企业内部网络安全四大威胁,如何应对?

admin 2022年4月20日07:35:39评论78 views字数 5277阅读17分35秒阅读模式

企业内部网络安全四大威胁,如何应对?



"


网络安全经理大卫·墨菲(David Murphy)用渗透测试,验证出了“模拟网络钓鱼攻击,不足以识别出最容易受到攻击的内部人员,或将其风险降至最低”这一问题。


在他的职业生涯中,他见过人们随意并使用别人遗落的优盘,或者通过手机泄露密码,甚至毫无防范意识地点击模拟网络钓鱼的链接。对此,他也看到了这种行为在现实世界中产生的后果。


墨菲是一家经过认证的公共会计和商业咨询公司施耐德唐斯(Schneider Downs)的网络安全经理,他也是美国国家安全局(NSA)计算机网络运营团队的前顾问。他曾经调查过某家公司勒索软件攻击的根源,追溯到一名点击了钓鱼链接的员工。


“这与他的工作职责无关。这与公司所做的任何事情都无关。他点击的原因是因为他处于可以随意打开一切链接的环境之中,这是一个随时可以发生的内部风险。”


企业内部网络安全四大威胁,如何应对?


根据Ponemon Institute的《全球内部威胁成本报告》显示,过去两年中内部威胁事件的总数增加了44%。报告发现,56%事件的根本原因是内部人员的疏忽,平均每起事件的成本为484931美元(约为310万人民币)。


该报告还发现,内部人员恶意或者犯罪的成本更高:平均为648062美元(约为410万人民币),他们是26%的安全事件的幕后黑手。与此同时,利用权限账号盗窃占2022年安全事件的18%,高于2020年的14%。


"



采用多层方法


安全专家表示,模拟网络钓鱼攻击可以帮助识别那些不假思索地就点击不明链接的个人。但是,根据从LinkedIn中抓取的信息,要弄清楚谁可能容易受到复杂的社会攻击,谁可能因心怀不满而将他们的权限账号出售给犯罪集团,或者谁在笔记本电脑上工作时有一丝不苟的工作习惯,但却从不怀疑虚假的短信。


找出这些薄弱环节,则需要更多的工作,并且需要在企业工具箱中使用多种工具,而不仅仅是安全工具。


正如墨菲所说:“要找到那些内部风险,你不能依赖一个特定的点。例如,你可能不会怀疑一个实习生驾驶保时捷,但如果这个实习生独自工作到深夜并试图访问受限制的账户系统,他就会被怀疑。


这符合当前的安全思维。


正如CISO所知道的那样,如今确保安全需要多层方法,该方法越来越多地包含有关用户本身的信息,如用户行为分析、零信任策略和最小特权原则等,每种方法在考虑访问级别和安全风险时,都会考虑单个用户、他或她的角色以及他或她的典型活动。


但是,一些安全专家正在考虑超越这一点,并考虑其组织中的哪些角色是薄弱环节,如何识别它们,以及如何更好地降低风险。


“重要的是,该计划要持续识别潜在风险,并围绕风险区域创建权重,这样当某些东西浮出水面时,他们看一看就会知道。”Guidehouse网络安全开源解决方案总监Jason Dury说。


企业内部网络安全四大威胁,如何应对?

Jason Dury


一系列潜在威胁


Virtual Informed Ltd的首席信息安全官兼首席技术官Sarb Sembhi说,如今,检测内部威胁以及最薄弱环节或构成最大风险的个人(取决于您的观点)比十年前要复杂得多。


Sembhi承认,数据泄露防护软件、网络扫描工具、身份和访问管理平台以及零信任方法等,可以有效降低粗心或恶意内部人员造成危害的风险。但是,像安全领域的其他方法一样,它们并不能完全保证免受内部威胁。


比如物联网带来的安全风险:员工可能会引入看似无害的物联网设备(也许是打印机),而没有意识到他或她正在将不安全的互联网连接引入企业。“这些设备比人类更像是一种内部威胁”,ISACA新兴趋势工作组成员Sembhi补充道。


企业内部网络安全四大威胁,如何应对?

Sarb Sembhi


Sembhi说,远程工作进一步使内部威胁问题复杂化,对业务部门部署自己的技术的容忍度越来越高也是如此。其他人也都注意到了这些因素,例如,远程工作的恶意或犯罪内部人员可以使用手机拍摄敏感信息,因为周围没有人可以看到。


尚普兰学院(Champlain College)网络安全助理教授、莱希数字取证与网络安全中心(Leahy Center for Digital Forensics & Cybersecurity)的学术主任亚当·戈德斯坦(Adam Goldstein)表示,首席信息安全官可以将存在额外风险的个人至少分为几个不同的群体


首先,一般来说,远程工作者可以被认为是一个更脆弱的群体。“(员工)在他们的个人终端上,无论是在他们的电脑上做什么,还是在他们与公司和同事等的联系方面,都有不同程度的监督。”


最忙碌的员工以及担任多种角色的员工也会带来更大的风险。“捉襟见肘会迫使人们走他们通常不会走的捷径,或者不得不跳入他们没有时间充分训练的任务或系统,或者有他们需要的深度支持。”


除此之外,还有一类员工仍在努力了解他们使用的技术和到位的控制措施,以及那些“优先考虑个人便利而不是安全”的人。


Goldstein补充说:“这些是一些无意的挑战,可能与员工的动机或技能无关,但也可能导致安全问题。”


企业内部网络安全四大威胁,如何应对?

