跟蹤內(nèi)部威脅是所有企業(yè)面臨的一個艱巨且似乎永無止境的網(wǎng)絡(luò)安全挑戰(zhàn)。與外部攻擊者不同,企業(yè)內(nèi)部的人可能已經(jīng)擁有敏感信息的訪問權(quán)限,使他們更容易造成嚴(yán)重問題。
主動搜索和檢測潛在的內(nèi)部風(fēng)險對于防止企業(yè)成為數(shù)據(jù)泄露、知識產(chǎn)權(quán)盜竊和業(yè)務(wù)破壞的受害者至關(guān)重要。本文探討了內(nèi)部威脅檢測的重要性和關(guān)鍵的內(nèi)部威脅指標(biāo),并概述了有效檢測的最佳實踐和工具。
內(nèi)部威脅狩獵的重要性
雖然防火墻、入侵檢測系統(tǒng)和殺毒產(chǎn)品等傳統(tǒng)安全措施有助于防御外部威脅,但它們通常在捕捉企業(yè)內(nèi)部的惡意行為方面不夠完善,這時內(nèi)部威脅狩獵便發(fā)揮了作用。不同于安全團(tuán)隊在已知威脅或異常發(fā)生后進(jìn)行反應(yīng)性檢測,內(nèi)部威脅狩獵是主動的,旨在在潛在威脅成為實際安全事件之前進(jìn)行搜索。
內(nèi)部威脅狩獵之所以重要,是因為內(nèi)部人員帶來的獨特挑戰(zhàn)。無論是因為員工有意泄露敏感數(shù)據(jù),還是無意中引發(fā)數(shù)據(jù)泄露,內(nèi)部人員往往難以監(jiān)控,因為他們通常擁有對企業(yè)關(guān)鍵資產(chǎn)的合法訪問權(quán)限。
主動的威脅狩獵立場確保企業(yè)可以識別內(nèi)部風(fēng)險的早期警示信號,使團(tuán)隊在發(fā)生重大損害之前化解威脅。
關(guān)鍵的內(nèi)部威脅指標(biāo)
一些行為指標(biāo)暗示著內(nèi)部威脅的存在。安全團(tuán)隊?wèi)?yīng)關(guān)注以下跡象:
• 異常數(shù)據(jù)訪問。員工訪問超出其正常角色或職責(zé)的文件、文件夾或系統(tǒng)是一種常見的內(nèi)部威脅跡象。例如,一位市場部門的員工開始下載敏感的人力資源或財務(wù)數(shù)據(jù)時,應(yīng)當(dāng)引起警覺。
• 過度下載。員工突然開始下載或復(fù)制大量數(shù)據(jù),尤其在短時間內(nèi)完成,可能是在為信息外泄做準(zhǔn)備,甚至可能準(zhǔn)備離開公司。如果這些數(shù)據(jù)與其當(dāng)前工作職責(zé)無關(guān),情況尤為令人擔(dān)憂。
• 行為變化。員工行為的突然變化,如對工作或公司感到不滿、無故加班或表現(xiàn)出缺乏參與度,可能暗示潛在的內(nèi)部風(fēng)險。惡意的內(nèi)部人員在采取行動前通常會表現(xiàn)出明顯的行為變化。
• 使用未經(jīng)授權(quán)的設(shè)備或軟件。密切監(jiān)控員工使用未經(jīng)授權(quán)的設(shè)備(如USB驅(qū)動器)或未批準(zhǔn)的軟件進(jìn)行數(shù)據(jù)傳輸?shù)那闆r,這種活動可能暗示其意圖將敏感數(shù)據(jù)移出網(wǎng)絡(luò)以避免被發(fā)現(xiàn)。
• 重復(fù)的訪問失敗嘗試。尤其是對員工不應(yīng)訪問的系統(tǒng)或數(shù)據(jù)的多次登錄失敗嘗試,可能表明內(nèi)部人員試圖未經(jīng)授權(quán)訪問敏感區(qū)域。
上述癥狀通??梢酝ㄟ^現(xiàn)有工具輕松追蹤,這是安全團(tuán)隊?wèi)?yīng)當(dāng)創(chuàng)建和協(xié)調(diào)的任務(wù),以確保采取的行動符合公司的風(fēng)險管理指導(dǎo)方針。
最易受內(nèi)部威脅影響的企業(yè)
鑒于業(yè)務(wù)性質(zhì)或運營環(huán)境的不同,某些企業(yè)比其他企業(yè)更容易受到內(nèi)部威脅的影響。處理大量敏感數(shù)據(jù)的行業(yè),如醫(yī)療、金融和科技行業(yè),是內(nèi)部威脅的主要目標(biāo)。同樣,正在經(jīng)歷重大變動的企業(yè),如并購、裁員或領(lǐng)導(dǎo)層更替,也面臨較高的風(fēng)險。對工作安全感到不確定的員工可能更傾向于泄露數(shù)據(jù)或破壞系統(tǒng)。以上這些特征有助于聚焦對內(nèi)部威脅指標(biāo)的監(jiān)控。
