RSA 2013:FBI分享内部威胁检测的经验教训(二)

日期: 2013-03-14 作者:Kathleen Richards翻译:邹铮 来源:TechTarget中国 英文

使用多方论证的方法

  良好的内部威胁计划需要的不只是政策合规和网络安全。FBI内部威胁分析师Kate Randal表示:“这不是一个技术问题。”其研究表明在90%的事件中,这个问题不能被恶意软件检测。“这是一个围绕人的问题,而人是多维的,所以你需要做的是采取多方论证方法。”

  一个好的计划的目标是制止、检测和破坏内部威胁。计划实施者需要确定除网络安全外的人事和机密信息。

  “重要的是把重点放在确定你的敌人、你的人员和你的数据上,”Randal表示,这个过程包括询问这样的问题,“谁会对你的公司感兴趣,他们会瞄准企业内的哪些人?”Randal称FBI会检查网络、内容(例如财务状况、旅游、报告)和社会心理信息的综合信息。在企业中,Randal认为安全专业人员应该与其法律部门合作来确定他们可以合法地收集的信息类型。

  关键在于,企业需要了解其资产情况以及确定“企业的宝藏”所在。一个很好的开端是列出可能会损害公司的最糟糕的情况—包括资产和个人。Randal建议还应该询问另一个问题,“包含敏感数据的前五大系统是哪些?”然后从这里开始,跟踪这些系统中的用户数据、日志和文档。内部FBI安全日志显示,超过80%的数据移动是由不到2%的工作人员操作的。

  Reidy称,良好的内部威胁计划应该主要侧重于制止,而不是检测,因为到那时往往为时已晚。FBI认为他们不可能确定每个潜在的内部威胁,于是,他们选择使用多种策略来防止内部威胁。

  其中一种方法涉及创建一个环境,通过“群众包围”安全性来防止内部威胁,另一个是基于与用户的交互。通过向用户提供工具和技能来加密他们自己的数据,并提出办法来保护和分类他们的数据(这与很多企业实行的集中式政策不同),这样,信息安全的责任就被转移到了用户,同时企业还应使用积极的社会工程来提高用户意识。

  Reidy表示,“整体的思路是,在道路上设置警示标语。”比如用户试图下载敏感文件到USB时弹出警告画面。这能够让用户知道,“我们在看着你哦”并让他们回答这个问题,“你真的要这样做吗?”

  Reidy称这样做可能会导致内部抵触情绪,他们会认为一般人没有这种级别的责任。这种情况在FBI就发生了,但对于Reidy来说,这并不是问题。“在联邦调查局,我们有14000名员工每天都会带着枪械来上班,”Reidy表示,“你告诉我他们不会用USB?”

  检测内部威胁应该使用数据挖掘和基于行为的技术,侧重于诊断分析和可观察的红色标记,例如行为的改变。根据FBI的调查,社会心理风险因素包括从不满的员工和高压力员工(正在处理离婚或财务问题的员工),到意识薄弱的个人和利己主义者。

  初始步骤可能就像与人力资源共享信息一样简单。他建议尝试观察,例如是否有人在星期五下班后打印大量的文件,而此人原定于下周一被解雇。基于用户的基线计算机行为(数量、频率和模式)来检测,并使用策略来引出威胁。Reidy称:“在干草堆里找一根针简单,但在一堆针中找一根针就很难,因为每个人都是相同的或者保持相同的行为。”

  内部威胁检测和制止的研究仍然处于起步阶段,卡内基 – 梅隆大学的CERT内部威胁中心按照行业进行威胁建模作为其MERIT(内部威胁风险管理和教育)计划的一部分。DARPA的网络内部威胁(CINDER)同样也在做这方面的工作,可以作为企业的宝贵资源。安全专业人员可以使用这些研究来部署或改善其内部威胁计划,同时提供内部威胁事件的数据来帮助研究人员的研究工作。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

邹铮
邹铮

相关推荐

  • 如何恰当地限制特权账户?

    无论是为了经济利益、报复或意外事故,受信任的雇员或内部人员都拥有访问权限、知识、机会、时间来进行攻击……

  • 网络欺诈背后的数据

    根据注册欺诈审核师协会(ACFE)的《Report to the Nations》报告显示,每年企业因欺诈损失5%的收益。大多数欺诈者在为其雇主工作多年后才开始进行数据盗窃。

  • 别忽略了内部人员威胁

    对于无休无止的威胁,我们往往将过多的精力放在了外部威胁上,对内部人员可能造成的威胁却重视不足。

  • 应对内部威胁:可尝试基于角色的访问控制

    基于角色的访问控制可以极大增加企业网络的安全性,尤其可以有效地对付内部的非法入侵和资源使用。