UEBA践行 CISO内部威胁管理指南
发布时间:2022-07-12 09:33:26 所属栏目:安全 来源:互联网
导读:智慧城市的建设推动着我国生产模式的变革,随着经济数字化、政府数字化的建设,数据和网络已经成为我国政府和企业不可或缺的一部分。合资企业、跨境贸易、多厂商全球合作的模式变迁,不断增加了关键数字和物理资产被攻击的风险,同时全球合作需要满足不同国
|
智慧城市的建设推动着我国生产模式的变革,随着经济数字化、政府数字化的建设,数据和网络已经成为我国政府和企业不可或缺的一部分。合资企业、跨境贸易、多厂商全球合作的模式变迁,不断增加了关键数字和物理资产被攻击的风险,同时全球合作需要满足不同国家当地安全监管的要求,这些复杂因素都指向同一个结果:企业单位所面临的内部威胁正在急剧增加。 内部威胁网络安全事件层出不穷,但仍旧很难引起企业的重视。企业往往会想当然地认为攻击者都来自于外部,但事实上,超过一半的安全攻击都是由内部员工造成的,或是由心怀不轨者恶意为之,或是由员工的粗心错误操作导致。由受信员工产生的内部威胁极有可能导致重大经济损失,并伴随公信力下降。 企业主要的安全防御措施(例如防火墙、访问控制、智能物联监控设备等)通常是为不受信的外部攻击者而设,这使得受信员工或承包商有机可乘。同时,内部员工了解企业的防御手段,因而能够在从事恶意活动时轻松绕过。为了应对这种投机取巧的行为并切实解决内部威胁,应当做好环境感知、高级行为异常检测和基于时序分析的调查取证。 内部威胁可能来自于: 心怀不满的员工——共享敏感信息以获取个人利益或报复。 恶意员工——故意滥用网络、系统或数据的访问权限以造成损害。 失陷员工——无意间将系统暴露给攻击者或恶意软件(例如单击带有恶意软件的电子邮件,使攻击者能够窃取访问凭证)。 第三方(承包商、合作伙伴和客户)——受信访问敏感数据并表现和上述类型相同的威胁。 多数情况下,这些用户可能具有不合理的访问权限。例如,在很多企业单位中,员工转岗或职责变更时,并不会撤销其原有的系统访问权限,使用户的权限有增无减。随着时间推移,这些用户会累积大量的权限。这一现象导致,老员工可以更容易地越权访问系统。此外,不完整的离职交接流程及权限回收,也会使得前员工仍然可以远程访问敏感的应用程序或服务器。简而言之,潜在的恶意内部人员群体往往比大多数CISO想象的要大得多,也难以识别。 内部恶意人员暴露的敏感数据迅速增长,大有燎原之势。其中不乏财务报告数据(提前获知,从而进行公司股票的非法交易),客户数据(对竞争对手有价值),产品或技术文档(同样对竞争对手有价值),员工数据等等。这些原本存储于不同系统的数据(如备份、基线、开发/测试,报告等数据),正在被人整合利用从事非法活动。例如: 销售经理在加入竞争对手之前拷贝当前的客户和销售渠道。 工程师决定成立一家与雇主竞争的初创公司,并在离开之前拷贝产品计划和设计文档。 IT经理在报告日期之前查看季度收益数据,目的是非法买卖其公司的股票。 一位科学家复制了数千份设计和技术文档,出售给国外(2012年,陶氏化学的一位科学家因这样做而被判处五年徒刑)。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号