研究公司ForresterResearch最近发布的一份调查报告显示,只有18%的公司将安全支出优先用于建立专门的内部威胁计划,而25%的公司将支出用于抵御外部威胁.企业需要担心的不仅仅是少数可能心怀不满的员工;大多数内部威胁事件本质上都是良性的。根据Proofpoint和PorlomonInstitute在其“2022年全球内部威胁成本报告”中的说法,粗心或疏忽行为占所有安全事件的56%,而这些往往是代价最高的安全事件。660万美元。修复失败的部分问题在于安全认知:ForresterResearch的一份报告发现,近三分之一的受访者不认为员工是威胁。但众所周知,防止此类事件也很困难,因为企业本质上是在寻求控制对数据的合法访问。减轻这些威胁不仅要提高安全性,还要检测用户行为中潜在的危害指标,因此大多数企业依靠培训员工来解决这个问题。然而,仅靠安全培训往往是不够的。该报告还发现,虽然65%的受访者表示他们对员工进行了培训以确保遵守数据保护政策,但55%的受访者表示他们的员工已经找到了规避这些政策的方法。其他受访者表示,他们依靠点解决方案来防止此类事件,43%的人使用数据丢失防护来停止操作,29%的人通过SIEM进行监控(尽管这些系统仍然可以在不被发现的情况下泄露数据)。问题在于网络安全和员工监控都没有考虑到促使一些员工采用变通办法的压力因素。预防永远胜于应对,现在是时候关注应对内部威胁的方法了。如果发现内部威胁(无论是恶意的还是非恶意的),企业并没有足够重视如何应对。虽然培训和网络安全控制确实可以发挥作用,但两者都需要成为内部威胁计划的一部分。内部威胁计划协调跨业务部门的政策、程序和流程,以应对内部威胁。它被广泛认为是减轻内部威胁的关键,但只有28%的Forrester调查受访者声称拥有内部威胁计划。这样做的原因是,设置内部威胁程序对许多企业来说都是一项艰巨的任务。除了让人员参与和制定政策之外,组织还需要清点数据并定位数据源、确定如何监控行为、调整安全培训计划、开展调查以及如何定期评估内部威胁计划本身。如何开始构建内部威胁计划首先,组织需要一个专门的工作组来帮助指导内部威胁计划。工作组成员需要有明确的角色和职责,并采用共同的道德准则或签署保密协议。这是因为有许多与员工隐私和监视相关的法律,以及在制定和执行政策时必须考虑的法律和问题。该工作组的首要工作是制定一项行动计划并制定高级版本的内部威胁政策。然后,他们需要考虑如何清点和访问内部和外部数据源。为此,工作组成员需要熟悉特定数据集的记录处理和使用程序。一旦创建了收集、整合和分析数据所需的流程和程序,就应根据其用途对数据进行标记,从而可能与隐私调查相关(根据调查,近58%的影响敏感数据的事件是由受内部威胁)。企业考虑他们是否会使用技术来监控最终用户设备、登录等,并通过签署的ISSA记录下来。潜在的危害指标可能包括数据库篡改、不当共享公司机密信息、文件删除或查看不当内容。当此类行为曝光时,谨慎是至关重要的,任何调查都需要做到无懈可击和站得住脚,因为这可能会导致法律诉讼。可防御的数字取证内部威胁计划还应详细说明企业将如何响应和调查事件。考虑调查是否是内部的?什么时候需要外部代理参与?需要通知谁?用于调查的数据将保存在哪里?资料会保留多久?陷入保留过多信息的陷阱,因为这会增加风险,这意味着内部威胁计划还应考虑数据最小化策略。组织应该使用数字取证工具来执行内部威胁程序。需要决定如何主动管理内部威胁,以及这些工具是仅用于事后分析还是秘密使用。例如,一些拥有高价值资产的企业会在员工离职时进行扫描,以确定数据是否已被泄露。企业还应确保这些工具即使在未连接的情况下也可以远程定位端点和云源,并且应该与操作系统无关,以便可以在各种设备上捕获数据。数字取证可确保任何不当行为都能被迅速发现和调查。例如,它可以确定用于将数据从公司信息资产泄露到任何设备、端点、在线存储服务(例如GoogleDrive或Dropbox),甚至通过社交媒体平台发布的日期、时间和路径。追踪数据后,可以缩小可能的嫌疑人范围,直到团队拥有无可争辩的确凿证据。调查的方式和证据本身都必须无可非议且在法律上站得住脚,因为此类事件可能导致解雇甚至起诉。如果在法庭上受到质疑,企业将需要表现出尽职调查,因此在保障证据处理方面必须有可靠且可重复的司法程序和适当的监管链。获得员工的支持员工的支持也是成功的关键。该政策应在隐私、财务甚至物理影响方面传达安全威胁的风险,以便员工了解所涉及的风险,但还应该有适当的流程,使用户能够报告妥协的行为指标。准则应规定如何以及何时通过特定渠道(即通过电话、电子邮件、DropBox等)报告伤害指标。还应记录培训的完成情况。内部威胁计划需要进行测试,但最好不要与实际事件结合起来。相反,应该进行内部威胁风险评估,以识别安全控制和业务流程中的漏洞,或评估数据泄露的难易程度以及数字取证流程的执行情况。考虑如何将内部威胁管理引入其他安全策略,例如涵盖BYOD的策略,并确保受信任的业务合作伙伴和分包商也接受内部威胁风险评估。最后,重要的是要记住,随着新流程的上线和数据源的添加,该策略需要进行调整和更改。这样做的关键是保持准确的数据清单,并确保企业数字取证工具为其提供足够的范围来处理新技术或渗透路径,但您也可以将您的计划与您所在行业的其他企业进行比较。实施内部威胁计划的目的是确保不仅业务、数据或流程受到保护,而且员工也受到保护。通过秘密监控工作流程,可以更准确地标记危害指标,帮助防止事件升级。但是,当不可想象的事情发生时,如果毫无戒心的员工泄露了敏感数据,那么拥有记录该事件的强大的防御流程可以更容易地进行数字取证调查并迅速解决问题。问题。
