現在我們已經非常善于保護我們的外圍����,但我們大多數人并沒有充分保護企業免受內部威脅,包括員工(現任和前任)、業務合作伙伴����、承包商�、實習生甚至客戶等�。
雖然我們的大部分精力都集中在基于互聯網的攻擊,但其實絕大多數安全事件源自內部人員���,并且可能造成最大的傷害。
這并不無道理:內部人員非常了解我們的網絡布局、應用程序�����、員工和業務實踐�。
首先,松懈的政策會引發內部威脅問題。
據報告稱��,美國司法部監察長辦公室認為Hanssen事故是因為該局未能實施和執行強有力的內部人員安全程序����,這是他在20多年來取得成功的主要原因。
美國聯邦調查局并不是內部攻擊的唯一受害者。
內部人員通常很少受到控制�,畢竟企業傾向于信任內部人員��,而沒有采取任何技術或程序對策�����。
這樣做的結果可能是系統遭破壞�、數據泄漏��、信用卡信息竊取等���。
這種案例還包括:美國佛羅里達州坦帕市GTE網絡服務支持中心的一名工作人員擦除了數據并造成超過20萬美元的損失���。
美國北卡羅來納州Lance公司的一名計算機程序員因被降職而感到憤怒���,他制作了一個邏輯炸彈����,讓現場銷售代表的計算機脫機好幾天。
大通曼哈頓銀行的兩名員工竊取了信用卡號碼,共竊取近10萬美元����。
如何防范內部安全威脅企業面臨的威脅不僅僅來自惡意攻擊者�,員工也可能在無知無意中破壞系統并制造計算機安全威脅�。
員工點擊電子郵件、即時消息應用程序和廣告中的惡意鏈接,這些簡單的錯誤都可能允許攻擊者監控企業,并造成嚴重后果���。
下面是在考慮如何防止內部人員安全威脅時需要記住的一些關鍵術語。病毒。
計算機病毒是指惡意代碼�����,這些惡意代碼可竊取密碼��、向聯系人發送垃圾郵件��、破壞文件�����、記錄按鍵��,甚至掌控受感染設備。
而為了感染設備����,必須有人故意或意外地傳播感染����。
2019年1月����,美國俄亥俄州阿克倫市遭遇勒索軟件攻擊,最終調查發現此次攻擊是由于兩名員工打開了通過垃圾郵件發送的假發票��。防病毒軟件����。
防病毒軟件旨在檢測、移除和阻止設備或網絡上的惡意軟件�����。
盡管防病毒軟件主要用于消除病毒����,但其實它們還可以幫助抵御間諜軟件、廣告軟件和其他惡意軟件�����。
基本防病毒程序可掃描文件是否存在惡意軟件��、讓用戶安排自動掃描并刪除任何惡意軟件。間諜軟件。
未經最終用戶許可安裝在設備上的任何軟件都被歸類為間諜軟件�,即使是為了無害目的而下載�����。
廣告軟件、特洛伊木馬和鍵盤記錄器都是間諜軟件的例子�。
如果沒有反間諜軟件工具��,間諜軟件很難被發現。
為防止間諜軟件��,網絡管理員應要求遠程工作人員通過虛擬專用網絡訪問網絡資源�����,虛擬專用網絡還必須包含安全掃描組件�。
用戶應在安裝軟件之前閱讀條款和條件��,并采取預防性措施以避免彈出廣告���,同時確保僅從可靠來源下載軟件���。
去年���,Amnesty Internal淪為Pegasus間諜軟件的受害者��,僅僅因為一名員工點擊了偽造WhatsApp消息�����。
隨后安裝的間諜軟件讓攻擊者可遠程監控員工的設備,同時允許其訪問消息�、日歷、聯系人及其麥克風。惡意軟件。
惡意軟件可以竊取�����、加密或刪除私人信息�����,在未經用戶許可的情況下監控計算機活動或更改設備的核心計算功能��。
惡意軟件示例包括間諜軟件和病毒。
在2017年,在健康保險公司Anthem遭遇安全泄漏事故導致大量客戶數據面臨泄漏風險后����,該公司在一起集體訴訟中共計支付1.15億美元�����。
這起泄漏事故源自2014年開始的有針對性魚叉式網絡釣魚電子郵件活動,這種活動在幾個月內未被發現。
當一名員工點擊鏈接后,惡意軟件為黑客提供了遠程訪問權限���,黑客可訪問網絡中計算機以及個人身份信息,這些也是身份盜竊所需的所有工具。
還有很多其他備受矚目的網絡釣魚案件見諸報端���,例如2018年DNC攻擊事件和2016年俄羅斯大選遭干涉,可以說,內部威脅讓安全人員夜不能寐�。
正如Anthem保險公司的情況所示��,只需要一個人點擊錯誤鏈接就可能為攻擊者打開大門。你的企業可能是下一個目標。
