根据Ponemon根据发布的调查报告,内部恶意事件将给企业造成更大的损失——每起事件平均损失755760美元,每年损失408万美元。Code42公司CISO兼CIO Jadee Hanson表示:“今天的数据大多是数字和便携式的,所以很容易得到它。员工和承包商有无数的方法将专有文件转移到移动文件中U盘、个人Dropbox或G-Drive并随身携带,以便在下一份工作中受益或为竞争对手提供战略优势。其中,源代码、专利申请和客户名单都是恶意内部人青睐的数据。”
以下是一些防止恶意内部人员攻击的建议,其中一些也适用于非恶意内部事件。
1. 建立专业的内部风险防护团队
内部风险防护负责人员需要具备对员工和面试者的行为分析技能,能够高效识别潜在的恶意内部风险。而且内部风险分析涉及到每个并肩工作的同事,所以负责内部风险的分析师要格外谨慎且不宜过多,因为太多人访问他人的敏感信息,本身也是一种风险。
企业需要一个致力于内部风险的完整团队。然后,团队可以向法律和人力资源部门报告他们在公司和行业的观察,以确定最合适的解决方案来应对内部威胁。
2. 准确识别和界定恶意内部风险类别
虽然企业遇到的恶意内部事件不同,但最典型的是以下两种基本类型:
一是外部威胁组织引诱内部员工以丰厚的报酬交出敏感的公司数据。这种情况非常明确,更容易起诉;另一种情况不容易定义,即员工离职时,安全团队在其私人iCloud或Google drive发现有企业隐私数据。这种情况之所以不容易定义,是因为员工会以无意为借口推卸责任。这也是建立内部风险防护团队的重要原因之一。他们必须能够判断这个人是否在撒谎。
3. 尽快发现企业的风险因素
内部风险保护团队需要确定企业中风险最大的人员。当涉及到恶意案件时,企业中级网络和数据库管理人员通常需要特别注意,因为他们有权访问域管理路由、服务器路由和公司防火墙。他们清楚地知道自己的行为的后果,一旦出现异常情况,就更有可能并不奇怪。
通过审视风险,可以建立更有效的防御机制。此外,安全团队还需要了解企业的高风险数据。例如,开发人员创建的源代码文件、知识产权和客户名单。
4. 让安全团队尽快参与事件处理
如果公司不给安全分析师参与初步事件调查的机会,那么未来的人力资源和法律部门可能会很忙。安全分析师必须有能力对嫌疑人进行初步调查。在安全分析师掌握更多事实之前,进一步推进案件是没有意义的。
举个例子,一位高管将敏感的公司信息下载到个人U在磁盘上,这件事看起来很可疑,但经过调查,发现高管住院了,复制材料只是为了让妻子帮忙打印,以便在医院工作。
在初步调查过程中,安全分析师必须考虑以下问题:我对嫌疑人了解多少?他们为什么要离开这个组织?他们在过去60天里做了什么?他们是否有犯罪记录,或违反职业道德等。
5. 建立完整的内部威胁处置过程
在恶意内部人员案件中,企业最终可能会指控员工犯罪。因此,企业需要制定完整的处理过程。如果没有安全团队、人力资源和法律部门的合作,就无法实现这一点。安全分析师的初步调查只是侦探,他们还需要向法官、陪审团和法官提交证据。
建立内部风险计划的安全分析师也应与执法部门保持联系。例如,如果分析师看到虚拟指标可能导致实际工作场所的暴力(危及生命),他们可能会直接向执法部门寻求帮助。但对于数字案例,安全团队应与之合作HR与法律部门密切合作。
内部威胁计划旨在降低有权访问组织资产的个人风险,而这个人不仅存在于虚拟世界中。公司需要从整体的角度来看待和理解现实生活中可能造成的损失。两者的结合是减少威胁最有效的方法。
6. 制定完善的员工行为管理制度
员工应了解公司制定的内部风险计划,旨在保护公司数据,总结违规程序和处罚。
大多数公司都制定了相当标准的政策,规定了可接受的使用政策和员工应该如何处理公司数据。围绕惩罚制定政策是最常见的方式。大多数公司都根据自己能承受的风险水平制定了政策。例如,如果有人第二次陷入钓鱼邮件陷阱,第二次导致公司丢失敏感数据,他们将受到相应的惩罚。
“事不过三”说起来容易,实践起来不容易。如果员工在这样的事件上“屡禁不止”,这可能是寻找恶意事件来源的重要信号。
7. 采用最新的安全技术
除上述安全建议外,企业组织还可以使用最新的安全技术来防止内部攻击。例如,使用图像Google G Suite公司可以知道员工在访问哪些文档,防止员工下载某些类型的文档,并制定相关政策来实现这一目标。
以Code42例如,他们已经将每个员工转移到云端,公司现在要做的就是管理远程访问。每个人在云中都有一个特定的分区,唯一的危险因素是管理员。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章