内部威胁已经不是一个新概念了。许多重大网络安全事件都是由内部因素引起的。但时至今日,企业对内部威胁的重视程度还不够,缺乏有效的应对措施。事实上,大多数安全团队只是在事后处理内部威胁。根据Ponemon最新发布的2022年《全球内部威胁成本报告》,内部威胁导致的企业安全风险正在增加。全球60%的公司将在2021年遭遇超过20次内部攻击,与2018年相比增加53%。内部威胁的范围从心怀不满的员工、勒索事件的受害者、注重安全的用户,到对敏感数据具有高级访问权限的人员和企业网络上的系统,包括系统管理员、网络工程师,甚至CISO,都可能对企业造成威胁和损害。企业如何有效监控内部威胁,防止内部破坏?以下是常见的内部威胁类型和应对威胁的最佳实践:1.安全意识薄弱的员工安全意识薄弱的员工有时被称为安全逃避者,他们有意或无意地违反规则,无视公司的安全措施。他们倾向于使用影子IT、不安全地共享文件、不安全地使用无线网络、将信息发布到讨论区和博客、不正确地应用补丁、忽视安全策略、通过电子邮件和即时消息(IM)等泄露公司数据。企业。做什么:组织应该通过监控影子IT、实施安全文件共享最佳实践和权限、使用基于客户端或服务器的内容过滤、坚持修补最佳实践、管理员工在线行为来进行网络安全意识培训并打造企业安全文化通过要求安全措施,例如通过VPN或零信任框架的安全网络连接,使用Wi-Fi保护访问3(Wi-FiProtectedAccess3),以及禁用不需要的蓝牙。2.攻击者窃取合法用户登录信息攻击者窃取合法用户登录信息是造成数据泄露的主要原因之一。合法用户的登录信息经常通过网络钓鱼和社会工程技巧、暴力攻击、登录凭据泄露、键盘记录器、中间人攻击、字典攻击、凭据填充和密码喷洒攻击而泄露。这些受损的合法用户登录有可能导致恶意软件感染、数据泄露和勒索软件攻击等。应对措施:企业可以通过适当的电子邮件安全控制、电子邮件安全网关和电子邮件过滤来缓解这种情况。应要求用户使用强密码/密码短语,并确保公司密码政策明确了这些要求;要求用户使用多因素或双因素身份验证,应用特权访问管理和最小特权原则(POLP)),并定期审查访问以验证用户访问。此外,企业还应向员工介绍网络钓鱼诈骗的警示标志,提高员工的防范意识。3.心怀不满的员工心怀不满的员工可以是现任或前任员工。这些内部人员心怀恶意,经常出于报复、破坏、个人经济利益或只是为了好玩而攻击雇主。知识产权、专有数据、商业秘密和源代码等资产也可能被拥有特权访问权限的现任员工以及在离开公司或被解雇后仍然拥有访问权限的前员工窃取。对策:在管理方面,企业可以通过员工访谈、签到、调查等方式加强透明度、沟通协作;在IT方面,企业应定期进行网络安全培训,密切关注用户行为,及时发现异常活动和行为变化。4.离职员工离职是公司面临的最大内部威胁之一,主要是因为他们可能将公司的重要信息泄露给竞争对手。这些员工可能是恶意的,例如窃取公司拥有的信息(例如电子邮件地址和联系人列表),也可能是无意的,例如离开公司去获取他们所从事项目的成果。该怎么办:企业应确保离职员工知道他们不能带走公司财产,留意下载过多数据的员工,并实施离职流程,以便在员工离职后终止访问权限。5.恶意内部威胁恶意内部威胁,也称为叛徒或同谋,利用他们的登录信息窃取信息或对外部威胁行为者进行攻击。这些内部威胁可能涉及贿赂或勒索。怎么做:组织应该使用最小权限原则来限制员工可以访问的应用程序、网络和数据。此外,监控机制、零信任网络访问和行为分析可用于检测异常活动。6.第三方威胁可以访问企业系统的第三方,例如承包商、兼职员工、供应商、服务提供商和客户,对敏感数据构成重大风险。也称为供应链或价值链攻击,第三方攻击将敏感信息和公司声誉置于风险之中。对策:企业应保证第三方是可信的,检查第三方的背景,确保对方可靠后才允许访问;实施完整的第三方风险管理计划;通过最小权限原则限制第三方访问;定期审核第三方账户,确保系统权限在工作完成后被终止;使用监控工具检测第三方威胁。参考链接:https://www.techtarget.com/searchsecurity/tip/Five-common-insider-threats-and-how-to-mitigate-them。
