别忽略了内部人员威胁

日期: 2015-11-11 作者:赵长林 来源:TechTarget中国

对于无休无止的威胁,我们往往将过多的精力放在了外部威胁上,对内部人员可能造成的威胁却重视不足。 这可能是一种战略性的错误,因为内部人员的威胁正在上升,而且与高级的外部攻击有许多相同之处。安全团队应当能够以一种统一的方式同时解决外部人员和内部人员威胁,从而在最大程度上减少企业的总体风险。 安全专家普遍感到,内部人员威胁比外部威胁更难以检测。

内部人员拥有网络和资源的特权访问。内部人员不像外部的攻击者,恶意的内部人员不必找到漏洞、开发漏洞利用和恶意软件,或者创建隐蔽的通道来管理攻击。 其实,无论是恶意的内部人员还是高级的外部攻击者,都可以绕过防御控制。 外部的攻击者可能针对的是零日漏洞,并使用可以……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

对于无休无止的威胁,我们往往将过多的精力放在了外部威胁上,对内部人员可能造成的威胁却重视不足。

这可能是一种战略性的错误,因为内部人员的威胁正在上升,而且与高级的外部攻击有许多相同之处。安全团队应当能够以一种统一的方式同时解决外部人员和内部人员威胁,从而在最大程度上减少企业的总体风险。

安全专家普遍感到,内部人员威胁比外部威胁更难以检测。

内部人员拥有网络和资源的特权访问。内部人员不像外部的攻击者,恶意的内部人员不必找到漏洞、开发漏洞利用和恶意软件,或者创建隐蔽的通道来管理攻击。

其实,无论是恶意的内部人员还是高级的外部攻击者,都可以绕过防御控制。

外部的攻击者可能针对的是零日漏洞,并使用可以感知沙箱的恶意软件来渗透到网络,而恶意的内部人员只需用合法的凭据就可以登录。

不管攻击者是否获得了特权,内部和外部的威胁必须寻找并获得有价值的数据。无论是因为感染恶意软件或背叛,这些活动很容易被观察并与正常行为区分开。

因而,安全模型必须对威胁如何进入网络和进入网络后的动作保持高度警惕。通过监视网络内部主机的行为,安全团队可以快速地确定正在收集数据或在非正常时间访问资源的主机。

例如,主机是否正在访问平常并不到达的区域?有没有迹象表明数据被迁移到其它位置?当然,也许是有管理员在内部传输数据,或者将数据复制到一个外部位置(如Dropbox)。

最聪明的安全团队都知道,威胁事件往往与网络中的关键资产紧密相连。除了要理解威胁,安全团队需要知道威胁对企业的影响。在检测到威胁时,受到损害的设备会给哪些资产带来风险?可疑设备可以直接访问关键资产吗?这是安全团队必须重视的问题。

专注于网络中的关键资产可以使安全团队更容易地看出,异常行为什么时候在其最关心的资产上发生。

这些方法可以有效地检测内部和外部威胁。更为重要的是,由于明确了内部的关键资产,安全团队就不仅可以追踪威胁,还可以真正地减少威胁。

资产被窃或破坏会使企业遭受真正的破坏。几乎所有的威胁都集中于企业最宝贵的内部资产,所以安全模式也应这样。

作者

赵长林
赵长林

TechTarget中国特邀作者

相关推荐

  • DR基础知识:灾难恢复计划和灾难恢复策略

    IT灾难恢复(DR)计划的主要目标是制定详细的恢复计划,以在意外中断时执行。 这种计划应该列明详细步骤,说明在 […]

  • 加强选举安全,他们是这样做的……

    为了提高选举安全以及抵御恶意民族国家和非国家行为者的威胁,新的组织将提供实用的解决方案,让选举管理人员、选举基础设施提供者和竞选组织可用来提高网络安全性……

  • 如何确定应用程序的攻击面?

    应用程序漏洞以及错误配置都可能成为攻击者的靶子。能够正确的防御这些应用程序的要求是,在健全的风险管理发生之前,企业能够确认攻击面……

  • 隐私vs.安全:该如何平衡?

    中国的《网络安全法》已于今年6月1日正式开始实行,这给现代企业在维护信息隐私和安全性方面带来更多的挑战,也将对如何平衡隐私和安全性的探讨推上风口浪尖。