內(nèi)部風(fēng)險(xiǎn)不僅僅與惡意行為者有關(guān)，在大多數(shù)情況下，它是由失誤引起的，有人將敏感文件發(fā)送到錯(cuò)誤的地址，或?qū)⑽臋n上傳到個(gè)人云以便在家工作，在許多情況下，這并非出于惡意，因?yàn)樵S多內(nèi)部事件是由疏忽而非惡意造成的。

盡管如此，惡意的內(nèi)部人員可能會(huì)造成毀滅性后果，有些人竊取知識(shí)產(chǎn)權(quán)，有些人則被外部團(tuán)體賄賂或施壓，要求他們植入勒索軟件、竊取商業(yè)機(jī)密或關(guān)閉運(yùn)營。

內(nèi)部風(fēng)險(xiǎn)的影響已波及整個(gè)企業(yè)，不再局限于網(wǎng)絡(luò)安全團(tuán)隊(duì)，據(jù)Code42稱，86%的人表示，內(nèi)部事件會(huì)影響公司文化。

僅檢測是不夠的

據(jù)Capterra的高級(jí)安全分析師Zach Capers稱，適當(dāng)限制數(shù)據(jù)的企業(yè)遭受內(nèi)部攻擊的可能性降低一半，企業(yè)應(yīng)遵循最小權(quán)限原則，確保員工只能訪問其工作所需的數(shù)據(jù)，應(yīng)密切監(jiān)控高權(quán)限用戶，并將管理權(quán)限的使用降至最低。

依賴工具是很誘人的，現(xiàn)代平臺(tái)可以標(biāo)記異常行為、跟蹤文件移動(dòng)并向安全團(tuán)隊(duì)發(fā)出警報(bào)，但檢測并不能解決更深層次的問題。

對內(nèi)部風(fēng)險(xiǎn)的純技術(shù)回應(yīng)可能會(huì)偏離目標(biāo)，我們需要理解人性的一面，這意味著要關(guān)注模式、動(dòng)機(jī)和文化，過度監(jiān)控而不考慮上下文可能會(huì)趕走優(yōu)秀員工，反而增加風(fēng)險(xiǎn)而非降低風(fēng)險(xiǎn)。

在工作場所監(jiān)控方面，清晰和開放至關(guān)重要。“透明始于有意的溝通，”MIND的首席技術(shù)官Itai Schwartz說，這意味著要向員工坦誠相告，不僅要告知他們正在進(jìn)行監(jiān)控，還要說明監(jiān)控的內(nèi)容、原因以及它如何有助于保護(hù)公司和員工。

Schwartz表示，當(dāng)企業(yè)明確將監(jiān)控與安全聯(lián)系起來而非監(jiān)視時(shí)，通常會(huì)獲得員工的支持。“員工應(yīng)該知道監(jiān)控是為了保護(hù)數(shù)據(jù)——而不是監(jiān)視個(gè)人，”他說。如果人們能看到這對他們和業(yè)務(wù)有何益處，他們就更有可能支持監(jiān)控。

具體性是關(guān)鍵，Schwartz建議明確概述哪些活動(dòng)、數(shù)據(jù)或系統(tǒng)正在被監(jiān)控，并解釋警報(bào)是如何觸發(fā)的。“文檔應(yīng)該易于查找、易于理解，并在入職和培訓(xùn)期間得到強(qiáng)化。”他說。

道德監(jiān)控也意味著劃定界限，Schwartz強(qiáng)調(diào)了比例原則的重要性：只收集相關(guān)和必要的信息。“讓員工了解他們的行為如何影響風(fēng)險(xiǎn)，并利用這些信息來指導(dǎo)而非懲罰他們，”他說。如果你的監(jiān)控方法無法舒適地與團(tuán)隊(duì)分享?“它很可能需要改進(jìn)。”

最終，Schwartz表示，目標(biāo)是“構(gòu)建既尊重用戶隱私又保護(hù)企業(yè)數(shù)據(jù)的系統(tǒng)”。

簡單政策，智能訪問控制

通常，員工并不知道他們正在制造風(fēng)險(xiǎn)，令人困惑的政策會(huì)使情況變得更糟，安全團(tuán)隊(duì)?wèi)?yīng)制定簡短且與特定職位相關(guān)的政策。