Adam Goldstein


与此同时,戈德斯坦说,不良行为者继续持续延续他们不安全的操作,让一个谨慎的人也可能成为骗局的受害者,从而暴露自家的系统组织。“一个试图进行社会工程类型攻击或提出方案的老练攻击者,若是执行得特别好并且具有这种天赋,那就可以抓住任何人。”


Goldstein说,不良行为者还找到了让心怀不满或恶意的员工更容易采取行动的方法,创造了允许员工出售其权限账号或其他组织资产的渠道。“内部人员面临的风险比以前小得多,因为他们可以使其看起来像网络钓鱼攻击,使其更难追溯到该个人。”


此外,戈德斯坦说,有些人可能由于个人因素而变得脆弱,他们可能会转向这种选择。


Guidehouse网络安全业务合伙人迈克尔·埃伯特(Michael Ebert)表示,他与一家经历过此类案件的公司合作,当执法部门抓捕该公司一名出售公司信息的员工时,这一案件才得以曝光。这名员工的工作有一定的准入水平,但受到一位朋友和同伙的怂恿,他们看到了赚快钱的机会。


需要执行的操作


此类事件凸显了为什么首席信息安全官应将角色视为其安全策略的一部分。正如埃伯特所说:“人们陷入困境就容易做愚蠢的事情”。鉴于这一现实,埃伯特和其他人表示,高管们应该要有避免将公司组织置于风险之中的能力。然而,埃伯特和其他人也承认,首席信息安全官在这方面的能力有限。


例如,埃伯特指出,执法案件中的员工已经通过了公司的初步背景调查,以及随后每两年对员工进行的背景调查。


企业内部网络安全四大威胁,如何应对?

Michael Ebert


戈德斯坦说:“许多公司在招聘过程中进行背景调查,以确保其在加入之前,满足某些要求并接受安全培训。但是,对于可能正在经历个人生活转变或对公司及其在其中的角色产生不同感受的现有员工来说,这可能很难做到。”


戈德斯坦认为,强监管行业的公司在这方面占有一席之地,因为合规要求迫使安全和人力资源部门更紧密地合作,以识别可能构成威胁的员工,并制定适当的政策和程序来处理这种情况。


但戈德斯坦承认,这是一项繁重的工作,可能会在许多公司中引发道德问题。他对发问:“那么,你如何平衡保护公司资产和不采取老大哥式的监控员工的方法?”


戈德斯坦建议CISO运行涉及内部威胁的沙盘演习。比如问:如果黑客获得了这个人的凭据怎么办?然后将其提交给高管,以帮助他们了解风险所在。


Dury走得更远,他说CISO应该与其他部门主管,尤其是人力资源部门合作,以识别和了解哪些行为或活动可能表明某人存在风险。“每个公司职能部门都有一个角色,这种类型的程序不应该在孤岛中完成。


但Dury和一些专家也告诫不要过分重视安全措施,以应对任何特定角色或角色带来的风险。相反,他们说要考虑潜在的情况并评估控制层,以确保它们尽可能有效地防止任何个人(无论动机或环境如何)造成伤害。


戈德斯坦解释说:“你必须看个人,对个人风险进行额外分析,可以帮助你了解风险是什么,以及到位的控制措施是否足够,或者是否有可以进行更多投入人力物力财力的领域。”


埃伯特再次指出一些执法案件以强调这一点,并指出,根据他所看到的情况,如果他们更好地监控员工的活动,公司可能会预防或减少损害。


企业内部安全威胁该当何解


如今,网络环境愈发复杂,企业数字化程度也越来越高,加上疫情肆虐,远程办公、异地办公的方式,安全边界肆意拓宽,攻击面倍速增大,使得企业内部安全面临更为复杂的环境。


那么,企业该如何对内部威胁进行有效监管,防止来自内部的损害呢?据业内安全专家实践经验总结得出,大概有以下四种内部威胁的方式,可能对企业信息安全造成威胁:


1、蓄意破坏的员工(含在职与离职);

2、被勒索病毒攻击;

3、安全意识薄弱的管理员;

4、第三方安全风险。


企业内部网络安全四大威胁,如何应对?