遠(yuǎn)程辦公環(huán)境可能進(jìn)一步加劇內(nèi)部風(fēng)險。自新冠疫情大流行以來,遠(yuǎn)程辦公激增。雖然許多雇主試圖讓員工返回辦公室,但一些員工則希望保持“新常態(tài)”的工作環(huán)境。在傳統(tǒng)安全邊界之外工作,給企業(yè)有效監(jiān)控活動和執(zhí)行訪問控制政策帶來了更多挑戰(zhàn)。
內(nèi)部威脅狩獵的最佳實踐
以下技術(shù)和方法是成功進(jìn)行內(nèi)部威脅狩獵的關(guān)鍵:
• 定期和持續(xù)監(jiān)控。威脅狩獵不應(yīng)是一項一次性任務(wù),而應(yīng)是一個持續(xù)的過程。定期監(jiān)控員工活動,特別是那些有權(quán)訪問關(guān)鍵系統(tǒng)的用戶,有助于建立正常行為的基準(zhǔn),并及早發(fā)現(xiàn)異常情況。
• 自動化和機(jī)器學(xué)習(xí)。自動化工具可以顯著提高內(nèi)部威脅狩獵的效率。機(jī)器學(xué)習(xí)算法能夠分析大量數(shù)據(jù),檢測出可能被忽視的可疑行為模式。將常規(guī)任務(wù)(如掃描異常文件訪問或異常網(wǎng)絡(luò)流量)自動化,使安全團(tuán)隊可以集中精力進(jìn)行更高層次的分析。
• 用戶行為分析(UBA)。實施UBA工具有助于通過識別用戶行為中的異常模式來檢測內(nèi)部威脅,這些工具根據(jù)正常用戶活動創(chuàng)建檔案,當(dāng)行為偏離基準(zhǔn)時會提醒分析人員。
• 事件響應(yīng)規(guī)劃。擁有明確的事件響應(yīng)計劃至關(guān)重要。當(dāng)檢測到潛在的內(nèi)部威脅時,安全團(tuán)隊必須迅速果斷地響應(yīng),以減輕任何損害。盡管大多數(shù)公司每年更新一次事件響應(yīng)計劃,但更安全的做法是至少每季度進(jìn)行審查,其最終目標(biāo)是根據(jù)不斷變化的威脅環(huán)境進(jìn)行持續(xù)的分析和更新。
• 跨團(tuán)隊協(xié)作。內(nèi)部威脅檢測不僅是安全運營中心的責(zé)任。HR、法律和IT團(tuán)隊都應(yīng)參與到檢測和緩解內(nèi)部威脅的工作中。與這些部門的協(xié)調(diào)合作能夠確保在全企業(yè)范圍內(nèi)識別預(yù)警信號的全面方法。公司越頻繁地進(jìn)行事件響應(yīng)和災(zāi)難恢復(fù)計劃的演練,就越有可能有效地協(xié)同工作,更快地識別出運營異常。
內(nèi)部威脅狩獵和檢測工具
以下工具可以幫助進(jìn)行內(nèi)部威脅的狩獵和檢測:
• SIEM。SIEM平臺收集和分析來自各種來源的安全數(shù)據(jù),以提供潛在內(nèi)部威脅的洞察。
• 端點檢測與響應(yīng)(EDR)和擴(kuò)展檢測與響應(yīng)(XDR)。EDR產(chǎn)品監(jiān)控端點中的可疑活動,例如未經(jīng)授權(quán)的文件訪問或異常的網(wǎng)絡(luò)連接,這些都可能指向內(nèi)部威脅。XDR產(chǎn)品則更為全面,越來越受到企業(yè)的關(guān)注。
• 數(shù)據(jù)泄露防護(hù)(DLP)。DLP工具監(jiān)控、檢測并防止敏感數(shù)據(jù)的未經(jīng)授權(quán)轉(zhuǎn)移,從而降低內(nèi)部數(shù)據(jù)外泄的風(fēng)險。
主動的內(nèi)部威脅狩獵是現(xiàn)代網(wǎng)絡(luò)安全戰(zhàn)略的重要組成部分。通過理解關(guān)鍵的威脅指標(biāo)、實施最佳實踐并利用先進(jìn)工具,企業(yè)可以幫助自身防范內(nèi)部威脅所帶來的潛在毀滅性后果。
企業(yè)網(wǎng)D1net(r5u5c.cn):
國內(nèi)主流的to B IT門戶,旗下運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。旗下運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。