內(nèi)部威脅防護(hù):上下文是關(guān)鍵
時(shí)間:2019-07-26
危險(xiǎn)時(shí)刻
內(nèi)部人員威脅的話題在公司議程上迅速崛起�。還覺得公司內(nèi)部員工帶來的安全風(fēng)險(xiǎn)小于外部攻擊者?《Computing》的分析發(fā)現(xiàn)��,內(nèi)部人威脅是半數(shù)已報(bào)道信息泄露事件的原因之一�����。
內(nèi)部威脅造成的數(shù)據(jù)泄露一旦曝光����,公司聲譽(yù)會(huì)受到嚴(yán)重打擊,透露出公司文化問題和對(duì)安全的忽視��,因而摧毀對(duì)公司的信任��。即便數(shù)據(jù)泄露事件沒公開���,只要涉及知識(shí)產(chǎn)權(quán)或其他關(guān)鍵資產(chǎn)盜竊�,也會(huì)極大損害公司的競(jìng)爭(zhēng)力����。
無論源于心懷怨恨的員工、無意疏忽���,還是系統(tǒng)性的惡意行為�,內(nèi)部人威脅都是難以管理的復(fù)雜風(fēng)險(xiǎn)。而且�,類似外部威脅,內(nèi)部人所用工具����、技術(shù)和規(guī)程 (TTP) 也在與時(shí)俱進(jìn)。
識(shí)別內(nèi)部風(fēng)險(xiǎn)
內(nèi)部威脅比外部威脅更難覺察��,僅靠傳統(tǒng)安全工具難以管理����。外部攻擊通常需要初始漏洞利用或入侵來獲取目標(biāo)網(wǎng)絡(luò)的訪問權(quán)。大多數(shù)情況下這些行為都會(huì)觸發(fā)自動(dòng)化入侵檢測(cè)系統(tǒng)警報(bào)��,調(diào)動(dòng)事件響應(yīng)團(tuán)隊(duì)加以調(diào)查�����。
但內(nèi)部人員已然掌握網(wǎng)絡(luò)訪問權(quán)�����,所以他們一般不會(huì)觸發(fā)邊界監(jiān)視系統(tǒng)警報(bào)���。識(shí)別可疑或疏忽行為需要關(guān)聯(lián)多個(gè)來源的情報(bào)。包括用戶及實(shí)體行為分析 (UEBA) 、數(shù)據(jù)防丟失 (DLP) ���、網(wǎng)絡(luò)日志和終端設(shè)備行為�。然而���,雖然這些工具可能揭示某員工的異常行為——此前從未出現(xiàn)過的周末登錄行為或郵件中出現(xiàn)表達(dá)對(duì)公司不滿情緒的詞句���,但它們無法揭示外部用戶可能觸發(fā)的公司內(nèi)部人威脅風(fēng)險(xiǎn)。
比如說�,內(nèi)心不滿的雇員同時(shí)也活躍在深網(wǎng)及暗網(wǎng) (DDW) 非法在線社區(qū)中。又或者��,他們?cè)庥隽私?jīng)濟(jì)困難�����,被外部威脅實(shí)體招募或收買以盜取有價(jià)值數(shù)據(jù)���;此類情況都需要人力監(jiān)管和分析才能處理����。源自非法在線社區(qū)監(jiān)管的 “業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)” (Business Risk Intelligence) 可將有價(jià)值上下文應(yīng)用到個(gè)體行為上���,標(biāo)記可疑行為以作進(jìn)一步調(diào)查���。那么���,到底要揀取哪類事件呢?
