说到“内部威胁”,国内安全专家梁龙亭曾总结过:一看到内部威胁,就会不自觉地想从辩证唯物主义思想做分析。他表示,内部威胁是辩证唯物主义中的内因,而内因是事物区别于其他事物的内在本质,是事物发展的源泉和动力,它规定着事物运动和发展的基本趋势。所以,内部威胁(内因)是第一位的原因,外部威胁(外因)是第二位的原因。
而形而上学则与之相反,主张“外因论”,认为事物的运动和发展完全是由外力推动的。而且在现实场景中,大家往往会有一种共同感触:绝大部分企业的绝大部分安全投入都在应对“外部威胁”。因此,似乎出现一个非常有意思的现象,即我国企业都在形而上学地堆砌大量软硬件应对外部威胁,而国外企业都在唯物主义地应对内部威胁。
“从唯物辩证法角度分析,既然内因(内部威胁)是事物发展的根本原因,外因(外部威胁)是事物发展第二位的原因,那么,无论国家安全还是企业安全,都应该投入更多人力物力财力应对内部威胁;同时也需要关注外部威胁,因为只讲内因不讲外因,忽视事物发展的外部条件,也是片面的。”
事实上,正如梁龙亭所言,国外的安全专家们确实更关注于内部威胁,他们表示,几乎每一位安全负责人都会因企业的内部威胁而失眠。从形式上来看,国外安全专家指出,内部威胁更难被发现,而且缓解成本高昂,并可能导致超乎想象的损失和声誉损害。尽管国外安全专家每年都在呼吁对内部威胁的重视,并付出更多的努力致力于减轻内部威胁,但当前的全球风险和经济压力却在火上浇油,越来越多的“不安因素”正在驱使员工们成为内部威胁。
国外安全专家指出,内部威胁防护并没有什么灵丹妙药,企业只有更多地关注安全文化,让安全部门更多地参与进企业的战略目标,同时赋予安全团队更多的权利,这样才能有所改善。
Mandiant内部威胁管理董事Jon Ford认为,爱德华·斯诺登是历史上最大情报泄露事件的幕后主使,他在很大程度上塑造了世界对内部威胁的看法。自那起具有里程碑意义的案件以来,内部威胁的始作俑者,往往会被描绘成阴暗的恶意人物,隐秘的企业破坏者,或顽强的告密者。
而事实上,大多数内部威胁都是由正常员工所犯下的小错误而导致,很多时候他们只是想在工作中走点捷径,却造成了数据泄漏。比如斯坦福大学的一项研究表明,1/4的员工承认自己点击了网络钓鱼链接;而根据最新的《CyberArk身份安全威胁形势报告》,63%的安全人员认为风险之所以会增加,是由于工作人员常会使用未经批准的人工智能工具。
SafeBreach的CISO Avishai Avivi表示,即使是合法的人工智能工具也会产生重大风险。国外某权威报告显示,一个善意的微软人工智能团队在向公共GitHub存储库提供开源人工智能学习模型时,意外泄露了38TB的公司数据。此外,大量研究表明,员工经常会使用未经管理的个人设备访问公司资源,这就很可能在不经意间造成数据泄漏。
Avivi说道:“无意的威胁包括了粗心的内部人员,他们在大多数研究和学术活动中经常会被忽视,甚至不被包括在内部威胁的定义中,而这往往是安全问题上的主要缺陷,因为谁都有可能因为忽视而造成安全事件。‘无意威胁’的载体是庞大的,所以在基数更大的群体中更容易突发安全事件。就像大多数研究所表明的那样,粗心的内部人员才是造成50%-75%内部威胁事件的罪魁祸首。”
事实证明,很多时候确实如此。Ford介绍说,他们公司为了培训新员工,培训团队会下发一份包含客户真实SSN的电子表格,并简单隐藏所有包含SSN的列。结果,由于其中一名员工希望在家能够继续培训,便将电子表格通过公司电子邮件发送到了他个人的邮箱里,这一行为差点导致了整个公司所有客户的个人信息包括SSN被泄露。
CybSafe首席执行官兼创始人Oz Alashe MBE对此表示:“我不认为最大的内部威胁、内部风险是那些蓄意、恶意窃取信息的群体,而是员工在不经意间所做的事,正是这些事增加了组织/公司的风险。”
然而,从安全事件来看,引发风险的不仅仅是员工,比如臭名昭著的塔吉特漏洞,就是最早将第三方内部威胁推到众人眼前的。出于正当目的去访问企业敏感资源的第三方合作伙伴、顾问和服务提供商,这些人都很容易成为意料之外的内部威胁,这就是为什么国外安全专家一致认为,第三方代表了当今最危险的人类身份。
根据2023年Verizon DBIR的数据,74%的违规行为涉及人为因素,其中有人犯的是寻常错误,有人是滥用特权,还有使用被盗凭据或通过社会工程参与其中。这意味着网络安全必须把重点放在人身上,而不仅仅是技术。
用著名管理顾问Peter·Drucker的话说:“企业文化可以把战略当早餐吃掉。”而培养强大的网络安全文化需要每个人的努力。
