信息來(lái)源:企業(yè)網(wǎng)
多年以來(lái),安全工作的主要目標(biāo)一直關(guān)注保護(hù)環(huán)境的邊緣位置——即確保外部人員無(wú)法獲得訪問(wèn)權(quán)并借此實(shí)施惡意活動(dòng)����。然而統(tǒng)計(jì)數(shù)據(jù)證明,企業(yè)內(nèi)部存在的風(fēng)險(xiǎn)往往更高��。正因?yàn)槿绱?��,相?dāng)一部分合規(guī)性法規(guī)要求監(jiān)控系統(tǒng)能夠識(shí)別并清除內(nèi)部威脅。根據(jù)Forrester公司的統(tǒng)計(jì)�,58%的安全違規(guī)行為源自?xún)?nèi)部事件或者與業(yè)務(wù)合作伙伴相關(guān)。IBM公司發(fā)布的2015年網(wǎng)絡(luò)安全情報(bào)索引亦指出����,55%的攻擊源自企業(yè)內(nèi)部人員。
在今天的文章中���,我們將共同了解ObserveIT公司CEO Mike McKee針對(duì)內(nèi)部威脅因素給出的七步走式應(yīng)用戰(zhàn)略��。
建立主動(dòng)內(nèi)部威脅管理計(jì)劃
建立這一計(jì)劃的核心元素包括:
一支跨部門(mén)團(tuán)隊(duì)����,涵蓋人力資源、IT����、企業(yè)識(shí)別與領(lǐng)導(dǎo)層。
實(shí)施員工培訓(xùn)以普及并強(qiáng)化安全政策���。在違規(guī)事件出現(xiàn)時(shí)發(fā)布實(shí)時(shí)通知應(yīng)成為網(wǎng)絡(luò)安全教育計(jì)劃的主要內(nèi)容�。
建立用戶(hù)活動(dòng)監(jiān)控方案�,負(fù)責(zé)追蹤特權(quán)用戶(hù)、高風(fēng)險(xiǎn)員工����、遠(yuǎn)程供應(yīng)商活動(dòng)——以及其他任何有權(quán)訪問(wèn)您系統(tǒng)與數(shù)據(jù)的人員。其應(yīng)能夠追蹤并對(duì)風(fēng)險(xiǎn)及行為進(jìn)行可視化處理��,從而確保管理人員更快檢測(cè)到內(nèi)部威脅�����。
關(guān)注特權(quán)
明確記錄事件發(fā)生前����、期間與之后曾出現(xiàn)的事件或警報(bào)�����。這將有效縮短修復(fù)前平均時(shí)間并提供確鑿的相關(guān)證據(jù)�,這一點(diǎn)對(duì)于實(shí)施應(yīng)對(duì)舉措至關(guān)重要����。
企業(yè)通常能夠很好地掌握服務(wù)器統(tǒng)計(jì)信息,包括訪問(wèn)日志�、性能�����、正常運(yùn)行時(shí)間以及系統(tǒng)事件���。但在另一方面�,企業(yè)往往很難了解誰(shuí)有權(quán)直接訪問(wèn)服務(wù)器�����。因此應(yīng)創(chuàng)建憑證登錄(避免使用一般性登錄機(jī)制)��,并利用IT申請(qǐng)系統(tǒng)以確保全部服務(wù)器活動(dòng)皆處于可控范圍之內(nèi)。
定期審查員工訪問(wèn)控制機(jī)制
如果員工無(wú)需訪問(wèn)特定帳戶(hù)����,請(qǐng)及時(shí)撤銷(xiāo)其相關(guān)權(quán)限。另外�,請(qǐng)考慮限制在企業(yè)帳戶(hù)之上使用遠(yuǎn)程登錄應(yīng)用程序或者云存儲(chǔ)應(yīng)用。
部分企業(yè)每年執(zhí)行一次此類(lèi)審查�,但更高頻度的審查活動(dòng)(每季度或者每月)能夠更好地緩解內(nèi)部威脅問(wèn)題。
監(jiān)控全部數(shù)據(jù)滲出點(diǎn)
應(yīng)通過(guò)用戶(hù)活動(dòng)監(jiān)控與重播記錄管理來(lái)自計(jì)算機(jī)的大規(guī)模打印事務(wù)�����、USB數(shù)據(jù)過(guò)濾���、云存儲(chǔ)上傳�����、面向個(gè)人郵箱的數(shù)據(jù)發(fā)送或者通過(guò)即時(shí)通訊軟件進(jìn)行的文件發(fā)送——而非事件日志——從而梳理來(lái)自計(jì)算機(jī)的調(diào)查結(jié)果����。只需要簡(jiǎn)單按下重播按鈕�����,我們即可對(duì)這些數(shù)據(jù)滲出點(diǎn)進(jìn)行快速監(jiān)控及調(diào)查。
了解用戶(hù)為何要安裝/卸載軟件
企業(yè)利用虛擬桌面�����、非永久性鏡像及各類(lèi)軟件管理工具及帳戶(hù)以控制已安裝應(yīng)用程序��。在多數(shù)情況下����,這些集中式管理方法無(wú)法提供與用戶(hù)意圖及基本業(yè)務(wù)需求相關(guān)的信息。內(nèi)部威脅管理技術(shù)能夠消除這些明顯空白����,并允許企業(yè)了解人們的行為是否可能引發(fā)風(fēng)險(xiǎn)。
高度關(guān)注高風(fēng)險(xiǎn)用戶(hù)
無(wú)論是通過(guò)當(dāng)面對(duì)話(huà)還是在桌面環(huán)境上設(shè)置通知橫幅���,總之企業(yè)應(yīng)提醒高風(fēng)險(xiǎn)用戶(hù)其正在受到監(jiān)控。在多數(shù)情況下����,這能夠有效阻止其從事惡意活動(dòng)。員工離職時(shí)應(yīng)立即更改密碼以撤銷(xiāo)其訪問(wèn)權(quán)限����。另外,請(qǐng)確保第三方服務(wù)供應(yīng)商亦針對(duì)員工離職作出反應(yīng),即盡快取消其授權(quán)帳戶(hù)�。
確保離職員工無(wú)法掌握任何企業(yè)數(shù)據(jù)。在高風(fēng)險(xiǎn)員工離職前��,請(qǐng)認(rèn)真檢查其個(gè)人計(jì)算機(jī)�����、手機(jī)���、平板等設(shè)備上是否存在企業(yè)數(shù)據(jù)���。
速度安全調(diào)查
毫無(wú)疑問(wèn),能夠快速檢測(cè)并響應(yīng)事件與警報(bào)對(duì)企業(yè)而言至關(guān)重要���。如果缺少正確安全工具與程序的支持�,那么修復(fù)前平均時(shí)間往往將長(zhǎng)達(dá)數(shù)周���。因此��,請(qǐng)將您的用戶(hù)活動(dòng)監(jiān)控方案與其它網(wǎng)絡(luò)安全工具加以整合�����,從而確保您能夠提供確鑿的相關(guān)證據(jù)并有效縮短修復(fù)前平均時(shí)間�����。
原文標(biāo)題:How to eliminate insider threats
原文作者:Ryan Francis