那么����,你能為此做些什么呢?下面是幫助你制定和實施內部威脅緩解策略的10個技巧��。
從長遠來看,有些技巧可能復雜且昂貴,但其他技巧只需要審查你的流程和政策并部署最佳做法即可��。這里的重點是將你的信息安全雷達轉向內部���。
安全政策第一在最低限度上�,安全政策應包括防止和檢測濫用的流程���,以及執行內部調查的指導原則�。還應該說明濫用的潛在后果。
首先請審查現有的安全政策���,特別是有關事件處理的安全策略。請修改依賴于信任內部人員的部分���。
例如,你的事件處理計劃不應要求你的團隊聯系可疑系統的管理員以獲取訪問權限;因為他或她可能是罪魁禍首�。
接下來����,請確保你的政策嚴格限制訪問和傳播有關員工�����、臨時工和其他可能成為調查對象的個人數據�����。
濫用這些數據可能會產生嚴重后果,包括法律訴訟�。
請明確誰訪問哪些數據���、在何種情況下以及允許他們與誰共享此信息��。
最后���,為了保護企業避免遭受不公平或不平等處罰的指控�����,請確保你的安全政策說明濫用公司資源的后果���。
不要忽視物理安全無論你是否“擁有”物理安全��,請將其視為你的首要任務�����。
簡單地讓人們遠離關鍵基礎設施足以防止大多數內部泄露事故。
想一想西雅圖地區供暖和制冷公司Red Dot所遭遇的事情:兩名保安通過垃圾桶�、辦公桌和文件柜��,竊取員工和客戶的個人信息。
他們獲得欺詐性的信用卡并非法訪問銀行賬戶���,竊取數萬美元,直到最后被捕���。
你應將高價值系統隔離在限制區域內,并應用嚴格的訪問控制���。
你可能會依賴于鑰匙卡(它們既靈活又便宜),但它們只是單因素身份驗證�����,并且����,可能會丟失、被盜或借用�����。
例如審核日志可能會顯示Apce于上午10:03:34進入計算機房�����,但如果是Bob在使用她的密鑰呢?這種情況下,應考慮使用雙因素身份驗證(例如使用PIN和鑰匙卡)來增強鑰匙卡��,以阻止竊賊���,但是雇員仍然可能將他們的鑰匙卡和PIN同時借給同事���。
對此�,應考慮生物識別身份驗證。
指紋掃描儀和類似設備很受歡迎,雖然價格昂貴�。
但是保護計算機系統是不夠的�����。
竊賊或過于好奇的同事會從未受保護的硬拷貝中獲取敏感信息。
因此,請確保所有員工的桌面或文件柜中至少有一個可鎖定的抽屜�,以保護敏感信息��。
嚴格篩選新員工一般來說,你應該花更多時間來調查應聘者背景。
如果你的企業認為背景檢查過于耗時,請考慮外包��。
然而����,背景調查并不總能說明全部事實。
例如,典型的檢查可能會驗證應聘者的當前地址���,但無法查明居住在同一地址的人是否是已知的騙子或心懷不滿的前雇員。
例如Systems Research & Development的NORA(非明顯關系察覺系統)等服務可以找尋這樣的關系�。
通過結合看似無關的企業數據庫的信息�,NORA可以對員工����、分包商和供應商以及潛在雇員進行檢查����。
利用強大的身份驗證密碼已經過時�。
現在的密碼破解技術已經相當先進�����,即使使用高強度密碼��,用戶也可能會將密碼寫在便利貼貼在顯示屏上。并且,很多員工還會共享密碼。
然而�,替代方案很昂貴�����,而且,一般部署超出大多數企業的能力范圍。
更具成本效益的折衷方案是:對特別敏感的應用程序或系統(例如HR或財務系統)部署強大的多因素身份驗證�����。
如果你已經部署多因素身份驗證(結合用戶ID和密碼與令牌����、智能卡或指紋識別器等), 請注意這些方法也并不是萬無一失。
當你已經建立會話,狡猾的內部攻擊者可能會以你的名義欺騙新的交易��,或者在你離開時使用你的計算機�����。
對此�����,Windows工作站可以設置為在一段固定的不活動時間后鎖定用戶,并需要重新進行身份驗證。
保護桌面系統你不能依靠用戶對其所有配置負責,但如果你使用微軟的Active Directory服務,則可利用組策略來鎖定企業中的桌面系統��。
安全管理員可通過組策略為操作系統及其組件(Internet Explorer����、Windows Media Player等)以及其他應用程序設置配置詳細信息����。
例如,更改每個Internet Explorer安全區域的設置��、強制使用內容過濾Internet代理����、甚至禁止在Microsoft Office應用程序中使用未簽名的第三方宏。
