意外内部威胁的四种应对方法

日期: 2015-05-17 作者:Eric Cole翻译:邹铮 来源:TechTarget中国 英文

内部威胁是很多人都熟悉的术语。问题是,当人们听到这个词时,他们马上会想到恶意的邪恶的内部人员,故意对企业造成损害。

虽然“恶意”内部威胁始终是一个问题,但很多人可能会惊讶地得知,恶意内部威胁并不是现在大多数企业面临的主要攻击问题,事实是,很多攻击来自于“无意”的内部人员。

无意内部人员通常诚实地认真地认为他正在很好地进行他的工作,没有给企业带来威胁,但他们被欺骗或操纵以允许别人对企业造成损害。

对于现在的攻击,大多数人认为外部攻击是企业面临的最大问题,企业需要将大部分精力来对付这种攻击。然而,企业需要区分攻击源和损害原因之间的区别。大多数攻击来源绝对是外部,但损害原因通常是无意的内部人员。攻击者认识到他们非常难以直接入侵服务器以及从外部攻击企业,而他们很容易瞄准内部人员,通过社会工程学诱骗其打开附件或点击链接,然后利用其系统作为攻击点。

企业能做什么保护自己免受内部威胁呢?大多数企业认为更好的安全意识培训能够最大限度地减少意外内部攻击;这意味着确保员工更好地理解危险和风险。虽然笔者很支持安全意识培训,但企业需要记住的是,没有哪个阶级方案可以解决所有问题。

对于基本攻击,即用户接收的电子邮件或信息中存在明显错误的攻击,意识培训很有用。然而,对于更厉害的攻击者和更复杂的网络钓鱼攻击,用户收到的信息看起来就像是真实的通信,这种攻击通常会很成功,因而意识培训对这种攻击没有作用。对这些复杂攻击的解决方案是消除攻击向量。

内部威胁通常是通过电子邮件附件或嵌入式网络链接来造成伤害和感染系统。下面是四种可操作的控制,可帮助企业最大限度地减少无意内部攻击造成的危害。

控制应用

现在计算机中两个最具潜在危害的应用是Web浏览器和电子邮件客户端;它们通常是恶意软件最常见的切入点。企业可以采取步骤来限制这些应用的功能,但这样做也会影响合法功能,从而也会影响关键业务流程。

因此,一种解决方案是在独立的虚拟机中运行危险的应用。每次启动应用时,它会在独立的VM中运行。如果它是恶意的,任何感染只会发生在VM中,不会对主机操作系统造成破坏。当该应用关闭时,VM也会被关闭,任何有害活动都会受到控制。在这种情况下,系统只会在短时间内在受控环境中受到感染,并没有任何长期影响。此外,这种解决方案对用户没有影响,并会显著影响攻击者造成破坏的能力。

过滤不良内容

在很多情况下,用于感染内部人员的活动通常围绕可执行附件、Office文档中的宏以及HTML嵌入式内容。大多数企业并不需要这种允许来自互联网的活动。因此,秉着最小特权的精神,如果企业不需要这种活动,就应该阻止。战略性地阻止一小部分有害活动可以积极地控制攻击者带来的破坏。

限制可执行内容

阻止某种类型的所有文件,虽然有效,但并不总是可行,因为用户可能需要使用文件。因此,另一种方法是沙箱或过滤某些活动,同时允许合法活动。现在存在有效技术可以对附件内容进行分析,甚至将其在沙箱运行以检查其行为;如果它是恶意的,就会被阻止,而如果是合法的,就会允许通过。这让企业可以更灵活地过滤内容,但限制了阻止运行业务所需的正常活动的影响。

控制可执行文件

攻击者通常是诱骗用户运行看似合法的可执行文件,但实际包含恶意内容,从而执行攻击。企业可以通过应用白名单等技术来控制和验证可执行文件,从而最大限度地减少有害内容进入系统。

总结

企业必须明白,意外内部人员威胁是非恶意的员工、合作伙伴和其他有访问特权的人,这给企业构成最大的威胁,因为一般人都可能被利用。好消息是,在企业明白无意内部人员是内部威胁最大的潜在原因后,企业可以采取可操作的步骤来控制和最大化减少这种风险对企业的影响。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

Eric Cole
Eric Cole

Eric Cole是SANS研究所高级研究员,安全专家。

翻译

邹铮
邹铮

相关推荐

  • 如何恰当地限制特权账户?

    无论是为了经济利益、报复或意外事故,受信任的雇员或内部人员都拥有访问权限、知识、机会、时间来进行攻击……

  • 网络欺诈背后的数据

    根据注册欺诈审核师协会(ACFE)的《Report to the Nations》报告显示,每年企业因欺诈损失5%的收益。大多数欺诈者在为其雇主工作多年后才开始进行数据盗窃。

  • 别忽略了内部人员威胁

    对于无休无止的威胁,我们往往将过多的精力放在了外部威胁上,对内部人员可能造成的威胁却重视不足。

  • 应对内部威胁:可尝试基于角色的访问控制

    基于角色的访问控制可以极大增加企业网络的安全性,尤其可以有效地对付内部的非法入侵和资源使用。