內部威脅保護(ITP)的黃金標準
內部人員威脅的普遍性和后果嚴重性令很多公司企業開始設立自己的內部威脅項目(ITP)。但安全人員往往對ITP的理想構成不甚清楚,或者存在誤解。不過,多年ITP管理經驗可以告訴我們,真正有效的“黃金標準”ITP是具備一些共性特征的。
一、信息安全項目的黃金標準
每個黃金標準ITP背后都是一套黃金標準信息安全項目。事實上,信息安全就是ITP的基石。正如蓋房子不會先砌墻再打地基,要開始設立ITP也得先建好恰當的信息安全項目。也正如地基不牢的房子扛不住地震,沒有良好信息安全項目支撐的ITP也擋不住內部人威脅。
換句話說,有效ITP需要有效信息安全項目。其主要原因有二:
- 首先,ITP的目標是遏阻、檢測和響應內部人威脅,而阻止內部人威脅很大程度上是信息安全項目的責任。如果公司的信息安全項目無法撐起阻止威脅所需的安全標準及控制措施,比如身份與訪問管理(IAM)過程、網絡使用及設備限制、強制安全意識培訓等等,那么公司就更易遭受本可防止的內部人威脅侵擾,從而增加ITP的負擔。
- 其次,很多案例中,公司的信息安全項目都需要在內部人威脅調查過程中支持其ITP。如果信息安全團隊缺乏所需功能、帶寬或資源,有可能會妨礙調查的進展和準確性。
二、涵蓋全面的框架
黃金標準ITP通常倚賴包含3個重要組件的運行框架。這3個組件就像三角凳的三條腿,不僅缺一不可,各自完好,還必須整體聯動,互相支持;否則,凳子就站不穩,或者說,ITP項目就會傾覆。
1. 程序性功能
可以說是ITP最重要的組件。除了指定ITP的目標、資源、優先級和路線圖,該功能還確保了ITP調查的所有方面都有清晰的記錄,保持一致,可重復,且遵從所有必要的法律和合規章程。
然而,雖然地位如此重要,程序性功能卻是ITP中最常被忽略掉的組件。尤其是急于盡快上馬ITP的公司企業,常會把該功能定位到低優先級上。這種思維雖然可以理解,卻是問題產生的根源。沒有足夠的程序性功能支撐,ITP就會缺乏邁向成功和有效所需的指引、優先級和過程。
2. ITP資源&工具
旨在識別可能指征現有或即將發生的內部人威脅的那些行為和事件。這一組件需要能訪問廣泛的數據集,擁有對整個公司范圍內所有員工行為和數據的可見性。常見示例有VPN、代理、電子郵件和證章數據集等等。
ITP還需要具備可綜合、辨別和提供這些數據集中相關發現的工具。舉個例子,用戶行為分析(UBA)工具,就可以利用數據科學技術來識別可能需要在ITP上下文中進一步調查的那些用戶行為,比如雇員是否導出了超過正常大小的數據,或者經常在正常工作時間段外訪問公司網絡等。ITP可使用這些工具的輸出結果來輔助發起并深入后續調查及響應工作。
盡管黃金標準ITP傾向于依靠大量數據集和高度復雜的工具,它們也意識到了這些資源僅僅是ITP的組件之一。一個常見的錯誤思維是,將這些資源,尤其是UBA工具,視作內部人威脅的萬用藥。雖然市場營銷是這么宣稱的沒錯,但實際上沒有哪款工具或資源能替代掉全面ITP的其他組件。
3. 調查功能
綜合并檢查ITP工具的輸出結果,以確定其指征潛在內部人威脅的程度。該功能特別重要,因為大多數情況下,各工具的輸出展現不了用戶行為全貌。比如說,當ITP工具揭示某用戶在與競爭對手進行電子郵件往來,這是否意味著即將發生內部人威脅?未必!該行為可以有許多種解釋,ITP的調查功能就是要深挖出事件和行為背后的根源。
黃金標準ITP調查是一個復雜的多層次的過程,需要不同協議,需要各種類型和深度的分析,需要觀察依賴這些行為的利益相關者并估計風險。當調查結果顯示內部人攻擊就在眼前,該功能便與程序性功能協作,很多情況下還會加入其他部門的利益相關者,來一起根據需要對威脅進行驗證和歸因溯源。
三、企業級整合
黃金標準ITP最突出的特征,就是橫跨整個企業范圍的整合與集成。盡管ITP往往作為獨立的功能存在,最有效的ITP卻是倚賴出自IT、法律、HR、合規、第三方風險和其他各種功能的數據集和資源的。很多黃金標準ITP都在各業務部門指定了代表,作為業務團隊和ITP之間的聯絡人。擁有來自公司決策層和利益相關者的支持與協作,不僅可以支撐ITP的發展與運營,還有助于提高對內部威脅的風險和后果的普遍認知。
對很多企業而言,對抗內部人威脅是個令人困惑和充滿挑戰的領域,需要采取一些步驟來更有效地預防、阻止、檢測和響應這些威脅。上面列出的內容不過是個起點,既不全面,也不是指定性的。黃金標準ITP是動態而復雜的,需要符合公司企業特定的需求。所以,想要設立自有ITP的公司企業最好是與可信第三方合作,獲取ITP設立過程中所需的專業知識和支持。目前一些大型安全企業如Symantec、ForcePoint、RSA等都在這個領域里積極的進行探索,而以天空衛士為代表的中國數據安全廠商也正通過將深度內容分析和用戶行為分析智能融合,在ITP這個領域開展技術創新。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
