内部威胁来自有权合法访问公司资产并有意或无意地滥用该资产的用户。
通过滥用访问进行的网络攻击可能会损害公司、其员工和客户。根据“2020年IBM X-Force® 威胁情报指数”,无意的内部威胁是 2019 年泄露记录数量较 2018 年增加超过 200% 的主要原因。内部人员通常知道组织的敏感数据所在的位置,并且通常具有较高的访问级别,无论他们是否有恶意。
内部攻击对于组织来说也代价高昂。在波奈蒙研究所的 2020 年内部威胁成本研究中,研究人员发现,内部数据泄露的平均年成本为 1145 万美元,其中 63% 的事件归因于疏忽。
无论是无意还是故意,内部人员都可能泄露或帮助泄露机密的客户信息、知识产权和金钱。
现任员工、前员工、承包商、业务合作伙伴或业务伙伴都是可能构成威胁的内部人员。然而,任何对公司计算机系统和数据具有适当访问权限的人也可能损害组织,包括供应商或销售商。
内部人员的动机、意识、访问级别和意图各不相同。波奈蒙研究所将内部人员认定为疏忽、犯罪或有资质的人员。Gartner 将内部威胁分为四类:小卒、失误、合作者和独狼。注:Ponemon Institute 和 Gartner 生成并向企业和政府组织提供独立的研究、咨询和教育报告。
典当是指在不知情的情况下被操纵进行恶意活动的员工。无论是下载恶意软件还是通过鱼叉式网络钓鱼或社会工程向欺诈者泄露凭据,典当都会损害组织。
傻瓜是指认为自己不受安全策略约束的无知或傲慢的用户。出于方便或无能,他们积极尝试绕过安全控制。违反安全策略,漏洞会导致易受攻击的数据和资源不安全,从而使攻击者能够轻松访问。Gartner 的报告《高级内部威胁检测的市场推广》指出,“90% 的内部事件都是由失误造成的”。
合作者与外部人(例如公司的竞争对手或民族国家)合作实施犯罪。他们利用其访问权限窃取知识产权和客户信息或造成业务运营中断,通常是为了经济或个人利益。
此外,通常为了经济利益,独狼会在没有外部影响或操纵的情况下独立而恶意地行动。当独狼拥有更高级别的特权时,例如系统管理员或数据库管理员,他们尤其危险。
如果欺诈者的目标位于受保护的系统内部,他们就会专注于获取员工的访问权限。欺诈者利用棋子和骗子进行网络犯罪。他们使用许多策略和技术来获取凭据:网络钓鱼电子邮件、水坑和武器化恶意软件等等。有了这些凭证,欺诈者就可以在系统内横向移动、升级权限、进行更改以及访问敏感数据或资金。欺诈者可以在出站通信期间使用命令和控制 (C2) 服务器从不安全的位置访问数据或信息。他们可以更改出站尝试或执行批量出站传输。
诈骗者如何攻击:
寻找漏洞
-
部署网络钓鱼电子邮件或恶意软件
-
识别恶意用户
-
获取泄露的凭据
利用访问权限
-
横向移动至所需目标
-
根据需要升级权限
-
访问资产
滥用访问
-
混淆网络活动
-
更改数据
-
窃取数据
组织可以采用不同的技术和非技术控制来改进每种内部威胁类型的检测和预防。
每种类型的内部威胁都会呈现不同的症状供安全团队诊断。但通过了解攻击者的动机,安全团队可以主动进行内部威胁防御。为了减轻内部威胁,成功的组织使用综合方法。他们可能使用以下安全软件:
-
地图可访问数据
-
建立信任机制——授予访问权限、撤销访问权限和实施多重身份验证 ( MFA )
-
定义有关设备和数据存储的策略
-
监控潜在威胁和危险行为
-
在需要时采取行动
在 2019 年 SANS 关于高级威胁的报告中,安全从业人员发现了内部威胁防御方面的重大差距。该报告发现,这些差距是由于两个领域缺乏可见性造成的:正常用户行为的基线和特权用户账户管理。这些漏洞成为网络钓鱼策略和凭证泄露的有吸引力的目标。
-
谁有权访问敏感数据?
-
谁应该有权访问?
-
最终用户用数据做什么?
-
管理员如何处理数据?
-
哪些数据属于敏感数据?
-
敏感信息是否被泄露?
-
敏感数据有哪些风险?
-
管理员可以控制特权用户对敏感数据的访问吗?
