現(xiàn)在我們已經(jīng)非常善于保護(hù)我們的外圍����,但我們大多數(shù)人并沒有充分保護(hù)企業(yè)免受內(nèi)部威脅��,包括員工(現(xiàn)任和前任)�����、業(yè)務(wù)合作伙伴�����、承包商���、實習(xí)生甚至客戶等���。
雖然我們的大部分精力都集中在基于互聯(lián)網(wǎng)的攻擊,但其實絕大多數(shù)安全事件源自內(nèi)部人員����,并且可能造成最大的傷害。
這并不無道理:內(nèi)部人員非常了解我們的網(wǎng)絡(luò)布局���、應(yīng)用程序�����、員工和業(yè)務(wù)實踐�����。
首先����,松懈的政策會引發(fā)內(nèi)部威脅問題。
據(jù)報告稱���,美國司法部監(jiān)察長辦公室認(rèn)為Hanssen事故是因為該局未能實施和執(zhí)行強(qiáng)有力的內(nèi)部人員安全程序����,這是他在20多年來取得成功的主要原因��。
美國聯(lián)邦調(diào)查局并不是內(nèi)部攻擊的唯一受害者�。
內(nèi)部人員通常很少受到控制,畢竟企業(yè)傾向于信任內(nèi)部人員���,而沒有采取任何技術(shù)或程序?qū)Σ摺?/p>
這樣做的結(jié)果可能是系統(tǒng)遭破壞�、數(shù)據(jù)泄漏、信用卡信息竊取等����。
這種案例還包括:美國佛羅里達(dá)州坦帕市GTE網(wǎng)絡(luò)服務(wù)支持中心的一名工作人員擦除了數(shù)據(jù)并造成超過20萬美元的損失����。
美國北卡羅來納州Lance公司的一名計算機(jī)程序員因被降職而感到憤怒,他制作了一個邏輯炸彈�,讓現(xiàn)場銷售代表的計算機(jī)脫機(jī)好幾天。
大通曼哈頓銀行的兩名員工竊取了信用卡號碼��,共竊取近10萬美元��。
如何防范內(nèi)部安全威脅企業(yè)面臨的威脅不僅僅來自惡意攻擊者����,員工也可能在無知無意中破壞系統(tǒng)并制造計算機(jī)安全威脅。
員工點(diǎn)擊電子郵件���、即時消息應(yīng)用程序和廣告中的惡意鏈接���,這些簡單的錯誤都可能允許攻擊者監(jiān)控企業(yè),并造成嚴(yán)重后果��。
下面是在考慮如何防止內(nèi)部人員安全威脅時需要記住的一些關(guān)鍵術(shù)語。病毒�����。
計算機(jī)病毒是指惡意代碼�,這些惡意代碼可竊取密碼、向聯(lián)系人發(fā)送垃圾郵件�、破壞文件、記錄按鍵�����,甚至掌控受感染設(shè)備�。
而為了感染設(shè)備,必須有人故意或意外地傳播感染����。
2019年1月,美國俄亥俄州阿克倫市遭遇勒索軟件攻擊�����,最終調(diào)查發(fā)現(xiàn)此次攻擊是由于兩名員工打開了通過垃圾郵件發(fā)送的假發(fā)票�。防病毒軟件。
防病毒軟件旨在檢測、移除和阻止設(shè)備或網(wǎng)絡(luò)上的惡意軟件�。
盡管防病毒軟件主要用于消除病毒,但其實它們還可以幫助抵御間諜軟件�、廣告軟件和其他惡意軟件。
基本防病毒程序可掃描文件是否存在惡意軟件�、讓用戶安排自動掃描并刪除任何惡意軟件。間諜軟件�����。
未經(jīng)最終用戶許可安裝在設(shè)備上的任何軟件都被歸類為間諜軟件���,即使是為了無害目的而下載。
廣告軟件��、特洛伊木馬和鍵盤記錄器都是間諜軟件的例子����。
如果沒有反間諜軟件工具,間諜軟件很難被發(fā)現(xiàn)���。
為防止間諜軟件��,網(wǎng)絡(luò)管理員應(yīng)要求遠(yuǎn)程工作人員通過虛擬專用網(wǎng)絡(luò)訪問網(wǎng)絡(luò)資源����,虛擬專用網(wǎng)絡(luò)還必須包含安全掃描組件。
用戶應(yīng)在安裝軟件之前閱讀條款和條件�,并采取預(yù)防性措施以避免彈出廣告,同時確保僅從可靠來源下載軟件�。
去年,Amnesty Internal淪為Pegasus間諜軟件的受害者����,僅僅因為一名員工點(diǎn)擊了偽造WhatsApp消息。
隨后安裝的間諜軟件讓攻擊者可遠(yuǎn)程監(jiān)控員工的設(shè)備��,同時允許其訪問消息�����、日歷����、聯(lián)系人及其麥克風(fēng)。惡意軟件�。
