Imperva最近的一项调查发现,只有18%的优先支出用于专门的内部威胁计划(ITP),而25%的支出集中在外部威胁情报上。企业需要担心的不仅仅是怨恨——大多数内部事件本质上都是非恶意的。在他们的2022年全球内部威胁成本报告中,Proofpoint和PonemonInstitute发现粗心或疏忽行为占所有事件的56%,而且这些往往也是成本最高的,平均清理行动的成本为660万美元。补救失败的部分问题在于认知:一份Forrester报告发现,近三分之一的受访者并不认为员工是一种威胁。但众所周知,防止此类事件也很困难,因为您本质上是在寻求控制对您数据的合法访问。减轻这些威胁不仅要提高安全性,还要检测用户行为中的潜在危害指标(IoC),因此大多数企业依靠员工培训来解决这个问题。然而,如上图所示,仅靠培训往往是不够的。同一份Forrester报告发现,虽然65%的人通过员工培训来确保遵守数据保护政策,但55%的人表示他们的用户已经找到了规避这些政策的方法。其他人表示,他们依靠单点解决方案来预防事故,43%的人使用数据丢失防护(DLP)来停止操作,29%的人通过SIEM进行监控(尽管这些系统仍然可以在不被发现的情况下泄露数据)。问题在于网络安全和员工监控都没有考虑到促使足智多谋的员工求助于变通办法的压力因素。虽然预防总是胜于治疗,但当前处理内部威胁的方法过于强调其方法。因此,对于发现内部威胁(恶意或非恶意)时应采取的措施并没有给予足够的重视。因此,虽然培训和网络安全控制确实可以发挥作用,但两者都需要成为更广泛的事物的一部分:ITP。ITP协调不同业务部门的政策、程序和流程,以应对内部威胁。它被广泛认为是减轻内部威胁的关键,但在接受Forrester调查的人中,只有28%的人声称拥有这种威胁。这样做的原因是许多企业发现建立一个令人生畏的。除了让人们参与进来和制定政策之外,企业还需要清点他们的数据并找到数据源,确定如何监控行为、调整培训计划、进行调查以及如何定期评估ITP本身。入门首先,需要一名经理和专门的工作组来帮助指导ITP。成员需要有明确的角色和责任,并同意道德准则和/或签署保密协议。这是因为有许多与员工隐私和监视相关的法律,以及在制定和执行政策时必须考虑的法律考虑和顾虑。该工作组的首要工作是制定一项行动计划并制定高级版本的内部威胁政策。然后,他们需要考虑如何清点和访问内部和外部数据源,为此,团队需要熟悉特定数据集的记录处理和使用程序。一旦创建了收集、整合和分析数据所需的流程和程序,就应根据数据的使用目的对数据进行标记,从而可能与隐私调查相关。(有趣的是,据Forrester称,近58%的影响敏感数据的事件是由内部威胁引起的。)考虑您是否会使用技术来监控最终用户设备、登录等,并通过签署的协议来验证信息系统的安全性记录这个。潜在的危害指标(IoC)可能包括数据库篡改、不当共享公司机密信息、文件删除或查看不当内容。当此类行为曝光时,谨慎是至关重要的,任何调查都需要做到无懈可击和站得住脚,因为这可能会导致法律诉讼。可防御的数字取证ITP还应详细说明企业如何响应和调查事件。考虑调查是否是内部调查,什么时候需要让外部代理人参与,以及需要通知谁。用于调查的数据将保存在哪里?资料会保存多久?虽然保留相关信息很重要,但您不希望陷入保留过多信息的陷阱,因为这会增加风险,这意味着ITP也应与数据相关联最大限度地减少政策重叠。应使用数字取证工具来执行ITP。您需要决定如何主动管理内部威胁,以及这些工具是仅用于事后分析还是秘密使用。例如,一些拥有高价值资产的企业会进行扫描,以确定员工离职时数据是否遭到泄露。您还应该确保这些工具可以远程定位端点和云源,即使它们没有连接,并且应该与操作系统无关,以便您可以在Mac和PC上捕获数据。数字取证可确保任何不当行为都能被迅速发现和调查。例如,它可以确定用于将数据从公司信息资产泄露到任何设备、端点、在线存储服务(例如GoogleDrive或Dropbox),甚至通过社交媒体平台发布的日期、时间和路径。一旦追踪到数据,就可以缩小可能的嫌疑人范围,直到团队拥有无可争辩的证据。调查方法和证据本身都必须无可非议且在法律上站得住脚,因为此类事件可能导致解雇甚至起诉。如果在法庭上受到质疑,企业将需要表现出尽职调查,因此在处理保护性证据时必须有一个法证上可靠且可重复的流程和适当的监管链。留住员工员工支持也是成功的关键。该政策应在隐私、财务甚至物理影响方面传达妥协的风险,以便员工了解所涉及的风险。但也应该有一个流程让用户能够报告行为IoC。指南应规定如何以及何时通过特定渠道报告IoC,即通过电话线、电子邮件、DropBox等。还应记录意识培训的完成情况。ITP需要进行测试,但最好不要与实际事件结合使用。相反,应该进行内部威胁风险评估,以识别安全控制和业务流程中的漏洞,或评估数据泄露的难易程度以及数字取证流程的执行情况。考虑如何将内部威胁管理引入其他安全策略,例如涵盖BYOD的策略,并确保受信任的业务合作伙伴和分包商也接受内部威胁风险评估。最后,请记住,随着新流程的上线和数据源的添加,该策略需要进行调整和更改。这样做的关键是保持准确的数据清单,并确保您的数字取证工具为您提供足够的空间来应对新技术和/或渗透途径,但您也可以将您的计划与您所在行业的其他企业进行比较基准。实施内部威胁计划的目的是确保不仅业务、其数据或流程受到保护,而且其员工也受到保护。隐蔽的监控工作流程允许更准确地标记IoC,有助于防止事件升级。但是,当不可想象的事情发生并且毫无戒心的员工确实暴露了敏感数据时,拥有记录该事件的强大、可防御的流程可以更轻松地进行数字取证调查并快速结案。