Windows本身提供很多樣本模板文件�����,你還可以從微軟網站或Windows或Office資源工具包獲得更多文件�。
另外,請確保嚴格按需提供對網絡文件夾的訪問權限�����。
局域網分段在內部防御中�����,基于主機或網絡的入侵檢測系統應該發揮重要作用�,但找到良好的監控點可能具有挑戰性��。
基于主機的系統通常會部署代理���,但基于網絡的系統則需要依賴于LAN嗅探器���。
監控單個互聯網連接很容易����,但在混亂的局域網內部可能很難找到好的位置��,即阻塞點�。
在理想情況下���,每個LAN網段都應該有一個嗅探器�。
而在一個大型網絡中,這不切實際��,并且��,你可能會被毫無價值的警報淹沒��。
更好的方法是將你的局域網視為一系列圍圈,每個圍圈都包含自己的信任區域��,并在鏈接企業主干網時由防火墻隔離����。
避免信息泄漏敏感信息可能通過很多方式流出企業,例如通過電子郵件��、打印副本�、即時消息或人們的談論(原本他們應該保密)。
你應該結合安全政策和技術來防止這些情況�。
首先��,請確保你的政策嚴格限制傳播機密數據。
另外��,技術也會有所幫助�����,例如從入侵檢測系統(IDS)開始���。
審查你的商業計劃���,查找你不希望泄漏的獨特短語,并配置你的IDS,以便當在網絡上看到這種信息時提醒你。
同時�����,電子郵件防火墻可以掃描所有外發電子郵件全文����。
另外,通過分配訪問權限,數字版權管理工具也可限制文檔的發送��。
調查異?����;顒幽憧赡軙拿嫦蚧ヂ摼W的服務器收集大量日志數據:Unix系統日志�����、Windows事件日志、防火墻日志、IDS警報����、防病毒報告�、撥號訪問日志或其他很多不同的審計跟蹤��。
但是你的內部局域網呢?與外部攻擊者不同�����,內部人員通常不會小心掩蓋他們的蹤跡。
丹麥安全咨詢公司Protego的前技術經理Peter Vestergaard說:“仿佛內部攻擊者不會被抓住一樣。
通常情況下,我們看到的內部攻擊都難以調查����。
最大的問題是公司沒有足夠的日志記錄。
幾乎沒有人知道�����,非域控制器NT / Win2K服務器的日志記錄在默認情況下為禁用����。
因此,很少或沒有可用的日志記錄����。” 即使當你獲得日志文件����,你會發現,篩選這些日志信息以查找可疑活動也非常困難。
一位不愿透露姓名的美國大型保險和金融服務公司的信息安全官表示:“在所有這些日志信息中��,我們很難確定某個特定的人試圖在網絡獲取信息����。”他的公司使用自制的分析引擎,整合多個不同日志信息,并試圖尋找可疑模式���。
如果資金充足,你可通過網絡取證分析工具來分析整個網絡中的信息流。
重新專注外圍工具和策略通過部署外圍工具到網絡內部���,可顯著提高安全性,而且,通常成本很低。
第一步是內部修復。
你不會希望未修復的網絡或電子郵件服務器暴露在公共互聯網����,那么�,為什么要在局域網這樣做呢?第二步是通過消除未使用的服務和鎖定配置來保護主機����。
在做好這些工作后,你就可以添加更多外部工具來保護內部安全����。
如果你已經在為面向互聯網的服務使用漏洞評估工具,也請掃描內部網絡��,這只需支付很少的額外費用�。
你應該首先掃描最關鍵的服務器,例如內部電子郵件���、Web和目錄服務器,然后按優先順序排列其他系統并按順序掃描它們��。
監控濫用情況為確保安全性����,你可能需要對員工進行直接監控,包括從攝像機到按鍵記錄����。
研究表明���,多達三分之一的雇主在某種程度上會進行此類監控�。
不過�����,在這樣做之前����,請確保你了解你可以使用哪些工具以及你所在司法管轄區的法律監管情況���。
通常網站內容過濾器是有用的工具�,因為這些工具可設置為阻止色情內容、競爭對手網站和黑客工具存儲庫����,這些都可能表明內部安全威脅。
一般而言,你可以將這些作為針對所有員工的政策。
如果你需要有關特定員工正在做什么的更詳細信息,你必須更加謹慎行事����,但現在仍然有很多方法����,可為你提供按鍵記錄��、應用程序活動和窗口標題記錄�����、URL訪問歷史記錄等。
