对于无休无止的威胁,我们往往将过多的精力放在了外部威胁上,对内部人员可能造成的威胁却重视不足。
这可能是一种战略性的错误,因为内部人员的威胁正在上升,而且与高级的外部攻击有许多相同之处。安全团队应当能够以一种统一的方式同时解决外部人员和内部人员威胁,从而在最大程度上减少企业的总体风险。
安全专家普遍感到,内部人员威胁比外部威胁更难以检测。
内部人员拥有网络和资源的特权访问。内部人员不像外部的攻击者,恶意的内部人员不必找到漏洞、开发漏洞利用和恶意软件,或者创建隐蔽的通道来管理攻击。
其实,无论是恶意的内部人员还是高级的外部攻击者,都可以绕过防御控制。
外部的攻击者可能针对的是零日漏洞,并使用可以感知沙箱的恶意软件来渗透到网络,而恶意的内部人员只需用合法的凭据就可以登录。
不管攻击者是否获得了特权,内部和外部的威胁必须寻找并获得有价值的数据。无论是因为感染恶意软件或背叛,这些活动很容易被观察并与正常行为区分开。
因而,安全模型必须对威胁如何进入网络和进入网络后的动作保持高度警惕。通过监视网络内部主机的行为,安全团队可以快速地确定正在收集数据或在非正常时间访问资源的主机。
例如,主机是否正在访问平常并不到达的区域?有没有迹象表明数据被迁移到其它位置?当然,也许是有管理员在内部传输数据,或者将数据复制到一个外部位置(如Dropbox)。
最聪明的安全团队都知道,威胁事件往往与网络中的关键资产紧密相连。除了要理解威胁,安全团队需要知道威胁对企业的影响。在检测到威胁时,受到损害的设备会给哪些资产带来风险?可疑设备可以直接访问关键资产吗?这是安全团队必须重视的问题。
专注于网络中的关键资产可以使安全团队更容易地看出,异常行为什么时候在其最关心的资产上发生。
这些方法可以有效地检测内部和外部威胁。更为重要的是,由于明确了内部的关键资产,安全团队就不仅可以追踪威胁,还可以真正地减少威胁。
资产被窃或破坏会使企业遭受真正的破坏。几乎所有的威胁都集中于企业最宝贵的内部资产,所以安全模式也应这样。
