企业内部威胁的应对方法与防护计划构建指南

内部威胁防护计划是一种检测组织内部安全威胁早期指标的有效方法,通过集中管理下多种安全能力协同,旨在提前检测和防止违规敏感信息泄露的发生。

640-9
出处:安全牛

内部威胁早已不是什么新鲜概念,很多重大网络安全事件都是由内部因素所引发。但直到目前,企业对内部威胁问题仍然没有足够的重视,并且缺乏有效的应对措施。事实上,大多数安全团队面对内部威胁都只会事后补救。

据Ponemon最新发布的2022年《全球内部威胁成本报告》显示,内部威胁引发的企业安全风险在不断加大。全球60%的公司在2021年遭遇到20起以上的内部攻击,相比2018年快速增长53%。内部威胁有很多种,从心怀不满的员工、勒索事件受害者和安全意识薄弱的用户,到那些对公司网络上敏感数据和系统拥有高级访问权限的用户,包括系统管理员、网络工程师甚至CISO等,都可能对企业造成威胁和损害。

企业常见内部威胁的类型与应对方法

企业该如何对内部威胁进行有效监管,防止来自内部的损害呢?以下是目前常见的内部威胁种类以及应对威胁的最佳实践方法:

1. 安全意识薄弱的员工

安全意识薄弱的员工有时被称为安全规避者,他们有意或无意违反规则,并无视公司的安全措施。他们往往使用影子IT、不安全地共享文件、不安全地使用无线网络、将信息发布到讨论板和博客、打补丁不当、忽视安全策略、通过电子邮件和即时通讯(IM)泄露公司数据等,给企业带来潜在威胁。

应对方法:企业应开展网络安全意识培训,并精心打造企业安全文化,通过监控影子IT、实施安全文件共享最佳实践和权限、使用基于客户端或服务器的内容过滤、坚持使用补丁最佳实践、要求通过VPN或零信任框架实现安全的网络连接、使用Wi-Fi保护访问3(Wi-Fi Protected Access 3)以及禁用不需要的蓝牙等安全措施,来管理员工的网络行为。

2. 窃取合法用户登录信息的攻击者

窃取合法用户登录信息的攻击者是导致数据泄露的主要原因之一。合法用户的登录信息常常通过以下途径泄露出去:网络钓鱼和社会工程学伎俩、蛮力攻击、登录信息泄露、击键记录程序、中间人攻击、字典攻击、撞库以及密码喷洒攻击。这些被泄露的合法用户登录信息有可能导致恶意软件感染、数据泄露和勒索软件攻击等。

应对方法:企业可以使用适当的电子邮件安全控制、电子邮件安全网关和电子邮件过滤来缓解这一状况。应该要求用户使用强密码/密码短语,并确保公司密码策略已明确了这些要求;要求用户使用多因子或双因子身份验证,采用特权访问管理和最小特权原则(principle of least privilege ,简称“POLP”),并定期审查访问以验证用户的访问权限。此外,企业还应向员工介绍网络钓鱼诈骗的警示信号等,以提高其防范意识。

3. 心怀不满的员工

心怀不满的员工是可能是现任员工,也可能是前任员工。这些内部人员不怀好意,往往出于报复、破坏、获取个人经济利益或纯粹为了好玩而攻击雇主。那些拥有特权访问权限的现任员工和离开公司或被解雇后仍拥有访问权限的前任员工,还有可能会窃取知识产权、专有数据、商业机密和源代码等资产。

应对方法:在管理方面,企业可以通过员工面谈、签到和调查来加强透明度、沟通和协作;在IT方面,企业应定期举办网络安全培训,并密切关注用户行为,及时发现异常活动和行为变化。

4. 离职员工

离职的员工是企业面临的最大内部威胁之一,主要是由于他们可能会将重要的公司信息泄露给竞争对手。这些员工可能是恶意的,比如窃取公司拥有的信息(如电子邮件地址和联系名单),也可能是无意的,比如离职时将其所从事项目的成果归己所有。

应对方法:企业应确保让离职员工知道他们不能带走公司财产,密切关注下载过多数据的员工,并执行离职流程,以便在员工离职后终止其访问权限。

5. 恶意的内部威胁分子

恶意的内部威胁分子又叫内奸或共谋者,他们使用其登录信息,为外部威胁分子窃取信息或实施攻击。这些内部威胁可能涉及贿赂或勒索。

应对方法:企业应使用最小特权原则来限制员工可以访问哪些应用程序、网络和数据。此外,还可以使用监控机制、零信任网络访问和行为分析等来检测异常活动。

6. 第三方威胁

有权访问企业系统的第三方(如承包商、兼职员工、供应商、服务提供商和客户)对敏感数据构成了重大风险。第三方攻击又称为供应链攻击或价值链攻击,它使敏感信息和公司声誉岌岌可危。

