567
關於內部人員威脅追捕 你需要知道這些
內部人員威脅,與濫用公司內部係統及應用訪問權的內部雇員、承包商或前雇員的活動有關,無論有無惡意企圖,造成的結果就是對關鍵信息係統或數據的機密性、完整性或可用性形成了破壞。
內部人員威脅包括IT破壞、欺詐或知識產權盜竊。內部人員或自行單幹,或無意輔助了外部威脅進入。企業需理解自身目標內部人員威脅用例,對正常員工基線行為建模,確保員工知曉自己可能成為高級攻擊者利用來獲取商業關鍵信息的目標。
本文討論內部人員威脅及可疑/異常事件的關鍵指標,呈現內部人員威脅建模設計方法,幫助讀者識別此類事件和高風險內部人員。
內部人員威脅指標
內部人員識別,是針對性檢測策略的構成部分。可基於對敏感信息、關鍵信息或其他商業重要信息的訪問,來標定內部人員。有可能成為威脅的內部人員,一般具備以下基本特征:
行為指標:
- 因未達薪水預期或業績表現評估太差而心生怨恨;
- 與經理意見不合,與同事或供應商爭執;
- 攻擊性或暴力行為,職場騷擾或性騷擾;
- 因個人壓力或缺乏睡眠而導致的效率低下或表現不佳;
- 經常性無計劃請假。
技術指標:
- 大量文檔(含敏感信息)的非必要下載;
- 超出職位需求的黑客工具下載;
- 轉移大量數據到個人賬戶,設置並使用後門;
- 對敏感或關鍵信息的未授權訪問;
- 經常訪問求職網站。
建立內部人員正常活動行為的基線,可更容易檢測偏離正常值的奇點,幫助識別出異常事件或行為。
可疑內部人員事件
內部人員的目標,是有意或無意地誤用訪問權,以影響公司關鍵數據、係統或基礎設施的機密性、完整性或可用性。
內部威脅事件目標
企業內可導致內部人員風險的某些惡意或異常事件如下:
- 敏感信息(知識產權、金融、個人)的非必要下載,以及找尋通過個人電子郵件、公共盤、打印服務器、U盤和其他可移動媒介轉出數據的方法;
- 關鍵基礎設施、應用或數據的配置修改,引發完整性和可用性問題;
- 正常工作時間外在多個時區和地區對關鍵或敏感信息發起的特權訪問;
- 不符合職位需求的關鍵或敏感信息未授權訪問。
設計方法
本節深入探討解決內部人員威脅事件,以及檢測惡意內部人員活動的解決方案設計方法。
內部威脅模型
1. 源係統
建立數據發現並標記敏感數據,識別關鍵資產和敏感或任務關鍵數據,采用足夠的措施來分類信息。
2. SIEM或日誌倉庫
捕獲訪問日誌並將日誌導入SIEM係統或大數據日誌倉庫。按安全及隱私策略定義保留周期和存儲方式。
3. 數據泄露防護(DLP)
可在公司內部資產和終端上安裝DLP技術或代理,以捕獲事件和數據移動。也可以基於數據的本質和敏感性,來實現高級標簽和預防控製措施。
4. 事件關聯引擎
運用統計、規則和行為模式。關聯2個或多個事件(如:係統日誌和DLP事件),驅動深入理解數據。
5. 分析引擎
與關聯引擎和風險模型聯動,基於特定內部人員威脅用例,產生針對性輸出(惡意事件、內部人員列表)或洞見(數據可視化)。
6. 風險模型
基於預設閾值或基線,輔助識別異常事件。為每個異常事件分配對每個用戶或身份的風險值。每天匯總所有風險評分,識別出需要進一步調查的首選用戶或身份,確定涉及的任何內部人員威脅活動。風險模型可由分析師人工維護和更新,也可以基於AI和機器學習算法自動更新。
結論
無論惡意為之還是無心犯錯,內部人員威脅都是現實存在且不斷增長的。公司企業應了解內部人員威脅,掌握識別高風險用戶,以及檢測並對抗內部人員威脅的方法。
該領域湧現出了很多工具和技術,然而,想要取得對抗內部人員威脅的成功,識別特定於公司的用例是關鍵。本文陳述的設計方法,就為打造針對性內部人員威脅平台提供了基礎。
本文作者:nana
來源:51CTO
最後更新:2017-11-02 16:04:16