对于这四大内部威胁,业内专家也给出了应对威胁的最佳实践方法:


一、蓄意破坏的员工(含在职与离职)


任何运转多年的企业,都会有在职与离职员工。员工往往心态复杂,可能会因为某些工作,对企业产生怨忿与不满,或出于谋求个人利益乃至纯粹为了好玩,继而可能会产生一些报复、泼坏企业信息安全的行为。


比如会删除关键资料、重要文件,篡改后台密码等。尤其是那些拥有特权访问权限的现任员工和离职或被解雇后仍拥有访问权限的前任员工,还可能会窃取知识产权、专有数据、商业机密和源代码等资产。甚至可能会将重要的信息泄露给竞争对手。


当然,有一部分人是恶意目的,比如窃取电子邮件地址和客户联系名单,也可能是无意,比如离职时将其所从事项目的成果据为己有。还有一部分员工可能涉及贿赂或勒索,协助外部攻击者窃取信息或实施攻击。


解决办法:


在面试之前,就做好相关行为规定告知,并在日常工作中进行监督,加强工作透明度,经常保持沟通和协作;定期举办网络安全培训,并密切关注用户行为,及时发现异常活动和行为变化,以便及时应对。


对于离职员工,应及时停止其之前拥有公司的所有权限,确保其知道不能带走公司财产,以及违规后需要承担的责任后果。


企业需要密切关注下载过多数据的员工。应使用最小特权原则来限制员工可以访问哪些应用程序、网络和数据。还可以使用监控机制、零信任网络访问和行为分析等来检测异常活动。


二、被勒索病毒攻击


勒索病毒攻击的目的,就是为了获取企业某部分权限,最终达到信息数据获取、加密的目的。窃取合法用户登录信息的攻击者是导致数据泄露的主要原因之一。


企业权限账户信息往往通过如下途径泄露出去:网络钓鱼和社会工程学伎俩、暴力攻击、登录信息泄露、击键记录程序、中间人攻击、字典攻击、撞库、密码喷洒攻击等。信息泄露,或可导致恶意软件感染、数据泄露和勒索软件攻击等。


解决办法:


企业可以选择一些电子邮件安全的相关软硬件产品、电子邮件安全网关、电子邮件过滤来缓解这一状况。对于员工来说,定期的电子邮件、网站访问、文件传输中的防范与警惕性训练也是至关重要。


此外,应该要求用户使用强密码/密码短语,并确保公司密码策略已明确了这些要求;要求用户使用多因子或双因子身份验证,采用特权访问管理和最小特权原则(principle of least privilege ,简称“POLP”),并定期审查访问以验证用户的访问权限。此外,企业还应向员工介绍网络钓鱼诈骗的警示信号等,以提高其防范意识。


三、安全意识薄弱的管理员


对于这部分人而言,违反公司规定、规则,对公司信息安全造成威胁,并非他们本意。只是在日常工作过程中,文件传输、无线网络使用、信息发布、邮件发布等操作,无意地疏忽或被利用,导致对企业内部信息安全构成威胁。


还有些it管理员,因各种缘故有意或无意无视企业安全措施,往往使用影子IT、不安全地共享文件、不安全地使用无线网络、将信息发布到讨论板和博客、打补丁不当、忽视安全策略、通过电子邮件和即时通讯(IM)泄露公司数据等,给企业带来潜在威胁。


解决办法:


个人信息安全意识薄弱,那就需要企业来进行科学地引导,定期的网络安全意识培训非常重要。通过监控影子IT、实施安全文件共享最佳实践和权限、使用基于客户端或服务器的内容过滤、坚持使用补丁最佳实践、要求通过VPN或零信任框架实现安全的网络连接、使用Wi-Fi保护访问3(Wi-Fi Protected Access 3)以及禁用不需要的蓝牙等安全措施,来管理员工的网络行为。


四、第三方安全风险


有权访问企业系统的第三方(如承包商、兼职员工、供应商、服务提供商和客户),可能会对敏感数据构成重大风险。第三方攻击又称为供应链攻击或价值链攻击,其对企业敏感信息拥有巨大的潜在威胁。


解决办法:


企业应确保第三方值得信赖,需查看第三方背景,确保对方可靠后才允许其访问;应落实完备的第三方风险管理计划;通过最小特权原则限制第三方访问;定期审核第三方账户,以确保工作完成后系统权限被终止;使用监控工具检测第三方威胁。




编译原文

Mary K. Pratt(Contributing writer, CSO):《Who is your biggest insider threat?》




参考资料

aqniu:《企业常见内部威胁的类型与应对方法》


信息安全那些事:《CIO必看!高科技企业内部威胁常见类型及处理办法》



企业内部网络安全四大威胁,如何应对?
企业内部网络安全四大威胁,如何应对?

齐心抗疫 与你同在 企业内部网络安全四大威胁,如何应对?



企业内部网络安全四大威胁,如何应对?

点【在看】的人最好看


企业内部网络安全四大威胁,如何应对?



原文始发于微信公众号(安在):企业内部网络安全四大威胁,如何应对?

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月20日07:35:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   企业内部网络安全四大威胁,如何应对?http://cn-sec.com/archives/927868.html

发表评论

匿名网友 填写信息