別忽略了內(nèi)部人員威脅

責(zé)任編輯:editor005

作者:趙長(zhǎng)林

2015-11-12 14:13:57

摘自:TechTarget中國

摘要:對(duì)于無休無止的威脅,我們往往將過多的精力放在了外部威脅上,對(duì)內(nèi)部人員可能造成的威脅卻重視不足。

對(duì)于無休無止的威脅,我們往往將過多的精力放在了外部威脅上,對(duì)內(nèi)部人員可能造成的威脅卻重視不足。

這可能是一種戰(zhàn)略性的錯(cuò)誤,因?yàn)閮?nèi)部人員的威脅正在上升,而且與高級(jí)的外部攻擊有許多相同之處。安全團(tuán)隊(duì)?wèi)?yīng)當(dāng)能夠以一種統(tǒng)一的方式同時(shí)解決外部人員和內(nèi)部人員威脅,從而在最大程度上減少企業(yè)的總體風(fēng)險(xiǎn)。

安全專家普遍感到,內(nèi)部人員威脅比外部威脅更難以檢測(cè)。

內(nèi)部人員擁有網(wǎng)絡(luò)和資源的特權(quán)訪問。內(nèi)部人員不像外部的攻擊者,惡意的內(nèi)部人員不必找到漏洞、開發(fā)漏洞利用和惡意軟件,或者創(chuàng)建隱蔽的通道來管理攻擊。

其實(shí),無論是惡意的內(nèi)部人員還是高級(jí)的外部攻擊者,都可以繞過防御控制。

外部的攻擊者可能針對(duì)的是零日漏洞,并使用可以感知沙箱的惡意軟件來滲透到網(wǎng)絡(luò),而惡意的內(nèi)部人員只需用合法的憑據(jù)就可以登錄。

不管攻擊者是否獲得了特權(quán),內(nèi)部和外部的威脅必須尋找并獲得有價(jià)值的數(shù)據(jù)。無論是因?yàn)楦腥緪阂廛浖虮撑?,這些活動(dòng)很容易被觀察并與正常行為區(qū)分開。

因而,安全模型必須對(duì)威脅如何進(jìn)入網(wǎng)絡(luò)和進(jìn)入網(wǎng)絡(luò)后的動(dòng)作保持高度警惕。通過監(jiān)視網(wǎng)絡(luò)內(nèi)部主機(jī)的行為,安全團(tuán)隊(duì)可以快速地確定正在收集數(shù)據(jù)或在非正常時(shí)間訪問資源的主機(jī)。

例如,主機(jī)是否正在訪問平常并不到達(dá)的區(qū)域?有沒有跡象表明數(shù)據(jù)被遷移到其它位置?當(dāng)然,也許是有管理員在內(nèi)部傳輸數(shù)據(jù),或者將數(shù)據(jù)復(fù)制到一個(gè)外部位置(如Dropbox)。

最聰明的安全團(tuán)隊(duì)都知道,威脅事件往往與網(wǎng)絡(luò)中的關(guān)鍵資產(chǎn)緊密相連。除了要理解威脅,安全團(tuán)隊(duì)需要知道威脅對(duì)企業(yè)的影響。在檢測(cè)到威脅時(shí),受到損害的設(shè)備會(huì)給哪些資產(chǎn)帶來風(fēng)險(xiǎn)?可疑設(shè)備可以直接訪問關(guān)鍵資產(chǎn)嗎?這是安全團(tuán)隊(duì)必須重視的問題。

專注于網(wǎng)絡(luò)中的關(guān)鍵資產(chǎn)可以使安全團(tuán)隊(duì)更容易地看出,異常行為什么時(shí)候在其最關(guān)心的資產(chǎn)上發(fā)生。

這些方法可以有效地檢測(cè)內(nèi)部和外部威脅。更為重要的是,由于明確了內(nèi)部的關(guān)鍵資產(chǎn),安全團(tuán)隊(duì)就不僅可以追蹤威脅,還可以真正地減少威脅。

資產(chǎn)被竊或破壞會(huì)使企業(yè)遭受真正的破壞。幾乎所有的威脅都集中于企業(yè)最寶貴的內(nèi)部資產(chǎn),所以安全模式也應(yīng)這樣。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)