今天我们来看看来自网络外部的数字威胁,其中有一个主要风险:来自网络本身的威胁。“内部威胁”是什么样子的?他们是什么类型,他们如何成长以及组织如何抵御他们。我们还将查看一些最近的示例,以帮助我们更好地了解内部威胁的工作原理。Threat"title="InsiderThreat">什么是内部威胁?简而言之,内部威胁是源自组织内部的安全风险。这种威胁可能来自事件发生时的员工、管理层、或来自与组织直接相关的人员其他人员。它也可以来自顾问、前雇员、业务合作伙伴或董事会成员,他们可能具有访问重要数据的必要职能和特权。当然,重要的是要记住,并非所有内部威胁生而平等。其中一些行为者会怀有恶意,而另一些行为者会无意中损害组织的数字安全。这些不同的动机解释了为什么会出现不同类型的内部威胁。安全情报确定了五个主要类别:尽管进行了安全意识培训,但非-响应者继续成为网络钓鱼测试的牺牲品,行为疏忽。疏忽的内部人员行为有安全意识记住,但他们会犯孤立的错误,并经常误判与数字安全问题相关的情况;内部勾结并不常见;在这种情况下,恶意内部人员与外部攻击者合作,对目标组织进行掠夺;持久的恶意内部人员是一种内部犯罪威胁,他们访问敏感的业务资产并窃取数据,目的是持续获得经济利益;心怀不满的员工比顽固的恶意内部人员更受限制。他们故意进行短期破坏或盗窃知识产权。最近四起涉及内部人员威胁的事件:内部人员威胁通常是小事件,其中员工窃取其当前公司的数据,接受竞争对手公司的职位,然后出售该信息以帮助新雇主获得竞争优势。然而,有些在性质上要大得多,并引起媒体的关注。以下是最近成为头条新闻的四次内部威胁攻击:菲利普斯研究中心:2019年2月,ClearanceJobs报告称有人滥用俄克拉荷马州巴特尔斯维尔菲利普斯66研究中心材料科学家的身份窃取了数百份文件,其中一些文件这与在研究中心工作时使用的一箱价值10亿美元的技术产品有关。CapitalOne:《纽约时报》于2019年7月报道称,一名软件工程师破坏了CapitalOne拥有并由亚马逊网络服务(AWS)托管的服务器。33岁的PaigeThompson来自华盛顿州西雅图市,她利用她在AWS的工作渗透服务器并窃取了该银行1亿多客户的个人信息。通用电气:在2019年10月的一份报告中,CrowdStrike透露,中国政府对西方航空航天制造商进行了数字间谍活动。该活动涉及与GE内部人员以及其他公司内部人员勾结,以帮助中国政府获得必要的知识,帮助其建造C919商用客机。Twitter:2019年11月上旬,美国司法部对35岁的AliAlzabarah和41岁的AhmadAbouammo提出起诉。指控指控两名前Twitter员工不当访问数千个用户帐户。为什么要关注内部威胁?出于多种原因,我们应该高度重视内部威胁。首先,这些类型的攻击正在增加。Verizon的《 2019年数据泄露调查报告》发现,自2015年以来,内部威胁每年都在增加,并且在最新研究分析的所有违规事件中,有三分之一的内部人员以某种形式参与其中。为支持这些调查结果,73%回复Bitglass的?的IT专业人士表示,在过去的一年里,内部攻击变得更加频繁。59%的受访者告诉Bitglass,他们的组织在过去一年中至少遭受过一次内部攻击。其次,内部威胁难以发现。回到Bitglass的报告中,只有12%的IT专业人员表示他们的雇主已成功检测到来自个人移动设备的内部威胁。这一发现与50%的调查受访者保证他们的组织能够在一天内检测到内部威胁/从内部威胁中恢复这一事实形成鲜明对比。相比之下,Ponemon的2018年数据泄露成本研究发现,识别内部泄露平均需要197天,控制内部泄露平均需要69天。考虑到它们被忽视的时间有多长,这些攻击通常代价高昂也就不足为奇了。Ponemon的2018年内部威胁成本研究发现,内部威胁平均使公司损失约200,000美元,而这些威胁总共可能使公司损失100,000美元。(在北美,翻转后的数字更高,约为200,000美元。)这些成本也在增加;埃森哲和Ponemon的2019年网络犯罪成本研究发现,从2018年到2019年,恶意内部攻击的平均成本增加了15%。组织如何抵御内部威胁正如SearchSecurity指出的那样,我们可以使用以内部人员为中心的安全策略、安全意识培训、多因素身份验证和最小特权模型来加强我们对恶意内部人员的防御。但这些控制只能到此为止。最终,我们需要能够监控网络是否存在可疑活动,例如滥用合法凭据泄露敏感信息。使用网络流量分析和文件分析以及人工智能(AI)的强大功能来发现可能表示内部威胁的异常行为。发现可能并非出于恶意但看起来异常的行为,足以让您的安全团队更深入地了解事件。因此,这些解决方案使您能够防止内部人员窃取您的敏感数据(或从根本上限制内部人员可能造成的损害),而无需让安全专业人员调查安全问题。
