什麼是内部威胁?
概述
内部威胁是指源自组织内部的 网路安全 風險。當具有合法使用者憑據的現任或前任員工、承包商、供应商或合作伙伴濫用其訪問許可權而損害組織的網路、系統和數據時,通常會發生這種情況。内部威胁可能是有意或無意執行的。無論出於何種目的,最終結果都會損害企業系統和數據的機密性、可用性和/或完整性。
内部威胁是大多数數據洩露的原因。傳統的网路安全戰略、政策、程序和系統通常側重於外部威脅,使組織容易受到來自內部的攻擊。由於內部人員已經對數據和系統擁有有效的授權,因此安全專業人員和應用程式很難區分正常活動和有害活動。
与其他类别的恶意攻击者相比,恶意内部人员具有明显的优势,因為他们熟悉公司系统、流程、过程、策略和使用者。他们敏锐地意识到系统版本及其中的漏洞。因此,组织必须至少像处理外部威胁一样严格地处理内部威胁。
经验证的内部威胁防护的最佳实践
瞭解内部威胁的剖析結構。向行业專家和同行學習如何通過正確的預防計劃智取對手。
内部威胁的类型
恶意内部威胁
也稱為回合隱身衣,恶意内部威胁的主要目標包括間諜活動、欺詐、智慧財產權盜竊和破壞活動。出於財務、個人和/或惡意原因,他們故意濫用其特權訪問許可權來竊取資訊或降低系統品質。例如,將機密數據出售給競爭對手的員工,或心懷不滿的前承包商在組織的網路上引入削弱惡意軟體。
恶意内部威胁可能是合作者或獨狼。
合作者
协作者是与第叁方合作故意损害组织的授权使用者。第叁方可能是竞争对手、民族国家、有组织犯罪网路或个人。合作者的行為将导致机密信息洩露或业务运营中断。
孤狼
独狼完全独立行动,不受外界操纵或影响。它们可能特别危险,因為它们通常具有特权系统访问许可权,例如资料库管理员。
粗心的内部威胁
粗心的内部安全威胁无意中发生。它们通常是人為错误、判断力差、无意的説明和教唆、便利、网路钓鱼(和其他社会工程策略)、恶意软体和被盗凭据的结果。所涉及的个人在不知不觉中将公司系统暴露在外部攻击之下。
粗心的内部威胁可能是棋子或傻瓜。
典当
典当是縱的授權用戶,他們通常通過魚叉式網路釣魚等社會工程技术無意中採取惡意行為。這些無意行為可能包括將惡意軟體下載到他們的計算機上或向冒名頂替者披露機密資訊。
混日子
傻瓜故意採取潜在的有害行為,但没有恶意。他们是傲慢、无知和/或无能的使用者,他们不认识到需要遵守安全策略和程式。傻瓜可能是将机密客户资讯存储在其个人设备上的使用者,即使他们知道这违反了组织策略。
一颗痣
鼴鼠是局外人,但已經獲得了對組織系統的內部訪問許可權。他們可能偽裝成供应商、合作伙伴、承包商或雇員,從而獲得他們本來沒有資格獲得的特權授權。
如何检测内部威胁
大多数 威胁情报 工具专注於分析网路、计算机和应用程式数据,而很少关注可能滥用其特权访问许可权的授权人员的行為。為了 安全地防御 内部威胁,您必须密切关注异常行為和数字活动。
行為指标
应注意内部威胁的几个不同指标,包括:
- 不滿意或心懷不滿的員工、承包商、供应商或合作伙伴。
- 试图规避安全。
- 经常在下班时间工作。
- 表现出对同事的怨恨。
- 例行违反组织策略。
- 考虑辞职或讨论新机会。
数位指示器
- 在異常時間登录公司应用程式和網路。例如,一名員工在沒有提示的情況下在淩晨 3 點登录網路可能會引起關注。
- 网路流量激增。如果有人试图通过网路复製大量数据,您将看到网路流量出现异常峰值。
- 訪問他們通常不訪問或不允許訪問的资源。
- 访问与其工作职能无关的数据。
- 重複請求訪問與其工作職能無關的系統资源。
- 使用未经授权的设备,例如鲍厂叠驱动器。
- 网路爬虫和故意搜索敏感资讯。
- 通过电子邮件向组织外部发送敏感资讯。
如何防范内部攻击
您可以保护组织的数位资产免受内部威胁。方法如下。
保护关键资产
确定组织的关键逻辑和物理资产。这些包括网路、系统、机密数据(包括客户资讯、员工详细资讯、原理图和详细的战略计划)、设施和人员。瞭解每项关键资产,按优先顺序顺序对资产进行排序,并确定每项资产保护的当前状态。当然,应為最高优先顺序的资产提供最高级别的保护,以抵御内部威胁。
创建正常使用者和设备行為的基线
有許多不同的軟體系統可以跟蹤内部威胁。這些系統的工作原理是首先通過從訪問、身份驗證、帳戶更改、端點和虛擬專用網路 (VPN) 日誌中提取使用者活動資訊來集中用戶活動資訊。使用此數據對與特定事件相關的使用者行為進行建模和分配風險評分,例如將敏感數據下載到可移動媒體或使用者從異常位置登录。為每個用戶和設備以及工作職能和職位創建正常行為的基線。有了這個基線,就可以標記和調查偏差。
提高可见性
部署能夠持續監視用戶活動以及聚合和關聯來自多個來源的活動資訊的工具非常重要。例如,您可以使用網路欺騙解决方案來建立陷阱,以吸引惡意內部人員,跟蹤他們的行為並了解他們的意圖。然後,這些資訊將被輸入到其他企業安全解决方案中,以識別或防止當前或未來的攻擊。
强制执行策略
定義、記錄和傳播組織的安全策略。這可以防止歧義,併為執行奠定正確的基礎。任何員工、承包商、供应商或合作伙伴都不應懷疑什麼是與其組織的安全立場相關的可接受行為。他們應該認識到他們有責任不向未經授權的各方洩露特權資訊。
促进文化变革
虽然检测内部威胁很重要,但劝阻使用者不要做出任性行為更為谨慎,成本更低。在这方面,促进具有安全意识的文化变革和 数位化转型 是关键。灌输正确的信念和态度有助於打击疏忽并解决恶意行為的根源。员工和其他利益相关者应定期参加安全培训和意识,对他们进行安全问题教育,同时应不断衡量和提高员工满意度,以发现不满的早期预警信号。
内部威胁檢測解决方案
内部威胁比外部攻擊更難識別和預防。它們通常低於防火牆、入侵檢測系統和反惡意軟體等傳統网路安全解决方案的雷達。如果攻擊者通過授權的使用者 ID、密碼、IP 位址和設備登录,則不太可能觸發任何安全警報。為了有效保護您的數字资产,您需要一個內部 威胁检测软体 和策略,该软体和策略结合了多种工具来监控内部行為,同时最大限度地减少误报的数量。