惡意軟件可以竊取、加密或刪除私人信息���,在未經(jīng)用戶許可的情況下監(jiān)控計算機(jī)活動或更改設(shè)備的核心計算功能�。
惡意軟件示例包括間諜軟件和病毒。
在2017年��,在健康保險公司Anthem遭遇安全泄漏事故導(dǎo)致大量客戶數(shù)據(jù)面臨泄漏風(fēng)險后���,該公司在一起集體訴訟中共計支付1.15億美元��。
這起泄漏事故源自2014年開始的有針對性魚叉式網(wǎng)絡(luò)釣魚電子郵件活動��,這種活動在幾個月內(nèi)未被發(fā)現(xiàn)����。
當(dāng)一名員工點(diǎn)擊鏈接后�����,惡意軟件為黑客提供了遠(yuǎn)程訪問權(quán)限���,黑客可訪問網(wǎng)絡(luò)中計算機(jī)以及個人身份信息,這些也是身份盜竊所需的所有工具���。
還有很多其他備受矚目的網(wǎng)絡(luò)釣魚案件見諸報端�����,例如2018年DNC攻擊事件和2016年俄羅斯大選遭干涉����,可以說,內(nèi)部威脅讓安全人員夜不能寐�。
正如Anthem保險公司的情況所示,只需要一個人點(diǎn)擊錯誤鏈接就可能為攻擊者打開大門�����。你的企業(yè)可能是下一個目標(biāo)���。
那么���,你能為此做些什么呢?下面是幫助你制定和實施內(nèi)部威脅緩解策略的10個技巧。
從長遠(yuǎn)來看��,有些技巧可能復(fù)雜且昂貴�,但其他技巧只需要審查你的流程和政策并部署最佳做法即可。這里的重點(diǎn)是將你的信息安全雷達(dá)轉(zhuǎn)向內(nèi)部�����。
安全政策第一在最低限度上�,安全政策應(yīng)包括防止和檢測濫用的流程�����,以及執(zhí)行內(nèi)部調(diào)查的指導(dǎo)原則��。還應(yīng)該說明濫用的潛在后果����。
首先請審查現(xiàn)有的安全政策��,特別是有關(guān)事件處理的安全策略�����。請修改依賴于信任內(nèi)部人員的部分����。
例如��,你的事件處理計劃不應(yīng)要求你的團(tuán)隊聯(lián)系可疑系統(tǒng)的管理員以獲取訪問權(quán)限;因為他或她可能是罪魁禍?zhǔn)住?/p>
接下來�����,請確保你的政策嚴(yán)格限制訪問和傳播有關(guān)員工�����、臨時工和其他可能成為調(diào)查對象的個人數(shù)據(jù)。
濫用這些數(shù)據(jù)可能會產(chǎn)生嚴(yán)重后果�,包括法律訴訟。
請明確誰訪問哪些數(shù)據(jù)���、在何種情況下以及允許他們與誰共享此信息����。
最后�����,為了保護(hù)企業(yè)避免遭受不公平或不平等處罰的指控��,請確保你的安全政策說明濫用公司資源的后果����。
不要忽視物理安全無論你是否“擁有”物理安全,請將其視為你的首要任務(wù)��。
簡單地讓人們遠(yuǎn)離關(guān)鍵基礎(chǔ)設(shè)施足以防止大多數(shù)內(nèi)部泄露事故����。
想一想西雅圖地區(qū)供暖和制冷公司Red Dot所遭遇的事情:兩名保安通過垃圾桶�、辦公桌和文件柜���,竊取員工和客戶的個人信息��。
他們獲得欺詐性的信用卡并非法訪問銀行賬戶�����,竊取數(shù)萬美元����,直到最后被捕����。
你應(yīng)將高價值系統(tǒng)隔離在限制區(qū)域內(nèi),并應(yīng)用嚴(yán)格的訪問控制�。
你可能會依賴于鑰匙卡(它們既靈活又便宜),但它們只是單因素身份驗證���,并且�,可能會丟失��、被盜或借用��。
例如審核日志可能會顯示Apce于上午10:03:34進(jìn)入計算機(jī)房����,但如果是Bob在使用她的密鑰呢?這種情況下,應(yīng)考慮使用雙因素身份驗證(例如使用PIN和鑰匙卡)來增強(qiáng)鑰匙卡����,以阻止竊賊,但是雇員仍然可能將他們的鑰匙卡和PIN同時借給同事��。
對此�����,應(yīng)考慮生物識別身份驗證�。
指紋掃描儀和類似設(shè)備很受歡迎,雖然價格昂貴��。
但是保護(hù)計算機(jī)系統(tǒng)是不夠的�。
竊賊或過于好奇的同事會從未受保護(hù)的硬拷貝中獲取敏感信息。
