多年以來,安全工作的主要目標(biāo)一直關(guān)注保護(hù)環(huán)境的邊緣位置——即確保外部人員無法獲得訪問權(quán)并借此實(shí)施惡意活動。然而統(tǒng)計(jì)數(shù)據(jù)證明,企業(yè)內(nèi)部存在的風(fēng)險(xiǎn)往往更高。正因?yàn)槿绱?,相?dāng)一部分合規(guī)性法規(guī)要求監(jiān)控系統(tǒng)能夠識別并清除內(nèi)部威脅。根據(jù)Forrester公司的統(tǒng)計(jì),58%的安全違規(guī)行為源自內(nèi)部事件或者與業(yè)務(wù)合作伙伴相關(guān)。IBM公司發(fā)布的2015年網(wǎng)絡(luò)安全情報(bào)索引亦指出,55%的攻擊源自企業(yè)內(nèi)部人員。
在今天的文章中,我們將共同了解ObserveIT公司CEO Mike McKee針對內(nèi)部威脅因素給出的七步走式應(yīng)用戰(zhàn)略。
建立主動內(nèi)部威脅管理計(jì)劃
建立這一計(jì)劃的核心元素包括:
一支跨部門團(tuán)隊(duì),涵蓋人力資源、IT、企業(yè)識別與領(lǐng)導(dǎo)層。
實(shí)施員工培訓(xùn)以普及并強(qiáng)化安全政策。在違規(guī)事件出現(xiàn)時(shí)發(fā)布實(shí)時(shí)通知應(yīng)成為網(wǎng)絡(luò)安全教育計(jì)劃的主要內(nèi)容。
建立用戶活動監(jiān)控方案,負(fù)責(zé)追蹤特權(quán)用戶、高風(fēng)險(xiǎn)員工、遠(yuǎn)程供應(yīng)商活動——以及其他任何有權(quán)訪問您系統(tǒng)與數(shù)據(jù)的人員。其應(yīng)能夠追蹤并對風(fēng)險(xiǎn)及行為進(jìn)行可視化處理,從而確保管理人員更快檢測到內(nèi)部威脅。
關(guān)注特權(quán)
明確記錄事件發(fā)生前、期間與之后曾出現(xiàn)的事件或警報(bào)。這將有效縮短修復(fù)前平均時(shí)間并提供確鑿的相關(guān)證據(jù),這一點(diǎn)對于實(shí)施應(yīng)對舉措至關(guān)重要。
企業(yè)通常能夠很好地掌握服務(wù)器統(tǒng)計(jì)信息,包括訪問日志、性能、正常運(yùn)行時(shí)間以及系統(tǒng)事件。但在另一方面,企業(yè)往往很難了解誰有權(quán)直接訪問服務(wù)器。因此應(yīng)創(chuàng)建憑證登錄(避免使用一般性登錄機(jī)制),并利用IT申請系統(tǒng)以確保全部服務(wù)器活動皆處于可控范圍之內(nèi)。
定期審查員工訪問控制機(jī)制
如果員工無需訪問特定帳戶,請及時(shí)撤銷其相關(guān)權(quán)限。另外,請考慮限制在企業(yè)帳戶之上使用遠(yuǎn)程登錄應(yīng)用程序或者云存儲應(yīng)用。
部分企業(yè)每年執(zhí)行一次此類審查,但更高頻度的審查活動(每季度或者每月)能夠更好地緩解內(nèi)部威脅問題。
監(jiān)控全部數(shù)據(jù)滲出點(diǎn)
應(yīng)通過用戶活動監(jiān)控與重播記錄管理來自計(jì)算機(jī)的大規(guī)模打印事務(wù)、USB數(shù)據(jù)過濾、云存儲上傳、面向個(gè)人郵箱的數(shù)據(jù)發(fā)送或者通過即時(shí)通訊軟件進(jìn)行的文件發(fā)送——而非事件日志——從而梳理來自計(jì)算機(jī)的調(diào)查結(jié)果。只需要簡單按下重播按鈕,我們即可對這些數(shù)據(jù)滲出點(diǎn)進(jìn)行快速監(jiān)控及調(diào)查。
了解用戶為何要安裝/卸載軟件
企業(yè)利用虛擬桌面、非永久性鏡像及各類軟件管理工具及帳戶以控制已安裝應(yīng)用程序。在多數(shù)情況下,這些集中式管理方法無法提供與用戶意圖及基本業(yè)務(wù)需求相關(guān)的信息。內(nèi)部威脅管理技術(shù)能夠消除這些明顯空白,并允許企業(yè)了解人們的行為是否可能引發(fā)風(fēng)險(xiǎn)。
高度關(guān)注高風(fēng)險(xiǎn)用戶
無論是通過當(dāng)面對話還是在桌面環(huán)境上設(shè)置通知橫幅,總之企業(yè)應(yīng)提醒高風(fēng)險(xiǎn)用戶其正在受到監(jiān)控。在多數(shù)情況下,這能夠有效阻止其從事惡意活動。員工離職時(shí)應(yīng)立即更改密碼以撤銷其訪問權(quán)限。另外,請確保第三方服務(wù)供應(yīng)商亦針對員工離職作出反應(yīng),即盡快取消其授權(quán)帳戶。
確保離職員工無法掌握任何企業(yè)數(shù)據(jù)。在高風(fēng)險(xiǎn)員工離職前,請認(rèn)真檢查其個(gè)人計(jì)算機(jī)、手機(jī)、平板等設(shè)備上是否存在企業(yè)數(shù)據(jù)。
速度安全調(diào)查
毫無疑問,能夠快速檢測并響應(yīng)事件與警報(bào)對企業(yè)而言至關(guān)重要。如果缺少正確安全工具與程序的支持,那么修復(fù)前平均時(shí)間往往將長達(dá)數(shù)周。因此,請將您的用戶活動監(jiān)控方案與其它網(wǎng)絡(luò)安全工具加以整合,從而確保您能夠提供確鑿的相關(guān)證據(jù)并有效縮短修復(fù)前平均時(shí)間。
原文標(biāo)題:How to eliminate insider threats
原文作者:Ryan Francis