不要將期望埋藏在無人閱讀的PDF中，使用真實(shí)案例對人員進(jìn)行培訓(xùn)，并向他們展示在日常任務(wù)中如何表現(xiàn)安全。

最小權(quán)限仍然是最重要的控制措施，將員工訪問權(quán)限限制為他們所需的文件和系統(tǒng)，但不要設(shè)置后就忘記，當(dāng)人們換工作、承擔(dān)新項(xiàng)目或調(diào)換團(tuán)隊(duì)時(shí)，權(quán)限會(huì)發(fā)生變化。

定期審查訪問權(quán)限，身份治理工具提供自動(dòng)化工作流程來管理和審計(jì)訪問權(quán)限。

據(jù)Ivanti稱，僵化的安全協(xié)議(如復(fù)雜的身份驗(yàn)證過程和高度限制性的訪問控制)可能會(huì)讓員工感到沮喪，降低生產(chǎn)力并導(dǎo)致不安全的工作方式。

在制定有效的安全政策時(shí)，簡單性和可用性應(yīng)放在首位。“最好的安全政策是實(shí)用、具有上下文意識(shí)和人性化的，”MIND的CEO Eran Barak說。Barak主張采用能引導(dǎo)員工行為的政策，而不是依賴懲罰失誤的僵化規(guī)則。

這始于觀察，Barak建議不要憑空制定政策，而是要研究工作流程并圍繞這些模式制定規(guī)則。“首先要了解員工的工作方式，然后圍繞這些模式制定政策。”他說。模糊的指示幫助不大，因此最好包含具體細(xì)節(jié)——在Slack中分享什么是可以的，什么不能粘貼到AI聊天機(jī)器人中，以及何時(shí)應(yīng)標(biāo)記可疑內(nèi)容。

為了保持政策的相關(guān)性，Barak建議建立反饋循環(huán)。政策不應(yīng)隨著風(fēng)險(xiǎn)格局的變化而停滯不前。“它們應(yīng)該發(fā)展，而不是停滯不前，”他說。重要的是，它們不應(yīng)自上而下地頒布而沒有輸入。“與團(tuán)隊(duì)共同制定政策，”他說。“對安全決策有歸屬感的人更有可能采納它們。”

當(dāng)需要執(zhí)行時(shí)，不必嚴(yán)厲，Barak建議使用自動(dòng)化工具在實(shí)時(shí)中提供溫和的提醒——想想教育信息或要求用戶解釋其行為的提示，必要時(shí)再升級(jí)。“從溫和的減速帶和教育信息開始，在政策違規(guī)時(shí)近乎實(shí)時(shí)地提示，并允許用戶提供理由。”他說。

最重要的是，保持簡單。“如果一個(gè)政策不能用幾個(gè)要點(diǎn)或在Slack消息中解釋清楚，那么它就太復(fù)雜了。”Barak說。

行為比活動(dòng)更重要

即使在最安全的環(huán)境中，人類行為仍然是一個(gè)重大漏洞。因此，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者必須采取積極主動(dòng)、以人為本的方法來管理風(fēng)險(xiǎn)，Mimecast表示。

記錄每次點(diǎn)擊并無幫助，相反，要尋找變化的跡象，用戶是否開始在奇怪的時(shí)間登錄?他們在辭職前是否下載了大量數(shù)據(jù)?

