当在涉及到安全威胁时,人们通常会将重点放在部署大量攻击的外部黑客身上,包括特洛伊木马,网络钓鱼攻击和APT等。然而,对于企业来说,现在可能是时候停止仅仅从外部去考虑那些可能潜伏在其网络中的来自员工的内部威胁了。根据《2016年内部威胁聚焦报告》显示,74%的组织认为自己容易受到内部威胁,56%的安全专业人员表示内部威胁,在过去12个月内部威胁变得更加频繁。据报道,所有数据丢失的43%归因于内部威胁因素造成的。
最近,某公司在墨西哥,哥伦比亚和菲律宾发生了一场的破坏性的违规时间,导致访问和分发了28万个该公司的客户名称,完整或部分社会保障号码和无线帐户信息。这种攻击(以及其他类似的攻击)正变得越来越普遍。根据IBM 2015年网络安全情报指数,55%的网络攻击是由于内部人员造成的,这表明组织需要仔细研究内部安全协议。
内部威胁——企业日益严重的问题
在内部威胁方面,它们通常分为三个阵营:
- 恶意的:恶意的内部行为结合了伤害动机和不当行为的决定。例如,保留敏感的专有信息并在其被终止后将其转交给竞争者,或用于财务或其他个人利益。
- 疏忽的:当人们想方设法避免他们认为妨碍他们工作的政策时,就会发生过失行为。虽然大多数人普遍意识到安全风险并认识到合规的重要性,但他们的解决方案可能存在风险。
- 意外的:由于个人的疏忽行为无意中导致安全漏洞,可能会发生意外行为。这种情况通常发生在员工没有主动修补他们的系统,使用BYOD(携带自己的设备办公)设备或在连接到免费Wi-Fi时意外受到中间人攻击时。
根据研究,通常情况下,当考虑内部威胁时,恶意内部人员会想到自己的利益,但实际上,最大量的安全漏洞(36%)来自于无意中导致安全漏洞的粗心用户操作。在暴露关键数据时,那些有罪的人通常包括员工,承包商和第三方供应商,数据被窃取通常是通过物理媒体(包括USB驱动器和笔记本电脑)的办公文档。
是什么助长了内部威胁的激增?
根据美国卫生和公共服务部人权事务办公室的说法 ,在2016年前几个月,盗窃,丢失,不当处置和未经授权的电子邮件访问或披露是2016年最大事件的幕后原因。
虽然这可归因于多种原因,但大量采用云计算技术和自带设备(BYOD)也增加了内部威胁的可能性。现在,员工比以往任何时候都更容易获得更多的网络访问权限,允许恶意内部人员不被用于抵御外部威胁的安全系统检测到。尽管这些类型的违规行为频率有所增加,但许多组织都在忽视这一问题的严重性,采用传统的防御系统,这些系统专门用于防止通过防火墙,防病毒或其他周边解决方案进行攻击。根据 Vormetric Data Security 2015年的一项调查,技术安全支出继续专注于端点和移动设备保护,无论企业服务器和数据库构成最高风险。由于缺乏对保护关键数据的重要性的关注,因此需要采用新方法来处理内部威胁。可以检测不适当的侦察,以检测未经授权的资产访问以及与错误配置和凭据错误处理相关的意外风险。
减轻内部威胁——一种预防性的方法
在减轻内部威胁方面,确认这些攻击给企业带来的风险将有助于确保采取措施防止这些攻击。为了充分应对这些威胁,企业需要采用可以避免破坏性内部攻击的预防性策略和解决方案,但他们还需要能够快速准确地检测出逃避预防系统的威胁。
假设攻击者将进入网络并专注于提供早期可见性并加快对检测到的事件的响应。我们创建了先进的网内检测安全解决方案,该解决方案使用欺骗技术帮助企业显著提高网络内部威胁的发现速度,提高高保真度警报,简化数据关联,并加速事件响应操作,以自动阻止和隔离攻击。欺骗和响应平台使整个网络成为诱饵和欺骗的陷阱,旨在诱使攻击者与其BOTsink参与服务器进行交互并远离生产资产。
伪装动态欺骗旨在实现最高的真实性,并将自我学习环境,自动更新欺骗,并重新设置以避免攻击后的攻击者指纹识别。这与高度互动的诱饵配合使用,可以100%定制到公司的生产环境,这将使外部和内部威胁参与者无法区分环境。为内部威胁参与者添加欺骗并不会增加安全团队的负担,因为设计不依赖于“学习获得良好”,签名,模式匹配或大数据分析。由于警报是基于交互的,并且包括经证实的攻击活动,因此没有误报,并且可以轻松识别受感染的系统以进行快速隔离和补救。
由于其高效性, 欺骗技术在检测针对机密公司 IP 的内部和供应商威胁、人员记录财务以及存储在数据中心的其他敏感信息或共享第三方,虽然外部攻击将继续困扰组织,但忽视您的员工和供应商所代表的威胁是错误的。早期威胁可见性和检测解决方案(如欺骗技术与员工培训计划相结合)将抵御这些内部威胁,并加强对关键资产的保护。