其中,管理层负责设定正确的基调,为安全实践建模,定义流程以帮助识别和解决风险行为,并推动跨职能协作。同时,还必须通过持续的教育来增强员工的能力,以建立信任,改变众人对于安全的态度和习惯。这样,最终可创建出更具弹性的组织和团队。
《华尔街日报》最近的一份报告显示,管理人员经常会错过加强网络安全文化的机会。Ford表示,比如管理人员过度强调技术,或者未能测试事件响应程序,有些人员甚至会引进那些“开箱即用”的培训。根据IBM的研究,这些缺点对一个组织来说可能是致命的,特别是当下数据泄露的平均成本为445万美元。“在组织中保持安全第一的文化和心态是毋庸置疑的。”
除此之外,Avivi指出,员工和第三方用户必须要理解“为什么网络安全卫生如此重要”,这样他们才能做出一致的努力,成为解决方案的一部分。“组织要认真研究他们的习惯,看他们平时是如何导致安全风险的,比如使用未经授权的网络应用程序,比如允许家庭成员使用他们的公司设备,或未能做好凭据保护,这包括了使用弱密码,包括了出于各种目的重复使用密码,或将密码保存在浏览器中,等等。”
内部威胁缓解措施,可能意味着员工要直言不讳,即如果员工看到有什么不对劲的地方,他们有责任报告。另一方面,公司管理层也有责任鼓励内部员工参与各项内部威胁缓解措施。
Ford表示,管理层可以制定适合的报告流程,以确保报告内部威胁问题的人员始终保持匿名,这样他们可以免受潜在报复。同时,要优先考虑持续的网络安全教育,以帮助员工了解不断变化的攻击环境和常见的社会工程技术,像网络钓鱼、凭证骗取等,员工可以通过定期培训以更有效地应对潜在威胁。
此外,管理层可以向员工和第三方用户传达透明且狭义的规则,以加强个人责任,并强调公司政策、程序和信息安全最佳实践的重要性。当然,还可以将安全运营中心(SOC)资源专门用于处理和分析内部威胁信息和活动。
在概述潜在内部威胁的具体迹象和行为时,Ford表示,内部人员先要洞察到“威胁迹象”,这包括异常的数据移动、使用未经批准的应用程序或硬件,以及访问非工作时段的核心信息和系统的权限提升。
其中,发现内部威胁的手段各不相同,这取决于企业可能会面临的威胁类型,到底是恶意的还是无意的。Ford说,如果企业面对的是恶意威胁,那就要注意企业内部一些反常的行为变化。“个人登录账户、注销账号的时间、电子邮件流量的变化,或者某些行为异常的举措,企业可以把这当作‘加强对员工关心’的管理方针。当然,员工之间的互相‘关心’也是一样的道理,管理层可以给予相应的支持。”
同时,对企业不满、对上级领导不满或将被解雇的员工可能存在恶意行为倾向,这可被认为是内部威胁的一种迹象。Ford说:“大多数企业或者组织都会存在这样的现象,就是他们中的某员工将要离开公司了,但这些员工的访问权限还是没有及时关闭,这就极有可能为公司带来内部威胁的风险。”
除了公司或工业间谍的情况外,企业数据盗窃案例常会被视为“就业终止事件”,这缘于在几乎所有被观察到的案件中,数据盗窃事件都是在某员工辞职前一个月内发生的。此外,根据Forte的说法,盗窃案件中存在的两个至关重要因素:对工作不满的员工和对工作充满占有欲的员工。
另一方面,信息安全合规公司ISMS.online亚太区负责人Michelle McCarthy表示,企业还要制定合规政策和最佳实践,包括分离或隔离职责(SoD),以及要求多人完成关键任务。其中,和离职相关的企业政策尤为重要,这也是内部威胁的“高发阶段”。
McCarthy说,最好的离职管理发生在入职期间,如果在员工离职后才开始安全管理,那意味着为时已晚。因此,员工的安全离职从入职开始,甚至可以说从签署雇佣合同开始。
为了应对离职带来的风险,企业必须全面地对员工账户和其对敏感系统或数据的访问进行管理。CyberGRX的CISO Dave Stapleton表示,该过程应包括确保定期审查访问权限,并确保对必要权限的任何更改进行沟通、记录和及时采取行动。如果没有这些流程,不仅会影响效率,还会带来访问权限未取消的风险。
最后,Avivi表示,从上到下识别内部威胁问题,并因此采取行动,这意味着组织可以更有效地显示出潜在风险指标,并发现那些可能造成内部威胁的员工。而当系统被正确配置以解决安全漏洞时,正确的技术也有助于推动积极的结果,比如具有自适应安全功能的机器学习工具,可使组织能够对用户行为进行基线检查,并减少检测网络异常时的误报。
“当涉及内部威胁时,员工和第三方用户是保护组织关键资产的第一道防线,也是最后一道防线。而这取决于组织是否为他们提供了所需的关键知识、流程和底层技术。”
对于企业该如何防范内部威胁,国内安全专家如此建议。
