内幕威胁已经不是一个新概念,很多重大网络安全事件都是由内部因素引起的。但时至今日,企业对内部威胁的重视程度还不够,缺乏有效的应对措施和防护措施。事实上,大多数安全团队仍在事后处理内部威胁。本文总结了近年来全球知名企业发生的九起内部威胁安全事件。分析研究这些真实案例并从中吸取经验教训,将有助于组织进一步提升针对内部威胁的主动防御能力。类型一:网络钓鱼攻击者可以轻松伪装成您信任的人。据《2022年Verizon数据泄露调查报告》介绍,网络钓鱼是社会工程学相关事件的罪魁祸首,占比超过60%。此外,网络钓鱼是恶意行为者用来实现入侵的三大载体之一,另外两个是程序下载和勒索软件。代表事件:推特2020年7月中旬,推特遭遇大规模鱼叉式钓鱼攻击。网络罪犯侵入了社交网络的管理面板,控制了几个知名Twitter用户(私人和企业)的帐户,并代表他们分发假的比特币赠品。据悉,黑客冒充公司IT部门的专家联系了推特的几名远程员工,要求他们提供工作账户凭证。这些凭据帮助攻击者访问社交网络的管理员工具,重置数十名公众人物的Twitter帐户,并发布诈骗信息。防御建议制定具有明确指示的网络安全政策很重要,但还不够。组织还应定期进行培训,以确保其员工充分了解政策的关键规则,并提高他们的整体网络安全意识。如果每个员工都知道谁可以重设密码、如何以及在什么情况下需要重设密码,他们就不太可能落入攻击者的怀抱。特权帐户需要额外的保护,因为它们的所有者通常可以访问最关键的系统和数据。如果黑客能够访问这些帐户,那么对组织的数据安全和声誉来说后果可能是灾难性的。为确保及时检测和预防特权帐户下的恶意活动,组织应部署支持持续用户监控、多因素身份验证(MFA)和用户实体行为分析(UEBA)的安全解决方案。类型2:滥用特权有时,一些内部员工也会滥用授予他们的特权。一个组织中有许多特权用户,例如管理员、技术人员和经理,他们可以完全访问网络中的多个系统,甚至可以在没有任何人注意的情况下创建新的特权帐户。不幸的是,组织很难检测到特权用户何时滥用了他们的特权。此类犯罪分子通常可以巧妙地隐藏他们的行为,甚至可能误导组织的内部调查,如下文所述的UbiquitiNetworks案例。代表性事件1:UbiquitiNetworks2020年12月,UbiquitiNetworks的一名员工滥用其管理权限窃取机密数据并用于谋取私利。攻击者通过VPN服务访问该公司的AWS和GitHub服务,并授予自己高级开发人员的凭证。该员工冒充匿名黑客,告知公司“他们的源代码和产品信息被盗”,并要求支付近200万美元的赎金,以防止进一步的数据泄露。具有讽刺意味的是,该员工还参与了随后的事件响应工作。为了混淆公司的调查,他谎称外部攻击者可以访问公司的AWS资源。代表事件2:红十字国际委员会(ICRC)2022年1月,红十字国际委员会遭受严重网络攻击和大规模数据泄露。红十字国际委员会网络战顾问卢卡兹·奥莱尼克(LukaszOlejnik)表示,这可能是人道组织见过的最大规模的敏感信息泄露事件。这一事件导致超过515,000名因地缘政治冲突、移民和其他灾难而与家人分离的弱势群体的隐私数据被泄露。起初,人们认为这起事件是由于该集团的一个分包商遭到袭击而引起的。然而,后续调查显示,此次攻击针对的是红十字国际委员会的服务器。恶意行为者通过一个漏洞获得了对红十字国际委员会系统的访问权,获得了特权账户的访问权并冒充管理员来获取敏感数据。保护建议组织可以通过多种方式防止特权滥用,例如通过启用手动批准模式来保护组织最重要的特权帐户。许多组织还拥有多人使用的特权帐户,例如管理员或服务管理帐户。在这种情况下,可以使用二次身份验证来区分此类帐户下各个用户的操作。在AWS上启用用户活动监控可以帮助企业快速识别和响应可疑事件,降低关键数据从云环境中被盗的风险。此外,详细的用户活动记录和审计可以简化事件调查过程并防止肇事者误导调查人员。类型三:内部人员数据窃取内部人员在组织中通常默认受信任。通过对组织关键资产的合法访问,内部人员可以在没有监督的情况下轻松窃取敏感数据。代表事件一:电商平台Shopify2020年,知名电商平台Shopify成为内部攻击的受害者。攻击者向两名Shopify员工支付费用,窃取近200家在线商家的交易记录。他们向网络罪犯发送了敏感数据的屏幕截图和指向GoogleDrive数据的链接。