管理內(nèi)部人員威脅
很多公司都意識(shí)到�,員工滿懷怨恨地離開或被競(jìng)爭(zhēng)對(duì)手招募時(shí),就會(huì)產(chǎn)生內(nèi)部人威脅風(fēng)險(xiǎn):他們可能會(huì)利用手中的網(wǎng)絡(luò)訪問權(quán)加以報(bào)復(fù)�,或?yàn)樾鹿椭鞅I取有用數(shù)據(jù)。撤銷該員工的訪問憑證應(yīng)成為降低此類風(fēng)險(xiǎn)的首要?jiǎng)幼鳌?br />
不過�,還有個(gè)不太明顯但同樣危險(xiǎn)的時(shí)刻,那就是新員工入職的時(shí)候�。人力資源部門當(dāng)然會(huì)對(duì)員工履歷做盡職調(diào)查,但他們未必會(huì)注意到該員工的所有關(guān)系或動(dòng)機(jī)���。業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)可提供此類信息����,防止惡意人員進(jìn)入公司�。幾年前有家財(cái)富 500 強(qiáng)公司就遭遇了此類風(fēng)險(xiǎn)。當(dāng)時(shí)一名擬錄用的員工被發(fā)現(xiàn)與專門招募內(nèi)部人盜取企業(yè)數(shù)據(jù)以作勒索的罪犯有聯(lián)系���。一旦注意到該威脅�,企業(yè)便可拒絕相關(guān)人士入職���,并強(qiáng)化針對(duì)此類攻擊模式的安全防御��。
新產(chǎn)品發(fā)布時(shí)也是公司的高風(fēng)險(xiǎn)期���。知識(shí)產(chǎn)權(quán)代表著公司 80% 的價(jià)值,所以知識(shí)產(chǎn)權(quán)失竊可能招致災(zāi)難性后果����。公司雇員自然擁有公司商業(yè)秘密和產(chǎn)品信息訪問權(quán),少數(shù)情況下�,這種權(quán)利會(huì)誘人犯罪。但真要有員工起了壞心盜取了公司知識(shí)產(chǎn)權(quán)�,他們還需要找到變現(xiàn)的渠道,而這往往涉及 DDW 或其他買賣被盜資產(chǎn)的非法在線社區(qū)�����。
最近的案例中�,F(xiàn)lashpoint 分析師在某高端網(wǎng)絡(luò)犯罪論壇上看到某跨國科技公司尚未發(fā)布的軟件源代碼遭掛牌出售。分析確認(rèn)該源代碼泄露的源頭就是該公司一名雇員���,而接到通告后����,該公司得以終止與該流氓雇員的合約,并采取補(bǔ)救措施保護(hù)了那款產(chǎn)品�����。其中關(guān)鍵在于�����,若非網(wǎng)絡(luò)罪犯在 DDW 上為該來路不正的軟件打出售賣廣告��,這名流氓雇員確實(shí)成功繞過了內(nèi)部檢測(cè)����。在業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)提供的上下文幫助下,很多雇員當(dāng)時(shí)看似無害的行為無疑可從另一個(gè)不同角度解讀����。
內(nèi)部 TTP 愈趨復(fù)雜
經(jīng)典內(nèi)部人威脅行為涉及向個(gè)人電子郵箱或第三方郵箱地址發(fā)送文件、下載數(shù)據(jù)到可移動(dòng)載體上��,以及盜取紙質(zhì)文件���,而且惡意內(nèi)部人規(guī)避檢測(cè)的手法越來越復(fù)雜了���。意識(shí)到公司企業(yè)對(duì)內(nèi)部人威脅的認(rèn)知不斷提升,有些惡意內(nèi)部人也越來越慣于使用安全通信方法了���,比如加密聊天服務(wù)和 DDW 論壇�����。如果缺乏已取得這些圈子準(zhǔn)入權(quán)的老道分析師幫忙��,公司企業(yè)幾乎不可能監(jiān)視此類通信渠道���。
安全通信信道和 DDW 使用率增高本身就助推了內(nèi)部威脅風(fēng)險(xiǎn),因?yàn)檫@意味著作惡者可入手更高級(jí)的 TTP 和資源�����,更便于以有公司數(shù)據(jù)訪問權(quán)的內(nèi)部人身份實(shí)施系統(tǒng)攻擊和數(shù)據(jù)滲漏操作���。而且��,加入惡意社區(qū)的公司雇員也將自己置入了被外部人員招募的風(fēng)險(xiǎn)之中�����。這里所說的外部人員就包括希望收買或脅迫內(nèi)部人員盜取數(shù)據(jù)的民族國家代理人�,且此類人員占比呈上升趨勢(shì)。
關(guān)注需要資源的地方
必須明確的是���,大多數(shù)員工不是惡意的�����,不帶來惡意內(nèi)部人威脅風(fēng)險(xiǎn)��。當(dāng)然�,有些員工會(huì)犯錯(cuò)���,或者偶爾表現(xiàn)異常��。事實(shí)上���,新加入員工的網(wǎng)絡(luò)行為也經(jīng)常被自動(dòng)化工具標(biāo)記為可疑,因?yàn)檫@些新員工在游歷公司網(wǎng)絡(luò)時(shí)常會(huì)犯錯(cuò)�。只有具備一定程度的上下文,標(biāo)記出影響內(nèi)部人員的外部因素�����,才可以知道該追蹤什么。業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)就提供此類上下文�,令內(nèi)部威脅管理更加有效,保護(hù)企業(yè)王國不受已持有大門鑰匙的內(nèi)部侵害�。
來源:安全牛
在線咨詢
在線咨詢
0371-63319761