应对方法:企业应确保第三方值得信赖,需查看第三方背景,确保对方可靠后才允许其访问;应落实完备的第三方风险管理计划;通过最小特权原则限制第三方访问;定期审核第三方账户,以确保工作完成后系统权限被终止;使用监控工具检测第三方威胁。

高效内部威胁防护计划构建指南

根据美国国家标准与技术研究院(NIST)的定义,内部威胁防护计划是一种检测组织内部安全威胁早期指标的有效方法,通过集中管理下多种安全能力协同,旨在提前检测和防止违规敏感信息泄露的发生。内部威胁防护计划也经常被称为内部威胁管理框架,主要包括异常行为监控、威胁事件检测、安全事件响应以及内部威胁防护意识培养等措施。

对于现代企业组织而言,创建并应用一个高效的内部威胁防护计划具有以下诸多好处:

  • 减少内部攻击的损失。内部威胁防护计划可以最大限度地提高组织快速检测和阻止安全攻击的成功率,减少内部人员可能造成的威胁和损害。
  • 标准、法律和法规遵从性。随着网络安全成为国家安全的重要组成部分,各国监管机构都已制定较完善的法律和行业性IT标准、法规,明确要求企业组织加强内部威胁管理,防止相关事件发生;
  • 提前发现内部威胁。检测内部威胁比检测外部攻击更具挑战性,内部威胁防护计划有助于组织在威胁隐患演变为真正攻击并造成实际伤害之前发现威胁;
  • 快速有效地应对内部攻击。内部威胁防护计划应该准确描述缓解内部威胁的具体流程、工具和人员。通过这些制度和知识,所有员工都可以更有效地处理各种可能发生的网络安全事件。

为了帮助企业组织更好地制定和应用内部威胁防护计划,安全研究人员梳理总结了在构建内部威胁防护计划时的重点任务清单:

1. 制定计划前的准备

是否充分做好准备工作,在内部威胁防护计划能否获得成功的关键,它可以为组织节省大量的时间和精力。在进行计划准备时,组织需要全面收集并梳理当前的网络安全措施、需求和涉及人员等信息,并明确定义希望通过该计划实现的任务目标。

以下是组织在计划准备时应该做的主要工作:

  • 评估组织当前的网络安全措施;
  • 研究组织需要遵守的法律、法规要求;
  • 定义内部威胁计划的预期目标;
  • 列出所有和防护计划有关系的利益相关者。

2. 开展内部风险评估

在制定内部威胁防护计划时,组织首先需要定义出哪些是需要重点保护的敏感资产。这些资产可以是物理方式存在的,也可以是虚拟形式的,比如客户信息、员工数据、技术秘密、知识产权等。开展内部威胁风险评估是检测此类资产及其可能面临的威胁的最有效方法之一。它可以帮助组织形成网络安全态势的全景地图。在开展内部风险评估时,通常会包括以下步骤:

  1. 明确潜在的内部威胁来源;
  2. 发现网络系统中已经存在的安全隐患和漏洞;
  3. 创建有关高危风险和高价值资产的列表;
  4. 确定风险,并评估内部威胁的可能性和优先级 ;
  5. 将结果传达给所有利益相关者,并帮助员工提高风险意识。

3. 评估创建计划所需的资源

要制定一个高效的内部威胁防护计划会面临很多挑战,因此在开始之前,要充分认识到实施这种类型的计划不能仅靠网络安全部门,还需要多种公司资源的支撑保障:

  • 管理资源:需要获得组织各部门的认同与支持,并通过管理手段让其配合、参与制定内部威胁防护计划;
  • 技术资源:计划要靠先进的工具来保障落地,因此需要部署专用的内部威胁管理软件,同时重新调整现有的网络安全解决方案和基础设施;
  • 财务资源:组织需要为购买网络安全软件和雇佣专职专家预留充分的资金预算。