建立威胁模型后,组织将重点放在检测和修复内部威胁和安全漏洞上。
安全团队必须区分用户的常规活动和潜在的恶意活动,以检测内部威胁。为了区分活动,组织必须首先缩小可见性差距。然后,他们应该将安全数据聚合到集中式监控解决方案中,无论是 安全信息和事件管理 (SIEM) 平台的一部分 还是独立的用户和实体行为分析 (UEBA) 解决方案的一部分。许多团队从访问、身份验证和帐户更改日志开始。然后,随着内部威胁用例的成熟,他们将范围扩大到其他数据源,例如虚拟专用网络 (VPN) 和端点日志。
组织必须采用特权访问管理 (PAM) 解决方案,并将有关特权帐户访问的数据从该解决方案馈送到其 SIEM 中。一旦组织集中了信息,他们就可以对用户行为进行建模并分配风险评分。风险评分与特定的风险事件相关,例如用户地理位置变化或下载到可移动媒体。分配风险评分还使安全运营中心 (SOC) 团队能够监控整个企业的风险,无论是创建观察列表还是突出显示组织中风险最高的用户。
有了足够的历史数据,安全模型就可以为每个用户创建正常行为的基线。该基线指示用户或机器的正常操作状态,以便系统可以标记偏差。应跟踪单个用户的偏差,并与同一位置、具有相同职位或工作职能的其他用户进行比较。
通过采用以用户为中心的视图,安全团队可以快速发现内部威胁活动并从集中位置管理用户风险。例如,用户行为分析可以检测在一天中的不寻常时间或从不寻常位置进行的异常登录尝试或多次失败的密码尝试,并根据分析人员的验证生成适当的警报。换句话说,任何行为异常都将有助于识别用户何时成为恶意内部人员或外部攻击者是否已泄露其凭据。
经过验证后,安全编排、自动化和响应 (SOAR) 系统可以创建内部威胁补救工作流程。然后,剧本可以指定需要进行哪些补救。潜在的补救措施可能包括使用 MFA 挑战内部人员或撤销访问权限,这两种方法都可以在身份访问管理 (IAM) 解决方案中自动完成。
随着在家工作和远程工作实践的扩大,安全威胁不断增加且变得更加复杂。因此,远程工作从根本上改变了安全优先事项并改变了安全措施。这种安全转变给安全团队带来了新的挑战:
-
由于行为变化和攻击面增加,总体安全事件增加
-
网络钓鱼攻击增加
-
未连接到 VPN 的端点和服务器缺乏可见性
-
由于工作时间不规律、地点不同以及网页浏览行为变化而导致的员工行为变化
-
SaaS 应用程序使用增加且缺乏可见性
首席信息安全官 (CISO) 必须应对 IT 安全在企业网络之外的快速变化。CISO 团队必须更好地了解远程员工的独特行为以及远程工作对内部威胁检测的影响,以有效保护公司资产。为了应对远程劳动力挑战,CISO 必须能够回答以下问题:
-
我们如何验证登录企业虚拟专用网络 (VPN) 的人是员工,而不是使用被盗凭据的攻击者?
-
我们如何验证员工的异常行为不是远程工作的结果?
-
我们如何帮助员工保护连接到开放且不安全的互联网位置(例如咖啡店)的安全?
通过了解远程工作人员的行为,安全团队可以检测可能表明凭证泄露或恶意意图的异常行为。他们通常可以在员工造成潜在损害之前在 VPN 边界检测到这些行为。在外围,CISO 应确定他们当前的内部威胁能力是否使他们能够:
-
获得对访问、身份验证和 VPN 日志的适当可见性。
-
确定员工凭证是否同时在两个地方使用或在不寻常的地理位置使用。
-
确定员工是否在主要员工所在城市的正常工作时间之外使用凭据,或者连接持续时间是否比平时更长。
-
通过 IAM 终止连接、阻止设备并撤销凭证。
假设攻击者设法逃避外围检测并位于组织网络内部。在这种情况下,安全团队应通过查找多个受损凭证或滥用指标来验证威胁。
安全团队可以通过多种方法(通常在机器学习的帮助下)获取内部威胁指标。这些方法可以帮助确定访问是来自合法员工还是凭证窃贼。在组织的网络中,CISO 应评估其当前的内部威胁能力是否使他们能够:
-
对不同的标准活动模式和频率进行建模以检测基线偏差。偏差可能表明滥用,无论是有意还是无意。
-
通过给定日期的出站通信尝试或连接数量来监视数据泄露尝试。如果员工的出站通信数量激增,则可能建议密切监控该用户的凭据。
-
识别给定员工的大量异常数据传输。监控聚合数据传输可以提供简单而强大的早期妥协指示。
-
检查端点完整性是否存在可疑应用程序,这可能表明恶意软件活动。通过识别新进程或应用程序执行,您可以遏制恶意软件并降低组织的安全风险。
通过主动调整其计划以补偿员工行为的变化并最大限度地提高现有工具投资,安全团队可以更好地保护企业网络。
|
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论