查看并处理分布式网络中的内部威胁

黑客，网络犯罪分子，恶意软件感染和其他外部威胁占据了头条新闻。并且有充分的理由。作为安全漏洞的一部分，数百万条数据记录的丢失现在似乎很常见。随着我们向综合数字经济迈进，大规模或协调网络攻击的影响可能会产生破坏性后果。

但实际情况是，绝大多数网络攻击仍未被发现。虽然我们没有看到或听说过它们，有针对性的攻击负责大部分的损失在去年的网络攻击造成6,000亿美元。更不为人所知的是，将近一半的数据泄露和系统妥协来自组织内部而非外部来源。其中近一半是故意的，其余是偶然的。从安全角度来看，防范内部人员攻击与防御外部网络攻击完全不同。获取对易受攻击的设备和系统的访问权限或升级网络权限通常也更容易从内部执行。许多安全系统根本不关注已知用户正在做什么，特别是在围绕隐式信任建立的环境中，或者大多数安全资源专注于外围控制的环境中。

识别潜在的内部威胁

通过识别危害资源的内部操作，以及识别可能执行此类操作的人员，企业可以领先于内部威胁。有两种类型的内部人员：

1. 恶意行动者

由于多种原因，这些人愿意将企业置于风险之中。这些可以包括个人利益，报复被认为是不公正的愿望，例如被忽视晋升或者经理不善，政治动机或由民族国家或竞争对手资助的工业间谍活动。

内部人员攻击可能导致有价值的数据和知识产权(IP)被盗，向公众或竞争对手暴露可能令人尴尬或专有的数据，以及劫持或破坏数据库和服务器。客户和员工信息(包括个人身份信息(PII)和个人健康信息(PHI))是最受欢迎的目标，因为它们在黑暗网络上具有最高的转售价值。知识产权(IP)和支付卡信息是下一个最常被窃取的数据类型。

对于更传统的外部攻击，由于快速数据泄漏到不寻常的目的地而导致的异常数据流可能难以伪装。活动可能与企业安全策略冲突，在奇怪的时间发生，源自奇怪的访问点，显示移动到不寻常的网络地址，或包含意外的大量数据。这些中的任何一个都应该触发可以关闭主动违规的安全响应。

但由于内部人员已经拥有持续且可信的访问权限，攻击和数据泄露可能会随着时间的推移而发生，使攻击者有更多时间来规划他的策略，掩盖他的踪迹，伪装数据，因此安全工具很难或不可能识别并保留数据低于检测阈值的运动。许多用户还可以通过在核心环境和多云环境之间移动数据来超越检测，从而利用跨生态系统的不一致的安全实施。

1. 疏忽

组织为某些用户提供比他们有技能管理更多的权限并不罕见。例如，坚持向数据库提供升级权限的高管可以做一些简单的事情，例如更改字段长度并导致关键应用程序出现故障。这些用户是否不知道处理敏感应用程序或信息的基本预防措施，容易出错，或者只是粗心大意，大多数情况下他们并不打算造成伤害。

但是，数据丢失或暴露不一定是不正当授予特权的结果。丢失移动设备，笔记本电脑或拇指驱动器，无法在丢弃的硬件上擦除光盘和硬盘驱动器，甚至在社交网络上聊天时泄露商业信息，都可能导致错误，这些错误可能与其他人的故意攻击一样昂贵。

解决您的内部风险

组织需要完全了解其数据流，他们需要知道谁在访问哪些数据，何时何地，包括在核心，多云或SD-WAN环境中。安全团队还需要特别识别和分类风险用户，包括可以访问敏感信息和权限的管理人员，管理员和超级用户，以及维护和监控可以访问关键数据，资源和应用程序的每个人的列表。

通过实施控制措施以帮助安全人员更早发现攻击，您可以开始创建有效的内部威胁计划。例如，你应该仔细观察特权升级等事情; 应用程序，探测器和流量超出其正常参数; 应用程序和工作流程的异常流量模式，特别是在不同的网络域之间。

行为分析需要通过分布式网络，以智能地标记异常事件并立即向安全人员报告。转向零信任模型并实施严格的内部分段可以防止许多攻击所需的网络横向移动。需要制定协议，以便立即看到优先级警报，而不会使安全团队陷入大量低级别信息。

需要注意的事项包括：

1. 未经授权使用IT资源和应用程序

员工使用个人云获取公司信息

盗贼使用影子IT

访问，共享或分发PII

安装未经批准和未经许可的软件

未经授权使用受限应用程序，包括网络嗅探和远程桌面工具

1. 未经授权的数据传输

使用可移动媒体存储或移动数据

未经授权将业务关键型数据复制到云或Web服务

传输与异常目的地之间的文件传输

使用即时消息或社交媒体应用程序移动文件

1. 滥用和恶意行为

滥用文件系统管理员权限

禁用或覆盖端点安全产品

使用密码窃取工具

访问黑暗网站

预防是关键的第一步

通过创造鼓励良好员工行为的工作条件，还可以进一步预防问题。

例如，当工资水平，职业前景或工作的其他方面低于某些可测量的满意度时，员工可能会寻求离开组织并随身携带机密信息。因此，衡量和响应员工满意度是防范内部人员安全风险的关键部分。人力资源和IT之间协调的定期信息安全意识计划有助于减少粗心行为。

结论

内部威胁的风险通常比我们想象的要大，特别是随着网络变得越来越大和越来越复杂。粗心大意和恶意企图是两个主要原因，但两者都可以减轻。提高认知度和谨慎信息处理的解决方案包括培训和意识，以及从核心到云的分布式网络的特权用户和关键数据的监控。这需要与动态网络分段和安全工具集成到单一结构中，包括高级行为分析。