如何处理分布式网络中的内部威胁
来源:用户上传
作者:
黑客、网络犯罪分子、恶意软件感染和其他外部威胁占据了头条新闻。作为安全漏洞的一部分,数百万条数据记录的丢失现在似乎很常见。随着我们向综合数字经济迈进,大规模或协调网络攻击的影响可能会产生破坏性后果。
但实际情况是绝大多数网络攻击仍未被发现,2018年的网络攻击造成6 000亿美元损失,其中有针对性的攻击导致了大部分的损失。更不为人所知的是,将近一半的数据泄露和系统妥协来自组织内部而非外部来源,其中近一半是故意的,其余是偶然的。
从安全角度来看,防范内部人员攻击与防御外部网络攻击完全不同。获取易受攻击的设备和系统的访问权限或升级网络权限通常也更容易从内部执行。许多安全系统根本不关注用户正在做什么,特别是在围绕隐式信任建立的环境中,大多数安全资源专注于外围控制的环境中。
通过识别危害资源的内部操作,以及识别可能执行此类操作的人员,企业可预防内部威胁。内部威胁产生于两种类型的内部人员:
1.恶意行动者
由于多种原因,这些人愿意将企业置于风险之中。这些可以包括个人利益,报复被认为是不公正的愿望,例如被忽视晋升或者管理不善;政治动机或由民族国家或竞争对手资助的工业间谍活动。
内部人员攻击可能导致有价值的数据和知识产权被盗,向公众或竞争对手暴露可能令人尴尬或专有的数据,以及劫持或破坏数据库和服务器。客户和员工信息(包括个人身份信息(PII)和个人健康信息(PHI))是最受欢迎的目标,因为它们在黑暗网络上具有最高的转售价值。知识产权(IP)和支付卡信息是下一个最常被窃取的数据类型。
对于更传统的外部攻击,由于快速数据泄漏到不寻常的目的地而导致的异常数据流可能难以伪装。活动可能与企业安全策略冲突,在奇怪的时间发生、源自奇怪的访问点、显示移动到不寻常的网络地址或包含意外的大量数据。这其中的任何一个都应该触发可以关闭主动违规的安全响应。
但由于内部人员已经拥有持续且可信的访问权限,攻击和数据泄露可能会随着时间的推移而发生,使攻击者有更多时间来规划他的策略,掩盖踪迹、伪装数据,因此安全工具很难或不可能识别并保留数据低于检测阈值的运动。许多用户还可以通过在核心环境和多云环境之间移动数据来超越检测,从而利用跨生态系统不一致的安全实施。
2.疏忽
组织为某些用户提供比他们技能管理更多的权限并不罕见。例如,有数据库提供升级权限的高管可以更改字段长度,由此可能会导致关键应用程序出现故障。这些用户如果不知道处理敏感应用程序或信息的基本预防措施,就容易出错,他们只是粗心大意,大多数情况下他们并不打算造成伤害。
数据丢失或暴露不一定是不正当授予特权的结果。丢失移动设备、笔记本电脑、USB驱动器或是丢弃的硬件(包括无法擦除的光盘和硬盘驱动器),甚至在社交网络上聊天時泄露商业信息,都可能导致错误,这些错误可能与其他人的故意攻击一样昂贵。
解决内部风险
组织需要完全了解其数据流,他们需要知道谁在访问哪些数据、何时何地,包括在核心、多云或SD-WAN环境中。安全团队还需要识别和分类风险用户,包括有访问敏感信息和权限的管理人员、超级用户以及维护和监控可以访问关键数据、资源和应用程序的每个人的列表。
通过实施控制措施帮助安全人员更早发现攻击,可以开始创建有效的内部威胁计划。例如:仔细观察特权升级等事情和应用程序,探测器和流量超出其正常参数;应用程序和工作流程的异常流量模式,特别是在不同的网络域之间。
行为分析需要通过分布式网络,智能地标记异常事件并立即向安全人员报告。转向零信任模型并实施严格的内部分段可以防止许多攻击所需的网络横向移动。制定协议,以便立即看到优先级警报,而不会使安全团队陷入大量低级别信息。
需要注意的事项包括:
1.未经授权使用IT资源和应用程序
员工使用个人云获取公司信息;
盗贼使用影子IT;
访问,共享或分发PII;
安装未经批准和未经许可的软件;
未经授权使用的受限应用程序,包括网络嗅探和远程桌面工具。
2.未经授权的数据传输
使用可移动媒体存储或移动数据;
未经授权将业务关键型数据复制到云或Web服务;
传输与异常目的地之间的文件传输;
使用即时消息或社交媒体应用程序移动文件。
3.滥用和恶意行为
滥用文件系统管理员权限;
禁用或覆盖端点安全产品;
使用密码窃取工具;
访问黑暗网站。
预防是关键的第一步
通过创造鼓励良好员工行为的工作条件,还可以进一步预防问题。
例如,当工资水平、职业前景或工作的其他方面低于满意度时,员工可能会寻求离开组织并随身携带机密信息。因此,衡量和响应员工满意度是防范内部人员安全风险的关键部分。人力资源和IT之间协调的定期信息安全意识计划有助于减少粗心行为。
内部威胁的风险通常比我们想象的要大,特别是随着网络变得越来越大和越来越复杂。粗心大意和恶意企图是两个主要原因,但两者都是可以减轻的。提高认知度和谨慎信息处理的解决方案包括培训和提高意识,以及从核心到云的分布式网络的特权用户和关键数据的监控。这需要与动态网络分段和安全工具集成到单一结构中,包括高级行为分析。
这些技术解决方案只是答案的一半,创建和维护有吸引力的工作条件对于防止恶意行为还有很长的路要走。请记住,薪水只是一个因素,并不总是关键因素,拥有感、团队合作以及创造员工执行重要任务的感觉与可能拥有的任何内部安全解决方案一样重要。
转载注明来源:https://www.xzbu.com/1/view-14766749.htm
