本文讲的是检测内部威胁比想象中简单,内部威胁指的是公司内部员工,但入侵者却不再仅仅局限于身处公司大楼内部的人。甚至本地咖啡馆这种公共场所,都能连上公司网络。
由于企业系统的边界正在模糊,网络安全的难度加大,企业需要调整策略和规程。虽然很多技术都在改变,但限制依然留存,公司必须在阻止恶意攻击上继续保持积极主动。他们必须了解自己的威胁,并调整自己的技术以适应威胁。更重要的是,招募合适的团队,打造正确的技术。
对内部威胁的遏阻,应与期望缓解的风险类型相匹配,要基于环境因素制定计划,比如公司文化、公司状态(健康度、弱点、裁员情况等),还有公司看待/监测/合法管理承包商的方式。
公司应提供“按需知密”的访问控制,审计所有行为,且审计应由具备足够能力的人来实施,比如管理员。企业能做的最重要的一件事,是减小内部人对敏感数据拥有的权限。这是安全厂商之间的共识,别向员工开放整个网络,让访问成为特权而非权利。
最小化访问授权,最大化对授权异常模式的监测。
除了减小雇员权限级别,企业还应实行良好的监管,权限审查与验证的责任,应直接赋予该管理数据资源的生产线经理。
“企业应监测敏感或有价值数据的访问活动,查找可能揭示内部人不恰当访问该数据的异常行为,或者,更常见的:外部人盗取凭证后成功冒充特权用户的情况。就像所有良好安全一样,遏阻内部威胁需要多层次方法。好消息是,最基础的步骤往往提供最大的价值,做到系统且深入,可以为敏感数据保护带来巨大好处。”
此外,企业还应推行常规安全意识和信息监管培训。此类培训可确保员工领会事件响应规则,积极报告可疑活动。
意识培训
安全专家的另一个共识是,安全意识培训是员工辅助发现内部威胁的关键。
全体员工的安全意识教育和培训应普及且成为常态。这包括反复提醒哪些是或不是可接受的行为,风险是什么,以及怎样报告可疑的攻击或数据泄露。
建立内部风险团队,可在辅助识别和阻止内部威胁的安全软件工具评估上,充当领导角色,为敏感信息提供安全防护,尤其是与外部共享的信息,例如被发送给外部董事的董事会文档。
创建并维护风险登记簿,登记并量化需修复的风险,并采取后续缓解措施,十分关键。为演示进展,内部风险团队应建立关键业绩指标(KPI),然后审计并报告风险等级,展现每年的状态和改进。
风险管理团队还可以帮助确保公司“检举”策略和规程是简单易用且可行的,而且能在内部威胁被发现时快速确定。最重要的是,该团队应与公司领导层协作建立一种透明且负责的文化,确保策略被严格执行,任何报告了潜在威胁信息的人都会受到奖励,而不是被惩罚或放逐。
实现风险缓解和安全软件,对发现、遏阻和报告安全事件至关重要。但是,仅靠软件解决不了这个问题。建立起负责且透明的文化,并严格实施策略,可以有效防止潜在威胁演变为真正的危机。
传递“遏制内部威胁,人人有责”的概念是关键。虽然在技术解决方案上的投入也很重要,但没有任何一个技术解决方案能够替代警醒的终端用户。
让员工知道内部威胁计划,告诉他们计划的意图、恰当的数据处理是什么样的,确保他们理解自己在公司保护中的作用,可以帮助抑制疏漏行为,发现故意犯错的人。技术控制,例如用户或终端行为分析,便可随之提供必要的监视,通报IT安全团队异常行为的出现,并同时收集必要的鉴证证据。
弄清自身资产
如果自己都不知道自家网络里有些什么,要确定是否有人在访问不该访问的东西就特别难了。
企业应识别出自身关键资产及其拥有者,对数据进行分类。公司内部资产和云基础设施上的资产都要了解。想要识别出有组织犯罪团伙和个别恶棍的行为模式,必须依靠值得信赖的威胁情报予以强化。
想有效减小内部人风险,公司应搞清有哪些资产是一旦被侵入就会导致最严重破坏的,这些资产位于何处,谁负责管理和操作这些资产。公司还应限制对这些资产的访问,只有真正需要的雇员和承包商才可以访问,并实施持续的行为监测,让业务应用拥有者参与进警报是否误报的判定中来。
这种面向业务的警报评定可以大幅减少噪声和误报,凸显出最重要和紧急的警报。非恶意策略违反者应被列入不可接受行为通告,送去进行相关针对性安全意识培训,并在培训后跟踪观察,确保不再犯同样的错。
原文发布时间为:四月 18, 2017
本文作者:nana
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛
原文链接:http://www.aqniu.com/learn/24308.html
