有些人认为曼宁是卖国贼,还有一些人认为他是无辜的,视他为英雄。且不论曼宁在你眼里是个什么样的人,他的个案倒是反映出信息安全策略,程序和风险管理存在大量严重漏洞。
有了这个前车之鉴,CISO们应该学习利用“曼宁事件”教育员工如何在内部威胁和访问组织威胁中做好管理。有安全意识的组织应该询问以下几个问题:
1. 用户访问极度敏感的数据时,应该对用户采取什么类型的访问控制和监控?曼宁可以访问机密数据,似乎这种权利缺乏限制和监管。这种放任的自由便带来了灾难性的影响——维基泄密。CISO们应该确保自己的组织清楚了解谁有权访问最敏感的数据,并且要部署合适的控件来检测是否有异常活动出现,如突然出现大量文档的下载。要考虑存在威胁的验证,和触发警告,并通过受过训练的安全分析师做好监控。
2. 应该部署哪一类物理安全和数字权限策略呢?曼宁带着一张标有“Lady Gaga”的CD就进到了高度机密的地方。这个CD其实是一个空白盘,是他用来保存机密文档的。从物理安全的角度而言,CISO们必须要决定是否让用户带着CD,DVD,iPod等访问敏感数据。因为这些数据有可能就是便携式存储媒介。更进一步考虑,分析师能否保存这类极度机密的数据呢?当然不行。CISO们需要阻止别人用DRM保存数据或是禁用CD/DVD刻录机以及USB端口。
3. 对于存在问题的员工,是否有正式的风险管理进程?曼宁被捕前在美军服役期间就出现过情绪障碍,咨询过军队精神健康专家,曾被两名长官描述为“是自己和他人的一个威胁,”。那时,军队因为缺乏安全分析师而忽略了这个问题。
军队的人不会和安全团队讨论这些问题,而军队本身也没有正式的风险管理分析对高危人群实施补偿控制。在商业环境中,CISO和HR都应该有标准的进程将HR和网络安全行为统一起来。例如,安全分析师可以做一个调查追踪历史在线操作或是对某个特定对象进行监控。但采取这种策略是有条件的,它要求组织认真考虑过这些风险,用正式策略解决这些问题,并与各部门保持对话。
你可能认为美国军队已经评估并解决了这些安全风险,但显然不是。除了曼宁之外,还存在其他责任人。美国国防部对于此事也没向公众披露太多。
对于商业环境中的我们,在遭遇复杂攻击和高级恶意软件时,我们不能忽略内部威胁。美国军方忽视了基本的安全信号。企业CISO们应该确保自己的公司策略部署得当,具备恰当的进程和沟通渠道,则会有他们才能解决意外风险,避免以后登上头条。