行為分析工具可以揭示這些趨勢，但人們?nèi)匀粦?yīng)該是審查過程的一部分，算法可以標(biāo)記，但人類必須決定什么是危險(xiǎn)的。

據(jù)Protasec的首席安全官Josh Harr稱，獲得高層的支持并建立廣泛的意識(shí)至關(guān)重要。“我相信對風(fēng)險(xiǎn)本身的認(rèn)識(shí)和支持是首要任務(wù)，”Harr說。“我向高管們提供了不使用企業(yè)中數(shù)據(jù)可能帶來的成本，以確保我們不會(huì)面臨更高的內(nèi)部威脅風(fēng)險(xiǎn)。”

這種意識(shí)不應(yīng)僅停留在高層。“對整個(gè)企業(yè)而言，意識(shí)也很實(shí)際，”他補(bǔ)充道。Harr主張對所有層級(jí)進(jìn)行增量培訓(xùn)，特別是對董事和管理層，以幫助他們識(shí)別行為中的潛在紅旗。“對董事、經(jīng)理和其他人進(jìn)行增量培訓(xùn)，教他們?nèi)绾巫R(shí)別行為，這大有幫助。”

為了將這種意識(shí)付諸實(shí)踐，Harr已在企業(yè)中實(shí)施了內(nèi)部風(fēng)險(xiǎn)評分卡，這些工具在個(gè)人層面分析網(wǎng)絡(luò)釣魚模擬結(jié)果、終端活動(dòng)和惡意軟件風(fēng)險(xiǎn)評分等信號(hào)。“這些評分卡使企業(yè)能夠采用基于風(fēng)險(xiǎn)的方法進(jìn)行調(diào)查和威脅搜尋，”他解釋道。“通過為系統(tǒng)上的個(gè)人行為建立基準(zhǔn)，領(lǐng)導(dǎo)者可以全面了解風(fēng)險(xiǎn)所在，從而保持充分了解。”

在減少內(nèi)部風(fēng)險(xiǎn)方面，另一個(gè)未被充分利用的工具是許多行業(yè)已經(jīng)常見的做法：訪問認(rèn)證。“年度訪問審查有助于防止訪問范圍的擴(kuò)大，”Harr指出——但前提是與行為監(jiān)控和培訓(xùn)相結(jié)合。“只有執(zhí)行了上述措施。”他警告道。

鼓勵(lì)報(bào)告錯(cuò)誤

安全取決于文化，員工必須感到安全，才能報(bào)告錯(cuò)誤或可疑行為，如果他們害怕受到懲罰，就會(huì)保持沉默，風(fēng)險(xiǎn)也會(huì)增加。

“定期認(rèn)可和表揚(yáng)團(tuán)隊(duì)中的網(wǎng)絡(luò)安全行為，不僅能提升那些勤奮工作的人，還能激勵(lì)其他人參與進(jìn)來，這可能包括表彰遵循最佳實(shí)踐、識(shí)別潛在安全威脅或?yàn)楦倪M(jìn)安全做出貢獻(xiàn)的個(gè)人。”O(jiān)ptiv的網(wǎng)絡(luò)安全教育專家Emily Wienhold解釋道。

匿名報(bào)告工具、開放政策以及人力資源部門的支持都有助于此，提醒人們目標(biāo)是保護(hù)而非懲罰也是如此。

文化在預(yù)防內(nèi)部事件方面發(fā)揮著重要作用，同理心和培訓(xùn)與技術(shù)同樣重要。

“通過培訓(xùn)和清晰溝通，在整個(gè)企業(yè)中樹立安全第一的心態(tài)，確保風(fēng)險(xiǎn)管理適應(yīng)新威脅，支持創(chuàng)新和合規(guī)。”Veracode的首席安全倡導(dǎo)者Chris Wysopal說。

與人力資源和法律部門合作

CISO無法獨(dú)自完成這項(xiàng)工作，人力資源團(tuán)隊(duì)可以檢測員工的不投入并標(biāo)記出問題的早期跡象，法律部門則有助于應(yīng)對隱私和合規(guī)規(guī)則。

組建一個(gè)小型跨職能團(tuán)隊(duì)來管理內(nèi)部風(fēng)險(xiǎn)，該團(tuán)隊(duì)?wèi)?yīng)審查監(jiān)控決策、指導(dǎo)調(diào)查并保護(hù)員工權(quán)利。

“真正的疏忽或故意行為應(yīng)得到妥善處理，但分配責(zé)任和實(shí)施懲罰必須是在客觀、合理的調(diào)查之后的最后一步，它絕不應(yīng)是默認(rèn)反應(yīng)。”Praxis Security Labs的CEO Kai Roer指出。