通过准备一份必要的资源清单,这样有助于更好地向公司管理层汇报这个计划,并且得到其认可。

4. 获得高级管理层的支持

在完成以上计划准备和制定工作后,就应该通过目前所收集到的各种信息,来获得公司管理层对实施计划的支持。计划关键利益相关者的名单通常包括首席执行官(CEO)、首席财务官(CFO)、首席信息安全官(CISO)和首席人力资源官(CHRO)。

为了获得他们的认可和支持,计划制定者应该准备一个清晰的案例,清楚地表明实施内部威胁防护计划的必要性和价值,让其充分了解内部威胁防护计划如何有效帮助公司各部门实现他们的发展目标。

5. 创建内部威胁响应团队

内部威胁响应团队主要由负责内部威胁管理各个阶段的员工组成。与通常的看法相反,这个团队不应该只由IT或安全专家组成。它应该是跨职能的,并拥有迅速果断行动的权力和工具。

在创建内部威胁响应团队时,需要明确以下工作任务:

  • 内部威胁响应小组的任务;
  • 团队的领导者和团队内部的管理汇报制度;
  • 每个团队成员的职责范围;
  • 团队用于对抗内部威胁的策略、流程和工具。

6. 确定内部威胁检测措施

内部威胁的早期检测是最重要的保护手段,因为它可以实现快速响应并降低补救成本。为了有效地检测内部威胁,组织需要:

  • 监视每个用户的活动并收集其系统操作的详细日志,安全监控有助于安全人员实时审查可疑会话、调查事件,并评估整体网络安全态势;
  • 管控用户对敏感资源的访问。这样可以帮助组织防止未经授权的访问并检测可疑的访问尝试;
  • 分析用户行为,发现威胁的早期迹象。用户和实体行为分析(UEBA)是一款有效的工具,通常使用人工智能算法来分析正常的用户活动,为每个用户创建行为基线,并在发现异常行为时通知内部威胁响应团队。

7. 优化事件响应策略

为了对检测到的内部威胁快速采取行动,应急响应团队必须找出常见的内部威胁攻击场景。关于内部威胁响应计划,最重要的是它应该是现实的,并且易于执行。不要试图用一个单独的计划来涵盖所有可能的情况,而是应该制定几个具体的计划,涵盖最可能发生的事件。一个内部威胁事件的响应过程应该包括:

  • 威胁事件分析和描述;
  • 技术性和非技术性的威胁指标分析;
  • 威胁行为者分析;
  • 事件缓解策略和流程;
  • 事件分析文档和说明。

8. 事故调查和补救措施

为了有效地管理内部威胁,计划中需要明确规定好调查内部安全威胁事件的程序以及可能的补救活动。事故调查通常包括以下行动:

  • 全面收集和事件相关的各种数据,比如审阅由UAM记录的用户会话,以及采访证人等;
  • 评估事故造成的伤害;
  • 为相关的溯源和取证活动充分收集相关证据;
  • 在必要的时候,尽快向上级官员和监管机构报告事件,并获得更多帮助。

9. 员工安全意识培养

要让内部威胁防护计划真正落地,必须确保组织的所有员工都能充分了解该计划的关键规则,并提高其整体网络安全意识。尽管安全意识培训课程的内容取决于不同组织中使用的安全风险、工具和方法,但是在任何培训期间都应该确保:

  • 清楚解释实施内部威胁计划的原因,并涵盖最近的内部攻击案例及其后果;
  • 分享常见的员工内部威胁活动,提请大家注意可能的疏忽和恶意行为,并了解社会工程攻击的示例;
  • 要让员工知道,如果他们发现内部威胁线索或遇到内部威胁损害时,应该首先联系谁?

需要强调的是,企业要充分了解内部威胁意识培训的有效性。为此,组织可以采访员工、准备测试或模拟内部攻击,以了解员工在培训中学到了什么,以及在未来的培训课程中应该注意和改进什么。

10. 定期检查并更新计划

创建一个高效的内部威胁防护计划并不是一劳永逸的活动。内部威胁是在不断变化,其复杂性和危害性也会不断增加,因此,内部威胁防护计划也应该不断优化以保持效率。确保至少在下述情况下检查您的计划:

  • 当发生内部威胁事件时;
  • 出现新的合规性要求或网络安全技术;
  • 内部威胁响应团队发生变动;
  • 计划中明确要求的时间点。

参考链接:

https://www.ekransystem.com/en/blog/insider-threat-program/
https://www.techtarget.com/searchsecurity/tip/Five-common-insider-threats-and-how-to-mitigate-them