網路中的內部威脅處置

安全劍客發表於2019-02-26
從安全形度來看,防範內部人員攻擊與防禦外部網路攻擊完全不同。許多安全系統根本不關注已知使用者正在做什麼,特別是在圍繞隱式信任建立的環境中,或者大多數安全資源專注於外圍控制的環境中。

黑客,網路犯罪分子,惡意軟體感染和其他外部威脅佔據了頭條新聞。並且有充分的理由。作為安全漏洞的一部分,數百萬條資料記錄的丟失現在似乎很常見。隨著我們向綜合數字經濟邁進,大規模或協調網路攻擊的影響可能會產生破壞性後果。
但實際情況是,絕大多數網路攻擊仍未被發現。雖然我們沒有看到或聽說過它們,有針對性的攻擊負責大部分的損失在去年的網路攻擊造成6,000億美元。更不為人所知的是,將近一半的資料洩露和系統妥協來自組織內部而非外部來源。其中近一半是故意的,其餘是偶然的。
網路中的內部威脅處置網路中的內部威脅處置
從安全形度來看,防範內部人員攻擊與防禦外部網路攻擊完全不同。獲取對易受攻擊的裝置和系統的訪問許可權或升級網路許可權通常也更容易從內部執行。許多安全系統根本不關注已知使用者正在做什麼,特別是在圍繞隱式信任建立的環境中,或者大多數安全資源專注於外圍控制的環境中。

識別潛在的內部威脅

通過識別危害資源的內部操作,以及識別可能執行此類操作的人員,企業可以領先於內部威脅。有兩種型別的內部人員:

1. 惡意行動者

由於多種原因,這些人願意將企業置於風險之中。這些可以包括個人利益,報復被認為是不公正的願望,例如被忽視晉升或者經理不善,政治動機或由民族國家或競爭對手資助的工業間諜活動。
內部人員攻擊可能導致有價值的資料和智慧財產權(IP)被盜,向公眾或競爭對手暴露可能令人尷尬或專有的資料,以及劫持或破壞資料庫和伺服器。客戶和員工資訊(包括個人身份資訊(PII)和個人健康資訊(PHI))是最受歡迎的目標,因為它們在黑暗網路上具有最高的轉售價值。智慧財產權(IP)和支付卡資訊是下一個最常被竊取的資料型別。
對於更傳統的外部攻擊,由於快速資料洩漏到不尋常的目的地而導致的異常資料流可能難以偽裝。活動可能與企業安全策略衝突,在奇怪的時間發生,源自奇怪的訪問點,顯示移動到不尋常的網路地址,或包含意外的大量資料。這些中的任何一個都應該觸發可以關閉主動違規的安全響應。
但由於內部人員已經擁有持續且可信的訪問許可權,攻擊和資料洩露可能會隨著時間的推移而發生,使攻擊者有更多時間來規劃他的策略,掩蓋他的蹤跡,偽裝資料,因此安全工具很難或不可能識別並保留資料低於檢測閾值的運動。許多使用者還可以通過在核心環境和多雲環境之間移動資料來超越檢測,從而利用跨生態系統的不一致的安全實施。

2. 疏忽

組織為某些使用者提供比他們有技能管理更多的許可權並不罕見。例如,堅持向資料庫提供升級許可權的高管可以做一些簡單的事情,例如更改欄位長度並導致關鍵應用程式出現故障。這些使用者是否不知道處理敏感應用程式或資訊的基本預防措施,容易出錯,或者只是粗心大意,大多數情況下他們並不打算造成傷害。
但是,資料丟失或暴露不一定是不正當授予特權的結果。丟失移動裝置,膝上型電腦或拇指驅動器,無法在丟棄的硬體上擦除光碟和硬碟驅動器,甚至在社交網路上聊天時洩露商業資訊,都可能導致錯誤,這些錯誤可能與其他人的故意攻擊一樣昂貴。

解決您的內部風險

組織需要完全瞭解其資料流,他們需要知道誰在訪問哪些資料,何時何地,包括在核心,多雲或SD-WAN環境中。安全團隊還需要特別識別和分類風險使用者,包括可以訪問敏感資訊和許可權的管理人員,管理員和超級使用者,以及維護和監控可以訪問關鍵資料,資源和應用程式的每個人的列表。
通過實施控制措施以幫助安全人員更早發現攻擊,您可以開始建立有效的內部威脅計劃。例如,你應該仔細觀察特權升級等事情; 應用程式,探測器和流量超出其正常引數; 應用程式和工作流程的異常流量模式,特別是在不同的網路域之間。
行為分析需要通過分散式網路,以智慧地標記異常事件並立即向安全人員報告。轉向零信任模型並實施嚴格的內部分段可以防止許多攻擊所需的網路橫向移動。需要制定協議,以便立即看到優先順序警報,而不會使安全團隊陷入大量低階別資訊。
需要注意的事項包括:

1. 未經授權使用IT資源和應用程式 
員工使用個人雲獲取公司資訊
盜賊使用影子IT
訪問,共享或分發PII
安裝未經批准和未經許可的軟體
未經授權使用受限應用程式,包括網路嗅探和遠端桌面工具
2. 未經授權的資料傳輸 
使用可移動媒體儲存或移動資料
未經授權將業務關鍵型資料複製到雲或Web服務
傳輸與異常目的地之間的檔案傳輸
使用即時訊息或社交媒體應用程式移動檔案
3. 濫用和惡意行為 
濫用檔案系統管理員許可權
禁用或覆蓋端點安全產品
使用密碼竊取工具
訪問黑暗網站
預防是關鍵的第一步

通過創造鼓勵良好員工行為的工作條件,還可以進一步預防問題。
例如,當工資水平,職業前景或工作的其他方面低於某些可測量的滿意度時,員工可能會尋求離開組織並隨身攜帶機密資訊。因此,衡量和響應員工滿意度是防範內部人員安全風險的關鍵部分。人力資源和IT之間協調的定期資訊保安意識計劃有助於減少粗心行為。

結論

內部威脅的風險通常比我們想象的要大,特別是隨著網路變得越來越大和越來越複雜。粗心大意和惡意企圖是兩個主要原因,但兩者都可以減輕。提高認知度和謹慎資訊處理的解決方案包括培訓和意識,以及從核心到雲的分散式網路的特權使用者和關鍵資料的監控。這需要與動態網路分段和安全工具整合到單一結構中,包括高階行為分析。
這些技術解決方案只是答案的一半。建立和維護有吸引力的工作條件對於防止惡意行為也有很長的路要走。請記住,薪水只是一個因素,並不總是關鍵因素。擁有感,團隊合作以及創造員工執行重要任務的感覺與您可能擁有的任何內部安全解決方案一樣重要。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31559985/viewspace-2636998/,如需轉載,請註明出處,否則將追究法律責任。

相關文章