根据Ponemon发布的调查报告,内部恶意事件会给企业造成更大的损失——平均每起事件损失755,760美元,每年损失408万美元。Code42的CISO和CIOJadeeHanson说:“今天的数据是数字化和便携的,因此很容易获得。员工和承包商有无数种方法可以将专有文档转储到可移动USB驱动器、个人Dropbox等。或G-开车,随身携带,这样你就可以从下一份工作中受益,或者为你的竞争对手提供战略优势。源代码、专利申请和客户名单是恶意内部人员最喜欢的数据。”防止恶意内部攻击的一些建议,其中一些也适用于非恶意内部事件。1、建立专业的内部风险防范团队。内部风险防护负责人需要具备员工和面试官的行为分析能力,能够高效识别潜在的恶意内部风险。而且内部风险分析涉及到每一个并肩工作的同事,所以负责内部风险的分析师要格外谨慎,不要太多,因为太多人访问别人的敏感信息本身就是一种风险。企业需要一个致力于内部风险的完整团队。然后,该团队可以将他们在整个公司和行业中观察到的情况报告给法律和人力资源,以便他们可以确定针对内部威胁的最合适的解决方案。2.准确识别和定义恶意内部人员风险类别虽然企业遇到的恶意内部人员事件各不相同,但最典型的有以下两种基本类型:一是外部威胁组织诱使内部员工交出敏感的公司数据。这种情况很明显,也更容易起诉;另一种情况不容易定义,即当员工离开公司时,安全团队在他们的私人iCloud或Google驱动器中发现私人公司数据。这种情况之所以不好界定,是因为员工会找借口说只是无心之举。这也是上述建立内部风险防范团队的重要原因之一。他们此时肯定能够判断出这个人是不是在撒谎。3、及早识别企业的风险因素内部风险防范团队需要识别企业中风险最大的人员。当涉及恶意案例时,企业中的中层网络和数据库管理员通常是需要特别注意的人,因为他们可以访问域管理路由器、路由器访问服务器以及访问公司防火墙。他们很清楚自己行为的后果,当一些不寻常的事情发生时,很可能不是偶然的。通过检查风险,可以建立更有效的防御机制。此外,安全团队还需要了解企业的??高风险数据。例如,开发人员创建的源代码文件、知识产权和客户列表等。4.让安全团队尽早参与事件解决如果公司不给安全分析师参与初始事件调查的机会,那么人力资源和法律部门可以事后不知所措。安全分析师必须有能力对嫌疑人进行初步调查。在安全分析师掌握更多事实之前,没有进一步推动案件的意义。一个高管将敏感的公司信息下载到个人拇指驱动器上的例子可能看起来很可疑,但经调查发现,该高管当时在医院,并且复制材料只是为了他的妻子打印出来,以便您可以工作在医院。在初步调查期间,安全分析师必须考虑以下问题:我对嫌疑人了解多少?他们为什么离开组织?他们在过去的60天里做了什么?行为等等。5.建立完整的内部威胁处理流程在恶意内部威胁案件中,公司最终可能会指控员工犯罪。因此,企业需要制定完整的处理此类案件的流程。如果没有安全团队、人力资源和法律部门的合作,这是无法实现的。安全分析师只是作为侦探进行初步调查,他们还需要向担任法官、陪审团和审判长的上级提供证据。制定内部风险计划的安全分析师也应该与执法部门保持联系。例如,如果分析师看到可能导致实际工作场所暴力(危及生命)的虚拟指标,他们可能会直接求助于执法部门。但对于数字案例,安全团队应与人力资源和法律部门密切合作。内部威胁计划旨在减轻有权访问组织资产的个人所带来的风险,并且该人不仅仅存在于虚拟世界中。公司需要采取整体观点,了解现实生活中可能发生的可能让他们付出金钱的事情。将两者结合起来是减轻威胁的最有效方法。6、建立健全员工行为管理制度。员工应了解公司为保护公司数据而制定的内部风险计划,并概述违规流程和处罚。大多数公司都制定了相当标准的政策,规定了可接受的使用政策以及员工应如何处理公司数据。围绕惩罚制定政策是最常见的方式。大多数公司都有基于其风险承受能力水平的政策,例如对第二次陷入钓鱼邮件并导致公司第二次丢失敏感数据的人进行处罚。“不超过三件事”的原则说起来容易,但做起来并不简单。如果员工“重复”此类事件,这可能是寻找恶意事件来源的重要信号。7.采用最新的安全技术除了上述安全建议外,组织还可以利用最新的安全技术来防止内部攻击。例如,通过使用GoogleGSuite等工具,公司可以了解员工正在访问哪些文档,防止他们下载某些类型的文档,并制定政策来执行此操作。以Code42为例。他们已将每位员工转移到云端,公司现在要做的就是管理远程访问。每个人在云中都有一个特定于工作角色的分区,唯一的风险因素是管理员。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