知乎相关专家“安全随谈”表示,针对安全管理方面,管理流程很重要,这意味着每个人都有自己该要了解和负责的义务,而非口头形式。有完善的数据管控流程,数据导出查询都要有一层层的审核流程,这样敏感数据的流向明确,泄漏风险也清晰可见。
其次就是安全技术管理,可以通过各种的安全设备,做好网络区域划分,网络隔离和内网流量安全检测分析防护。部署一些内部管控的设备或软件,比如:终端安全管理、主机安全管理,邮件网关、入侵检测防护、数据防泄密、上网行为管理等安全设备,或者零信任设备等。
最后是安全管理制度,明确规范每位员工的日常办公规范,定义工作安全红线,工作安全要求和规范,明确现有的行为操作安全风险点,提高个人安全意识等措施。
某保险科技企业安全专家金昊表示,作为信息安全人员,要合理区分内部威胁,大多数内部威胁指的是企业内部的员工、合作伙伴或供应商可能对信息资产构成的威胁,这可能是有意的也可能是无意的。比如权限过大引起的删库跑路,这属于有意为之。内部威胁在信息安全这个角度,主要涉及数据泄露、故意破坏数据、滥用权限等。安全人员日常管理过程中如果想要规避内部威胁,需要结合企业实际情况进行管控,并不是大而全的堆叠安全设备就能解决,需要与老板、人力、行政、部门主管一起制定制度以及奖惩,再配合相关技术手段进行。
国内形势方面,金昊认为,大局不敢说,但是确实透过近年来各地公安部门公布的数据安全案例来看,中小企业在内部威胁的管控上做的并不好,主要还是和信息安全意识以及安全人员短缺有关,大型企业一般都比较健全,但是也存在各种方面的漏洞。当然,也可以理解为,国内安全环境受制于经济压力,不是很乐观。
某金融机构辛琰表示,不管是传统的基于边界的安全架构,还是目前部署较多的网络安全监测预警系统,在某种程度上预设了对内网中的人、设备和系统的信任。但通过一些内部威胁报告可以看出,内部威胁引发企业网络安全事件数量逐年攀升,有些是有意为之的恶意行为,有些是人为疏忽造成的事件,一旦发生,会造成删库等无可挽回的后果。
辛琰认为,防范内部人员攻击与防御外部网络攻击完全不同,内部人员往往已有权限且了解内部组织情况,更容易找到管理的漏洞进行伪装和掩盖恶意行为的踪迹。如何识别内部威胁并进行有效管控,结合实际的工作,辛琰提出以下几点建议:
1、员工安全意识。最老生常谈的就是加强网络安全防范意识,应定期开展网络安全意识培训,进行钓鱼邮件、钓鱼短信等常见社会工程攻击场景的演练,进行合规培训和案例宣贯,降低无意识违规操作引入的风险;
2、终端安全管理。可以通过桌管系统等进行统一策略配置,严控网络接入策略,禁止外设、不明设备接入,配置终端DLP,杜绝一切外来设备引入的风险,切断从终端拿走数据的一切通道;
3、账号权限管理。加强特权账号管理,遵循最小化权限原则,不得过度授权,加强敏感数据和信息的访问管控;定期进行检查,关注离职人员账号、幽灵账号、第三方安全等特殊账号管理。对一些高危命令,也可借助堡垒机等工具进行管控;
4、持续监控审计。通过网络流量分析、日志审计、行为分析等技术手段进行有效的监控和审计,及时发现例如未经授权数据传输、敏感信息高频访问等异常行为,快速采取措施阻止潜在的内部威胁;
5、安全风险评估。要做好内部资产风险暴露面识别,基于业务特性做好风险评估。另外,内部威胁是不断变化的,安全风险评估的策略和方法也应及时更新和迭代,不断关注新的合规要求以及新技术新方法,保持安全风险评估策略的有效性;
6、安全应急预案:在监管检查中,安全应急管理不足是比较容易被关注的薄弱项。企业应该高度重视应急预案和应急演练,通过演练让各岗位人员明确自己的职责,明确处置方案和汇报路径,提高处置效率,免于处置时间过长引发监管处罚或者不良社会影响。
还是这几句老话,在面对内部威胁时需要制定明确简明的安全策略及方案、程序管理要求、访问机制、明确用户责任和安全事件应急响应程序。营造浓厚的网络安全文化,和各个相关部门尽可能沟通并强调安全的重要性。或周期性地对所有员工进行安全意识教育,提高企业整体网络安全、数据安全保护意识,增强个人安全保护基本技能。这样才能大大增加企业防止内部威胁的能力。
《Engaging insiders to combat insider threats》
https://www.csoonline.com/article/656255/engaging-insiders-to-combat-insider-threats.html(原文链接)
原文始发于微信公众号(安在):内部威胁的源头:到底是傻还是坏?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论