)可以領(lǐng)先于內(nèi)部威脅。有兩種類型的內(nèi)部人員:
1. 惡意行動者
由于多種原因���,這些人愿意將企業(yè)置于風(fēng)險之中。這些可以包括個人利益,報復(fù)被認(rèn)為是不公正的愿望��,例如被忽視晉升或者經(jīng)理不善���,政治動機(jī)或由民族國家或競爭對手資助的工業(yè)間諜活動����。
內(nèi)部人員攻擊可能導(dǎo)致有價值的數(shù)據(jù)和知識產(chǎn)權(quán)(IP)被盜,向公眾或競爭對手暴露可能令人尷尬或?qū)S械臄?shù)據(jù)���,以及劫持或破壞數(shù)據(jù)庫和服務(wù)器?���?蛻艉蛦T工信息(包括個人身份信息(PII)和個人健康信息(PHI))是最受歡迎的目標(biāo)�����,因為它們在黑暗網(wǎng)絡(luò)上具有最高的轉(zhuǎn)售價值����。知識產(chǎn)權(quán)(IP)和支付卡信息是下一個最常被竊取的數(shù)據(jù)類型��。
對于更傳統(tǒng)的外部攻擊��,由于快速數(shù)據(jù)泄漏到不尋常的目的地而導(dǎo)致的異常數(shù)據(jù)流可能難以偽裝����。活動可能與企業(yè)安全策略沖突,在奇怪的時間發(fā)生�,源自奇怪的訪問點�����,顯示移動到不尋常的網(wǎng)絡(luò)地址,或包含意外的大量數(shù)據(jù)。這些中的任何一個都應(yīng)該觸發(fā)可以關(guān)閉主動違規(guī)的安全響應(yīng)�。
但由于內(nèi)部人員已經(jīng)擁有持續(xù)且可信的訪問權(quán)限�,攻擊和數(shù)據(jù)泄露可能會隨著時間的推移而發(fā)生�,使攻擊者有更多時間來規(guī)劃他的策略,掩蓋他的蹤跡��,偽裝數(shù)據(jù)����,因此安全工具很難或不可能識別并保留數(shù)據(jù)低于檢測閾值的運動。許多用戶還可以通過在核心環(huán)境和多云環(huán)境之間移動數(shù)據(jù)來超越檢測,從而利用跨生態(tài)系統(tǒng)的不一致的安全實施����。
2. 疏忽
組織為某些用戶提供比他們有技能管理更多的權(quán)限并不罕見�。例如�����,堅持向數(shù)據(jù)庫提供升級權(quán)限的高管可以做一些簡單的事情�����,例如更改字段長度并導(dǎo)致關(guān)鍵應(yīng)用程序出現(xiàn)故障。這些用戶是否不知道處理敏感應(yīng)用程序或信息的基本預(yù)防措施,容易出錯,或者只是粗心大意�����,大多數(shù)情況下他們并不打算造成傷害��。
但是,數(shù)據(jù)丟失或暴露不一定是不正當(dāng)授予特權(quán)的結(jié)果����。丟失移動設(shè)備���,筆記本電腦或拇指驅(qū)動器�����,無法在丟棄的硬件上擦除光盤和硬盤驅(qū)動器,甚至在社交網(wǎng)絡(luò)上聊天時泄露商業(yè)信息��,都可能導(dǎo)致錯誤���,這些錯誤可能與其他人的故意攻擊一樣昂貴����。
解決您的內(nèi)部風(fēng)險
組織需要完全了解其數(shù)據(jù)流,他們需要知道誰在訪問哪些數(shù)據(jù)����,何時何地��,包括在核心,多云或SD-WAN環(huán)境中����。安全團(tuán)隊還需要特別識別和分類風(fēng)險用戶�����,包括可以訪問敏感信息和權(quán)限的管理人員�,管理員和超級用戶�,以及維護(hù)和監(jiān)控可以訪問關(guān)鍵數(shù)據(jù)��,資源和應(yīng)用程序的每個人的列表���。
通過實施控制措施以幫助安全人員更早發(fā)現(xiàn)攻擊���,您可以開始創(chuàng)建有效的內(nèi)部威脅計劃��。例如,你應(yīng)該仔細(xì)觀察特權(quán)升級等事情; 應(yīng)用程序���,探測器和流量超出其正常參數(shù); 應(yīng)用程序和工作流程的異常流量模式,特別是在不同的網(wǎng)絡(luò)域之間�����。
行為分析需要通過分布式網(wǎng)絡(luò)���,以智能地標(biāo)記異常事件并立即向安全人員報告�。轉(zhuǎn)向零信任模型并實施嚴(yán)格的內(nèi)部分段可以防止許多攻擊所需的網(wǎng)絡(luò)橫向移動。需要制定協(xié)議���,以便立即看到優(yōu)先級警報,而不會使安全團(tuán)隊陷入大量低級別信息���。
需要注意的事項包括:
1. 未經(jīng)授權(quán)使用IT資源和應(yīng)用程序
2. 未經(jīng)授權(quán)的數(shù)據(jù)傳輸
3. 濫用和惡意行為
濫用文件系統(tǒng)管理員權(quán)限
禁用或覆蓋端點安全產(chǎn)品
使用密碼竊取工具
訪問黑暗網(wǎng)站
預(yù)防是關(guān)鍵的第一步
通過創(chuàng)造鼓勵良好員工行為的工作條件�����,還可以進(jìn)一步預(yù)防問題。
例如����,當(dāng)工資水平,職業(yè)前景或工作的其他方面低于某些可測量的滿意度時,員工可能會尋求離開組織并隨身攜帶機(jī)密信息�����。因此����,衡量和響應(yīng)員工滿意度是防范內(nèi)部人員安全風(fēng)險的關(guān)鍵部分。人力資源和IT之間協(xié)調(diào)的定期信息安全意識計劃有助于減少粗心行為���。
結(jié)論
內(nèi)部威脅的風(fēng)險通常比我們想象的要大,特別是隨著網(wǎng)絡(luò)變得越來越大和越來越復(fù)雜。粗心大意和惡意企圖是兩個主要原因�,但兩者都可以減輕�。提高認(rèn)知度和謹(jǐn)慎信息處理的解決方案包括培訓(xùn)和意識���,以及從核心到云的分布式網(wǎng)絡(luò)的特權(quán)用戶和關(guān)鍵數(shù)據(jù)的監(jiān)控�。這需要與動態(tài)網(wǎng)絡(luò)分段和安全工具集成到單一結(jié)構(gòu)中,包括高級行為分析。
這些技術(shù)解決方案只是答案的一半。創(chuàng)建和維護(hù)有吸引力的工作條件對于防止惡意行為也有很長的路要走��。請記住��,薪水只是一個因素����,并不總是關(guān)鍵因素�����。擁有感����,團(tuán)隊合作以及創(chuàng)造員工執(zhí)行重要任務(wù)的感覺與您可能擁有的任何內(nèi)部安全解決方案一樣重要����。
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全���、運維平臺建設(shè)、動漫設(shè)計、軟件研發(fā)�、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀�。公司遵循信息安全整體性的IATF模型�����,從“人員素養(yǎng)”��、“制度流程”、“技術(shù)產(chǎn)品”三個視角提供全面、可信的方案���,業(yè)務(wù)涵蓋咨詢、評估、規(guī)劃�、管控�����、建設(shè)、培訓(xùn)等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商。