因此�,請確保所有員工的桌面或文件柜中至少有一個可鎖定的抽屜,以保護(hù)敏感信息�。
嚴(yán)格篩選新員工一般來說,你應(yīng)該花更多時間來調(diào)查應(yīng)聘者背景�。
如果你的企業(yè)認(rèn)為背景檢查過于耗時���,請考慮外包。
然而����,背景調(diào)查并不總能說明全部事實。
例如����,典型的檢查可能會驗證應(yīng)聘者的當(dāng)前地址,但無法查明居住在同一地址的人是否是已知的騙子或心懷不滿的前雇員����。
例如Systems Research & Development的NORA(非明顯關(guān)系察覺系統(tǒng))等服務(wù)可以找尋這樣的關(guān)系。
通過結(jié)合看似無關(guān)的企業(yè)數(shù)據(jù)庫的信息�,NORA可以對員工、分包商和供應(yīng)商以及潛在雇員進(jìn)行檢查���。
利用強(qiáng)大的身份驗證密碼已經(jīng)過時����。
現(xiàn)在的密碼破解技術(shù)已經(jīng)相當(dāng)先進(jìn)�����,即使使用高強(qiáng)度密碼����,用戶也可能會將密碼寫在便利貼貼在顯示屏上。并且����,很多員工還會共享密碼。
然而����,替代方案很昂貴,而且���,一般部署超出大多數(shù)企業(yè)的能力范圍����。
更具成本效益的折衷方案是:對特別敏感的應(yīng)用程序或系統(tǒng)(例如HR或財務(wù)系統(tǒng))部署強(qiáng)大的多因素身份驗證����。
如果你已經(jīng)部署多因素身份驗證(結(jié)合用戶ID和密碼與令牌、智能卡或指紋識別器等)��, 請注意這些方法也并不是萬無一失。
當(dāng)你已經(jīng)建立會話�,狡猾的內(nèi)部攻擊者可能會以你的名義欺騙新的交易,或者在你離開時使用你的計算機(jī)�����。
對此����,Windows工作站可以設(shè)置為在一段固定的不活動時間后鎖定用戶,并需要重新進(jìn)行身份驗證����。
保護(hù)桌面系統(tǒng)你不能依靠用戶對其所有配置負(fù)責(zé),但如果你使用微軟的Active Directory服務(wù)���,則可利用組策略來鎖定企業(yè)中的桌面系統(tǒng)��。
安全管理員可通過組策略為操作系統(tǒng)及其組件(Internet Explorer����、Windows Media Player等)以及其他應(yīng)用程序設(shè)置配置詳細(xì)信息���。
例如�,更改每個Internet Explorer安全區(qū)域的設(shè)置、強(qiáng)制使用內(nèi)容過濾Internet代理�、甚至禁止在Microsoft Office應(yīng)用程序中使用未簽名的第三方宏。
Windows本身提供很多樣本模板文件�����,你還可以從微軟網(wǎng)站或Windows或Office資源工具包獲得更多文件���。
另外,請確保嚴(yán)格按需提供對網(wǎng)絡(luò)文件夾的訪問權(quán)限���。
局域網(wǎng)分段在內(nèi)部防御中���,基于主機(jī)或網(wǎng)絡(luò)的入侵檢測系統(tǒng)應(yīng)該發(fā)揮重要作用,但找到良好的監(jiān)控點(diǎn)可能具有挑戰(zhàn)性���。
基于主機(jī)的系統(tǒng)通常會部署代理��,但基于網(wǎng)絡(luò)的系統(tǒng)則需要依賴于LAN嗅探器���。
監(jiān)控單個互聯(lián)網(wǎng)連接很容易,但在混亂的局域網(wǎng)內(nèi)部可能很難找到好的位置����,即阻塞點(diǎn)�����。
在理想情況下�,每個LAN網(wǎng)段都應(yīng)該有一個嗅探器�����。
而在一個大型網(wǎng)絡(luò)中�,這不切實際,并且�,你可能會被毫無價值的警報淹沒。
更好的方法是將你的局域網(wǎng)視為一系列圍圈�����,每個圍圈都包含自己的信任區(qū)域���,并在鏈接企業(yè)主干網(wǎng)時由防火墻隔離���。
避免信息泄漏敏感信息可能通過很多方式流出企業(yè),例如通過電子郵件�����、打印副本、即時消息或人們的談?wù)?原本他們應(yīng)該保密)���。
