如何緩解網(wǎng)絡上的內部威脅
今天我們來關注一下來自網(wǎng)絡外部的數(shù)字威脅,它具有一個主要風險:來自網(wǎng)絡本身的威脅。
“內部威脅”是什么樣子?它們是什么類型,它們的增長方式以及組織如何防御它們。我們還將查看一些最近的示例,以幫助我們更好地了解內部威脅如何發(fā)揮作用。
什么是內部威脅?
用最簡單的術語來說,內部威脅是來自組織內部的安全風險。此威脅可能來自事件發(fā)生時的員工,管理人員或與組織直接相關的其他人員。它也可以來自顧問,前雇員,業(yè)務合作伙伴或董事會成員,他們可能具有訪問重要數(shù)據(jù)的必要功能和特權。
當然,重要的是要記住,并非所有內部威脅都是相同的。其中一些行為者會懷有惡意意圖,而其他行為者會意外地損害組織的數(shù)字安全性。這些不同的動機解釋了為什么內部威脅會以不同的類型出現(xiàn)。
安全情報確定了五個主要種類:
- 盡管接受了安全意識培訓,但無響應者仍繼續(xù)成為網(wǎng)絡釣魚測試的犧牲品,并且表現(xiàn)行為舉止疏忽。
- 疏忽大意的內部人員的行為與安全意識銘記在心,但他們會犯孤立的錯誤,并會定期錯誤判斷與數(shù)字安全問題有關的情況;
- 內部人串通不是很常見;在這種情況下,惡意內部人員會與外部攻擊者合作,以掠奪目標組織;
- 持續(xù)的惡意內部人員是犯罪的內部人員威脅,他們訪問敏感的業(yè)務資產(chǎn)并竊取數(shù)據(jù),目的是持續(xù)地從財務中獲利;
- 心懷不滿的員工比頑固的惡意內部人員更具局限性。他們故意在短期內進行破壞活動或知識產(chǎn)權盜竊。
最近四起涉及內部威脅的事件
內部威脅通常是一些小事件,員工竊取其當前公司的數(shù)據(jù),接受競爭對手公司的職位,然后出售這些信息以幫助新雇主獲得競爭優(yōu)勢。但是,有些在本質上要大得多,并且會引起媒體的關注。以下是最近成為頭條新聞的四種內部威脅攻擊:
- 菲利普斯研究中心(Phillips Research Center):2019年2月,ClearanceJobs報告說,某位人士是如何濫用其在俄克拉荷馬州巴特爾斯維爾的菲利普斯66研究中心的材料科學家身份竊取數(shù)百個文件的。這些文件中的一些文件涉及到一箱價值10億美元的技術產(chǎn)品,在研究中心工作時就使用了該產(chǎn)品。
- Capital One:《紐約時報》于2019年7月報道稱,一名軟件工程師違反了Capital One擁有并由Amazon Web Services(AWS)托管的服務器。33歲的Paige Thompson來自華盛頓州西雅圖,利用她在AWS的工作滲透到服務器并竊取了銀行超過1億客戶的個人信息。
- 通用電氣:在2019年10月的一份報告中,CrowdStrike透露中國政府針對西方航空航天制造商開展了一次數(shù)字間諜活動。該活動涉及與通用電氣內部人員以及其他公司內部人員的勾結,以幫助中國政府獲得必要的知識,以幫助其建造C919商業(yè)客機。
- Twitter:2019年11月上旬,美國司法部針對35歲的Ali Alzabarah和41歲的Ahmad Abouammo提出了起訴書。該指控指責兩名Twitter前雇員不當訪問了數(shù)千個用戶帳戶。
為什么內部威脅會引起關注?
內部威脅應該在我們的腦海中起著重重作用,原因有幾個。首先,這些類型的攻擊正在上升。Verizon的《 2019年數(shù)據(jù)泄露調查報告》發(fā)現(xiàn),自2015年以來,內部威脅每年都在增加,并且內部人員以某種形式參與了最新研究分析的所有違規(guī)事件的三分之一。為支持這些發(fā)現(xiàn),對Bitglass的《 2019年內部威脅報告》做出回應的IT專業(yè)人士中有73%表示,過去一年內部攻擊越來越頻繁。59%的受訪者告訴Bitglass,他們的組織在過去一年中遭受了至少一次內部人員攻擊。
第二,內部威脅很難發(fā)現(xiàn)。回到Bitglass報告中,只有12%的IT專業(yè)人員表示,他們的雇主已成功檢測到來自個人移動設備的內部威脅。這一發(fā)現(xiàn)與50%的調查受訪者保證其組織能夠在一天之內檢測到/從內部威脅中恢復的形成鮮明對比。相反,Ponemon的2018年數(shù)據(jù)泄露成本研究發(fā)現(xiàn),識別內部漏洞平均需要197天,而遏制內部漏洞需要69天。
考慮到它們被忽視的時間長短,這些攻擊往往代價高昂就不足為奇了。Ponemon在2018年的內部威脅成本研究中發(fā)現(xiàn),公司的平均內部威脅成本約為20萬美元,這些威脅可能會使公司總共損失10萬美元。(在北美,換個數(shù)字甚至更高,約為20萬美元。)這些成本也在增加;埃森哲和Ponemon的2019年網(wǎng)絡犯罪成本研究發(fā)現(xiàn),從2018年到2019年,惡意內部攻擊的平均成本增加了15%。
組織如何防御內部威脅
正如SearchSecurity指出的那樣,我們可以使用以內部人員為中心的安全策略,安全意識培訓,多因素身份驗證和最低特權模型來加強對惡意內部人員的防御。但是這些控件只能做到這一步。最終,我們需要能夠監(jiān)視網(wǎng)絡中的可疑活動,例如濫用合法憑據(jù)來泄露敏感信息。
使用網(wǎng)絡流量分析和文件分析以及人工智能(AI)的功能來發(fā)現(xiàn)可能指示內部威脅的異常行為。發(fā)現(xiàn)可能不是惡意的確鑿證據(jù)的行為,但似乎是異常的行為,足以使您的安全團隊對事件進行更深入的了解。因此,這些解決方案使您可以防止內部人員竊取您的敏感數(shù)據(jù)(或從根本上限制內部人員可能造成的破壞),而又不會使安全專業(yè)人員陷入調查安全問題的麻煩。
