即使是受到雇主信任的内部人员也可能从事违反这种信任的恶意活动。在执行恶意操作时,通常会使用策略、技术和程序(TTP)。对于这些已知的TTP,将自己定位为内部威胁情报中心的MITRE认为,是时候编写一部统一的“词典”了。2月中旬,在花旗科技、微软、Crowdstrike、Verizon、摩根大通等多行业巨头的支持下,MITREEngenuity的威胁信息防御中心公布了其内部威胁知识库的设计原则和方法。恶意内部人员“独特的威胁”在TTP知识库的努力中,威胁知情防御中心的研发主管乔恩贝克提出了所有CISO都同意的观点:“恶意内部人员对组织构成了独特的威胁。威胁。”Baker的帖子还指出,重点是“IT环境中的SOC可观察到的”网络威胁和活动。与此同时,CISO们正在听取Baker的警告,不要将注意力集中在上一次重大内部威胁事件的TTP上。14种内部威胁技术TTP强调了14个不同的关注领域,包括54种内部威胁行为识别技术:ReconnaissanceReconnaissanceResourcedevelopmentResourcedevelopmentInitialaccessInitialaccessExecutionExecutionPersistentPersistencePrivilegeescalationDefenseevasionDefenseevasionCredentialaccessCredentialaccessDiscoveryDiscoveryLateralmovementCollectionCommandandcontrolCommandandcontrolInfiltrationExfiltrationImpactImpact人们通常认为,那些受信任的内部人员可能永远不会暴露在检测内部威胁的雷达中,但MITRE的努力恰恰证明,即使内部人员做了一些破坏性的行为,也可以被检测到信任关系。内部威胁的常见策略该程序的设计原则巧妙地包含了对每个TTP和焦点所需技能的评估我们了解实际发生的事情,而不是假设发生的事情。他们的研究得出结论,内部威胁通常使用简单的TTP来访问和泄露数据。内部威胁通常利用现有的访问权限来促进数据窃取或其他恶意行为。内部威胁行为者通常会在渗透之前“准备”他们打算窃取的数据。外部/可移动方式仍然是常见的渗透渠道。电子邮件仍然是一个常见的渗漏渠道。云存储既是内部收集的目标,也是常见的渗漏渠道。然后,基于这些推断,他们以“使用频率”为权重,为每一种威胁技术分配了“频繁”、“中等”和“不频繁”的标签,以帮助开发人员针对每种技术被使用的可能性进行排序,并确保那些涵盖了更频繁出现的技术。随附的GitHub文档旨在帮助团队对他们的体验进行分类。资源有限的组织应重点关注“大概率”事件,在条件允许的情况下适当覆盖“小概率”事件。根据Baker的说法,专注于所有突发事件(尽管不那么现实)虽然具有创造性,但“可能会导致失去对防御内部威胁的程序和SOC的关注。”对此,他引用了腓特烈大帝的名言:“守卫一切的人,什么也守不住”。由此可见,CISO们应该使用性价比最高的产品。关注最有可能的内部威胁场景虽然国家贿赂很有可能发生,但更可能是恶意的内部行为。因为它对个人和职业上的内部威胁都有好处。这些内部人员的恶意行为包括个人收集信息以支持自己的发展、出售手头的商品(他们雇主的知识产权和商业秘密),或者将信息/数据用作他们下一份工作的垫脚石。创建TTP知识库和社区的目的主要是为了确保“内部威胁行为者不能再在合法权限的幌子下运作,并在内部威胁造成重大损害或给组织带来麻烦之前检测到它们。”这将通过全行业共享管理流程和应用程序、网络研讨会和会议来实现。在这些会议中,将分享用例,“冠军”也可以互相学习。虽然围绕内部威胁网络活动的数量设计结构是有意义的,但CISO应该最低限度地审查MITRETTP的适用性,着眼于确定如何采用该理念将自己定位在所有实体社区中,朝着统一的方向发展为了阻止恶意的内部人员。点评与外部攻击相比,内部威胁往往是影响企业运营安全和数据安全的主要原因。通过识别恶意的内部行为以及谁可以执行这些行为,组织可以在威胁行为发生之前采取行动。俗话说“知己知彼,百战不殆”。有效的网络安全防御措施依赖于对攻击者的策略、技术和过程的识别和响应。了解对方常用的TTP并构建灵活的防御措施,可以使安全团队变被动为主动,最大限度地降低内部人员带来的风险。
