信息來源:企業(yè)網(wǎng)
多年以來�����,安全工作的主要目標(biāo)一直關(guān)注保護(hù)環(huán)境的邊緣位置——即確保外部人員無法獲得訪問權(quán)并借此實施惡意活動����。然而統(tǒng)計數(shù)據(jù)證明,企業(yè)內(nèi)部存在的風(fēng)險往往更高����。正因為如此,相當(dāng)一部分合規(guī)性法規(guī)要求監(jiān)控系統(tǒng)能夠識別并清除內(nèi)部威脅�����。根據(jù)Forrester公司的統(tǒng)計����,58%的安全違規(guī)行為源自內(nèi)部事件或者與業(yè)務(wù)合作伙伴相關(guān)。IBM公司發(fā)布的2015年網(wǎng)絡(luò)安全情報索引亦指出����,55%的攻擊源自企業(yè)內(nèi)部人員�����。
在今天的文章中�����,我們將共同了解ObserveIT公司CEO Mike McKee針對內(nèi)部威脅因素給出的七步走式應(yīng)用戰(zhàn)略����。
建立主動內(nèi)部威脅管理計劃
建立這一計劃的核心元素包括:
一支跨部門團(tuán)隊�����,涵蓋人力資源����、IT、企業(yè)識別與領(lǐng)導(dǎo)層����。
實施員工培訓(xùn)以普及并強(qiáng)化安全政策。在違規(guī)事件出現(xiàn)時發(fā)布實時通知應(yīng)成為網(wǎng)絡(luò)安全教育計劃的主要內(nèi)容。
建立用戶活動監(jiān)控方案�����,負(fù)責(zé)追蹤特權(quán)用戶�����、高風(fēng)險員工����、遠(yuǎn)程供應(yīng)商活動——以及其他任何有權(quán)訪問您系統(tǒng)與數(shù)據(jù)的人員����。其應(yīng)能夠追蹤并對風(fēng)險及行為進(jìn)行可視化處理,從而確保管理人員更快檢測到內(nèi)部威脅����。
關(guān)注特權(quán)
明確記錄事件發(fā)生前、期間與之后曾出現(xiàn)的事件或警報�����。這將有效縮短修復(fù)前平均時間并提供確鑿的相關(guān)證據(jù)�����,這一點對于實施應(yīng)對舉措至關(guān)重要。
企業(yè)通常能夠很好地掌握服務(wù)器統(tǒng)計信息�����,包括訪問日志����、性能、正常運行時間以及系統(tǒng)事件����。但在另一方面,企業(yè)往往很難了解誰有權(quán)直接訪問服務(wù)器����。因此應(yīng)創(chuàng)建憑證登錄(避免使用一般性登錄機(jī)制),并利用IT申請系統(tǒng)以確保全部服務(wù)器活動皆處于可控范圍之內(nèi)����。
定期審查員工訪問控制機(jī)制
如果員工無需訪問特定帳戶,請及時撤銷其相關(guān)權(quán)限����。另外�����,請考慮限制在企業(yè)帳戶之上使用遠(yuǎn)程登錄應(yīng)用程序或者云存儲應(yīng)用�����。
部分企業(yè)每年執(zhí)行一次此類審查,但更高頻度的審查活動(每季度或者每月)能夠更好地緩解內(nèi)部威脅問題����。
監(jiān)控全部數(shù)據(jù)滲出點
應(yīng)通過用戶活動監(jiān)控與重播記錄管理來自計算機(jī)的大規(guī)模打印事務(wù)、USB數(shù)據(jù)過濾����、云存儲上傳、面向個人郵箱的數(shù)據(jù)發(fā)送或者通過即時通訊軟件進(jìn)行的文件發(fā)送——而非事件日志——從而梳理來自計算機(jī)的調(diào)查結(jié)果����。只需要簡單按下重播按鈕,我們即可對這些數(shù)據(jù)滲出點進(jìn)行快速監(jiān)控及調(diào)查�����。
了解用戶為何要安裝/卸載軟件
企業(yè)利用虛擬桌面����、非永久性鏡像及各類軟件管理工具及帳戶以控制已安裝應(yīng)用程序����。在多數(shù)情況下����,這些集中式管理方法無法提供與用戶意圖及基本業(yè)務(wù)需求相關(guān)的信息。內(nèi)部威脅管理技術(shù)能夠消除這些明顯空白����,并允許企業(yè)了解人們的行為是否可能引發(fā)風(fēng)險。
高度關(guān)注高風(fēng)險用戶
無論是通過當(dāng)面對話還是在桌面環(huán)境上設(shè)置通知橫幅����,總之企業(yè)應(yīng)提醒高風(fēng)險用戶其正在受到監(jiān)控。在多數(shù)情況下�����,這能夠有效阻止其從事惡意活動����。員工離職時應(yīng)立即更改密碼以撤銷其訪問權(quán)限。另外����,請確保第三方服務(wù)供應(yīng)商亦針對員工離職作出反應(yīng)����,即盡快取消其授權(quán)帳戶�����。
確保離職員工無法掌握任何企業(yè)數(shù)據(jù)�����。在高風(fēng)險員工離職前�����,請認(rèn)真檢查其個人計算機(jī)�����、手機(jī)����、平板等設(shè)備上是否存在企業(yè)數(shù)據(jù)�����。
速度安全調(diào)查
毫無疑問,能夠快速檢測并響應(yīng)事件與警報對企業(yè)而言至關(guān)重要����。如果缺少正確安全工具與程序的支持,那么修復(fù)前平均時間往往將長達(dá)數(shù)周����。因此,請將您的用戶活動監(jiān)控方案與其它網(wǎng)絡(luò)安全工具加以整合�����,從而確保您能夠提供確鑿的相關(guān)證據(jù)并有效縮短修復(fù)前平均時間����。
原文標(biāo)題:How to eliminate insider threats
原文作者:Ryan Francis