你應(yīng)該結(jié)合安全政策和技術(shù)來防止這些情況�����。
首先�,請確保你的政策嚴(yán)格限制傳播機(jī)密數(shù)據(jù)����。
另外��,技術(shù)也會有所幫助����,例如從入侵檢測系統(tǒng)(IDS)開始。
審查你的商業(yè)計劃��,查找你不希望泄漏的獨(dú)特短語��,并配置你的IDS���,以便當(dāng)在網(wǎng)絡(luò)上看到這種信息時提醒你��。
同時�����,電子郵件防火墻可以掃描所有外發(fā)電子郵件全文��。
另外�,通過分配訪問權(quán)限,數(shù)字版權(quán)管理工具也可限制文檔的發(fā)送����。
調(diào)查異常活動你可能會從面向互聯(lián)網(wǎng)的服務(wù)器收集大量日志數(shù)據(jù):Unix系統(tǒng)日志����、Windows事件日志、防火墻日志�����、IDS警報��、防病毒報告���、撥號訪問日志或其他很多不同的審計跟蹤�。
但是你的內(nèi)部局域網(wǎng)呢?與外部攻擊者不同,內(nèi)部人員通常不會小心掩蓋他們的蹤跡���。
丹麥安全咨詢公司Protego的前技術(shù)經(jīng)理Peter Vestergaard說:“仿佛內(nèi)部攻擊者不會被抓住一樣�����。
通常情況下�����,我們看到的內(nèi)部攻擊都難以調(diào)查�。
最大的問題是公司沒有足夠的日志記錄�����。
幾乎沒有人知道����,非域控制器NT / Win2K服務(wù)器的日志記錄在默認(rèn)情況下為禁用���。
因此�����,很少或沒有可用的日志記錄���。” 即使當(dāng)你獲得日志文件����,你會發(fā)現(xiàn)���,篩選這些日志信息以查找可疑活動也非常困難��。
一位不愿透露姓名的美國大型保險和金融服務(wù)公司的信息安全官表示:“在所有這些日志信息中����,我們很難確定某個特定的人試圖在網(wǎng)絡(luò)獲取信息���。”他的公司使用自制的分析引擎���,整合多個不同日志信息,并試圖尋找可疑模式����。
如果資金充足�,你可通過網(wǎng)絡(luò)取證分析工具來分析整個網(wǎng)絡(luò)中的信息流��。
重新專注外圍工具和策略通過部署外圍工具到網(wǎng)絡(luò)內(nèi)部�����,可顯著提高安全性���,而且����,通常成本很低���。
第一步是內(nèi)部修復(fù)�。
你不會希望未修復(fù)的網(wǎng)絡(luò)或電子郵件服務(wù)器暴露在公共互聯(lián)網(wǎng)���,那么,為什么要在局域網(wǎng)這樣做呢?第二步是通過消除未使用的服務(wù)和鎖定配置來保護(hù)主機(jī)��。
在做好這些工作后���,你就可以添加更多外部工具來保護(hù)內(nèi)部安全����。
如果你已經(jīng)在為面向互聯(lián)網(wǎng)的服務(wù)使用漏洞評估工具,也請掃描內(nèi)部網(wǎng)絡(luò)����,這只需支付很少的額外費(fèi)用。
你應(yīng)該首先掃描最關(guān)鍵的服務(wù)器���,例如內(nèi)部電子郵件�����、Web和目錄服務(wù)器���,然后按優(yōu)先順序排列其他系統(tǒng)并按順序掃描它們。
監(jiān)控濫用情況為確保安全性��,你可能需要對員工進(jìn)行直接監(jiān)控���,包括從攝像機(jī)到按鍵記錄����。
研究表明,多達(dá)三分之一的雇主在某種程度上會進(jìn)行此類監(jiān)控�。
不過,在這樣做之前����,請確保你了解你可以使用哪些工具以及你所在司法管轄區(qū)的法律監(jiān)管情況。
通常網(wǎng)站內(nèi)容過濾器是有用的工具���,因為這些工具可設(shè)置為阻止色情內(nèi)容��、競爭對手網(wǎng)站和黑客工具存儲庫���,這些都可能表明內(nèi)部安全威脅。
一般而言�,你可以將這些作為針對所有員工的政策。
如果你需要有關(guān)特定員工正在做什么的更詳細(xì)信息�,你必須更加謹(jǐn)慎行事,但現(xiàn)在仍然有很多方法��,可為你提供按鍵記錄�、應(yīng)用程序活動和窗口標(biāo)題記錄、URL訪問歷史記錄等����。
