別忽略了內(nèi)部人員威脅
對(duì)于無(wú)休無(wú)止的威脅,我們往往將過(guò)多的精力放在了外部威脅上,對(duì)內(nèi)部人員可能造成的威脅卻重視不足。
這可能是一種戰(zhàn)略性的錯(cuò)誤,因?yàn)閮?nèi)部人員的威脅正在上升,而且與高級(jí)的外部攻擊有許多相同之處。安全團(tuán)隊(duì)?wèi)?yīng)當(dāng)能夠以一種統(tǒng)一的方式同時(shí)解決外部人員和內(nèi)部人員威脅,從而在最大程度上減少企業(yè)的總體風(fēng)險(xiǎn)。
安全專家普遍感到,內(nèi)部人員威脅比外部威脅更難以檢測(cè)。
內(nèi)部人員擁有網(wǎng)絡(luò)和資源的特權(quán)訪問(wèn)。內(nèi)部人員不像外部的攻擊者,惡意的內(nèi)部人員不必找到漏洞、開(kāi)發(fā)漏洞利用和惡意軟件,或者創(chuàng)建隱蔽的通道來(lái)管理攻擊。
其實(shí),無(wú)論是惡意的內(nèi)部人員還是高級(jí)的外部攻擊者,都可以繞過(guò)防御控制。
外部的攻擊者可能針對(duì)的是零日漏洞,并使用可以感知沙箱的惡意軟件來(lái)滲透到網(wǎng)絡(luò),而惡意的內(nèi)部人員只需用合法的憑據(jù)就可以登錄。
不管攻擊者是否獲得了特權(quán),內(nèi)部和外部的威脅必須尋找并獲得有價(jià)值的數(shù)據(jù)。無(wú)論是因?yàn)楦腥緪阂廛浖虮撑眩@些活動(dòng)很容易被觀察并與正常行為區(qū)分開(kāi)。
因而,安全模型必須對(duì)威脅如何進(jìn)入網(wǎng)絡(luò)和進(jìn)入網(wǎng)絡(luò)后的動(dòng)作保持高度警惕。通過(guò)監(jiān)視網(wǎng)絡(luò)內(nèi)部主機(jī)的行為,安全團(tuán)隊(duì)可以快速地確定正在收集數(shù)據(jù)或在非正常時(shí)間訪問(wèn)資源的主機(jī)。
例如,主機(jī)是否正在訪問(wèn)平常并不到達(dá)的區(qū)域?有沒(méi)有跡象表明數(shù)據(jù)被遷移到其它位置?當(dāng)然,也許是有管理員在內(nèi)部傳輸數(shù)據(jù),或者將數(shù)據(jù)復(fù)制到一個(gè)外部位置(如Dropbox)。
最聰明的安全團(tuán)隊(duì)都知道,威脅事件往往與網(wǎng)絡(luò)中的關(guān)鍵資產(chǎn)緊密相連。除了要理解威脅,安全團(tuán)隊(duì)需要知道威脅對(duì)企業(yè)的影響。在檢測(cè)到威脅時(shí),受到損害的設(shè)備會(huì)給哪些資產(chǎn)帶來(lái)風(fēng)險(xiǎn)?可疑設(shè)備可以直接訪問(wèn)關(guān)鍵資產(chǎn)嗎?這是安全團(tuán)隊(duì)必須重視的問(wèn)題。
專注于網(wǎng)絡(luò)中的關(guān)鍵資產(chǎn)可以使安全團(tuán)隊(duì)更容易地看出,異常行為什么時(shí)候在其最關(guān)心的資產(chǎn)上發(fā)生。
這些方法可以有效地檢測(cè)內(nèi)部和外部威脅。更為重要的是,由于明確了內(nèi)部的關(guān)鍵資產(chǎn),安全團(tuán)隊(duì)就不僅可以追蹤威脅,還可以真正地減少威脅。
資產(chǎn)被竊或破壞會(huì)使企業(yè)遭受真正的破壞。幾乎所有的威脅都集中于企業(yè)最寶貴的內(nèi)部資產(chǎn),所以安全模式也應(yīng)這樣。