根据该公司的声明,受影响商家的客户数据可能已被泄露,包括基本联系信息和订单详细信息。但Shopify还声称,没有敏感的个人或财务信息受到影响,因为攻击者无法访问这些信息。代表事件2:CashApp2021年12月,BlockCo.,Ltd.披露其子公司CashApp发生网络安全事件。一名前雇员下载了一份内部报告,其中包含超过800万名CashApp投资客户的信息。该公司没有说明这名前雇员为何能在这么长时间内访问敏感的内部数据,只是说被盗报告不包括任何个人身份信息,如用户名、密码或社会安全号码。保护建议保护组织敏感数据的第一步是限制用户对数据的访问。组织应考虑实施“最小特权”原则以补充其访问管理策略。用户活动监控和审计工具还可以帮助网络安全团队发现可疑的员工行为,例如访问与其职位无关的数据或服务、访问公共云存储服务或向私人帐户发送带有附件的电子邮件。一旦员工的合同终止,应确保有离职程序。它应该包括停用帐户、VPN访问和远程桌面访问、更改员工可能知道的访问代码和密码,以及从电子邮件组和通讯组列表中删除员工帐户。类型四:知识产权窃取商业机密是许多网络罪犯的主要目标,而知识产权是组织中最有价值的数据类型之一。绝妙的想法、创新的技术和复杂的计划为企业带来了竞争优势,因此它们成为恶意行为者的主要目标也就不足为奇了。代表事件一:英特尔近日,英特尔起诉其前员工窃取机密文件和商业机密。事件发生在2020年1月。诉讼称,瓦伦·古普塔博士(VarunGupta)在英特尔任职10年期间窃取了3900多份机密文件,并在任期的最后几天将其存放在便携式硬盘上。在被英特尔解雇后,古普塔在微软获得了管理职位。不久之后,古普塔参与了微软和英特尔关于至强处理器供应的谈判。在谈判期间,古普塔提到了英特尔的机密信息和商业秘密,为他的新雇主获取不正当的商业优势。代表事件2:Proofpoint2021年1月,Proofpoint合作伙伴的前销售总监窃取了公司的商业机密并与竞争对手共享。这些文件包含与AbnormalSecurity竞争的策略和战术,该公司是该员工离职后加入的公司。Proofpoint的法律代表声称,恶意员工尽管在到达时签署了竞业禁止协议,但还是拿走了带有私人文件的USB驱动器。代表事件三:辉瑞制药2021年10月,一名内部员工窃取了辉瑞公司的12000份机密文件,其中包括新冠肺炎疫苗和实验性单克隆癌症治疗的商业数据。辉瑞公司起诉该员工将包含商业机密的文件上传到私人Google云端硬盘帐户和个人设备。据悉,恶意员工可能想将窃取的信息传递给辉瑞的竞争对手,因为后者此前曾向辉瑞前员工提供工作机会。防御建议首先,组织需要全面了解哪些信息是最有价值的知识产权、这些信息位于何处以及实际需要访问这些信息的人员。当涉及到技术专家时,组织可能不得不让他们访问相关资源。但是,组织应该只授予他们完成工作所需的相关访问权限。通过使用高级访问管理解决方案,企业可以防止未经授权访问知识产权。组织还可以通过强大的用户活动监控和用户实体行为分析(UEBA)工具加强知识产权保护,这可以帮助组织检测网络上的可疑??活动并收集详细证据以进行进一步调查。组织还应部署复制防护或USB管理解决方案,以便员工无法复制敏感数据或使用未经批准的USB设备。类型5:供应链攻击分包商通常拥有与内部用户相同的系统访问权限。与分包商和第三方供应商合作是当今组织的常态。但是,过度允许第三方合作伙伴访问企业网络可能会产生网络安全风险。代表事件:大众汽车2021年5月,大众汽车披露,恶意行为者通过攻击大众汽车数字营销合作供应商来访问不安全的敏感数据文件。该事件影响了超过300万辆奥迪汽车。有潜在客户。虽然大部分泄露的数据仅包含客户联系方式和购买或查询的车辆信息,但约90,000名客户的敏感数据也被盗。针对该事件,大众汽车最终承诺为受影响的用户提供免费的信用保护服务。保护建议在选择第三方供应商时,企业应关注其网络安全体系和合规性。如果潜在合作伙伴缺乏实际网络安全经验,请考虑在服务级别协议中增加要求,并将分包商对关键数据和系统的访问权限限制在其工作所需范围内。为了加强对最关键资产的保护,企业可以应用多种网络安全措施,例如MFA、手动登录审批和实时特权访问管理。此外,考虑部署监控解决方案以查看谁对您的关键数据做了什么。保留第三方用户活动的记录可以实现快速、彻底的网络安全审计和安全事件调查。
