今天我们来关注一下来自网络外部的数字威胁,它具有一个主要风险:来自网络本身的威胁。
“内部威胁”是什么样子?它们是什么类型,它们的增长方式以及组织如何防御它们。我们还将查看一些最近的示例,以帮助我们更好地了解内部威胁如何发挥作用。
什么是内部威胁?
用最简单的术语来说,内部威胁是来自组织内部的安全风险。此威胁可能来自事件发生时的员工,管理人员或与组织直接相关的其他人员。它也可以来自顾问,前雇员,业务合作伙伴或董事会成员,他们可能具有访问重要数据的必要功能和特权。
当然,重要的是要记住,并非所有内部威胁都是相同的。其中一些行为者会怀有恶意意图,而其他行为者会意外地损害组织的数字安全性。这些不同的动机解释了为什么内部威胁会以不同的类型出现。
安全情报确定了五个主要种类:
- 尽管接受了安全意识培训,但无响应者仍继续成为网络钓鱼测试的牺牲品,并且表现行为举止疏忽。
- 疏忽大意的内部人员的行为与安全意识铭记在心,但他们会犯孤立的错误,并会定期错误判断与数字安全问题有关的情况;
- 内部人串通不是很常见;在这种情况下,恶意内部人员会与外部攻击者合作,以掠夺目标组织;
- 持续的恶意内部人员是犯罪的内部人员威胁,他们访问敏感的业务资产并窃取数据,目的是持续地从财务中获利;
- 心怀不满的员工比顽固的恶意内部人员更具局限性。他们故意在短期内进行破坏活动或知识产权盗窃。
最近四起涉及内部威胁的事件
内部威胁通常是一些小事件,员工窃取其当前公司的数据,接受竞争对手公司的职位,然后出售这些信息以帮助新雇主获得竞争优势。但是,有些在本质上要大得多,并且会引起媒体的关注。以下是最近成为头条新闻的四种内部威胁攻击:
- 菲利普斯研究中心(Phillips Research Center):2019年2月,ClearanceJobs报告说,某位人士是如何滥用其在俄克拉荷马州巴特尔斯维尔的菲利普斯66研究中心的材料科学家身份窃取数百个文件的。这些文件中的一些文件涉及到一箱价值10亿美元的技术产品,在研究中心工作时就使用了该产品。
- Capital One:《纽约时报》于2019年7月报道称,一名软件工程师违反了Capital One拥有并由Amazon Web Services(AWS)托管的服务器。33岁的Paige Thompson来自华盛顿州西雅图,利用她在AWS的工作渗透到服务器并窃取了银行超过1亿客户的个人信息。
- 通用电气:在2019年10月的一份报告中,CrowdStrike透露中国政府针对西方航空航天制造商开展了一次数字间谍活动。该活动涉及与通用电气内部人员以及其他公司内部人员的勾结,以帮助中国政府获得必要的知识,以帮助其建造C919商业客机。
- Twitter:2019年11月上旬,美国司法部针对35岁的Ali Alzabarah和41岁的Ahmad Abouammo提出了起诉书。该指控指责两名Twitter前雇员不当访问了数千个用户帐户。
为什么内部威胁会引起关注?
内部威胁应该在我们的脑海中起着重重作用,原因有几个。首先,这些类型的攻击正在上升。Verizon的《 2019年数据泄露调查报告》发现,自2015年以来,内部威胁每年都在增加,并且内部人员以某种形式参与了最新研究分析的所有违规事件的三分之一。为支持这些发现,对Bitglass的《 2019年内部威胁报告》做出回应的IT专业人士中有73%表示,过去一年内部攻击越来越频繁。59%的受访者告诉Bitglass,他们的组织在过去一年中遭受了至少一次内部人员攻击。
第二,内部威胁很难发现。回到Bitglass报告中,只有12%的IT专业人员表示,他们的雇主已成功检测到来自个人移动设备的内部威胁。这一发现与50%的调查受访者保证其组织能够在一天之内检测到/从内部威胁中恢复的形成鲜明对比。相反,Ponemon的2018年数据泄露成本研究发现,识别内部漏洞平均需要197天,而遏制内部漏洞需要69天。
考虑到它们被忽视的时间长短,这些攻击往往代价高昂就不足为奇了。Ponemon在2018年的内部威胁成本研究中发现,公司的平均内部威胁成本约为20万美元,这些威胁可能会使公司总共损失10万美元。(在北美,换个数字甚至更高,约为20万美元。)这些成本也在增加;埃森哲和Ponemon的2019年网络犯罪成本研究发现,从2018年到2019年,恶意内部攻击的平均成本增加了15%。
组织如何防御内部威胁
正如SearchSecurity指出的那样,我们可以使用以内部人员为中心的安全策略,安全意识培训,多因素身份验证和最低特权模型来加强对恶意内部人员的防御。但是这些控件只能做到这一步。最终,我们需要能够监视网络中的可疑活动,例如滥用合法凭据来泄露敏感信息。
使用网络流量分析和文件分析以及人工智能(AI)的功能来发现可能指示内部威胁的异常行为。发现可能不是恶意的确凿证据的行为,但似乎是异常的行为,足以使您的安全团队对事件进行更深入的了解。因此,这些解决方案使您可以防止内部人员窃取您的敏感数据(或从根本上限制内部人员可能造成的破坏),而又不会使安全专业人员陷入调查安全问题的麻烦。
