10个技巧以防止内部人员安全威胁

日期: 2019-05-27 翻译:邹铮 来源:TechTarget中国 英文

2001年美国联邦调查局高级特工Robert Philip Hanssen被曝是俄罗斯间谍,这给美国联邦调查局当头一棒,这也让我们吸取一个教训:我们最信任的人可能带来最大的威胁。

现在我们已经非常善于保护我们的外围,但我们大多数人并没有充分保护企业免受内部威胁,包括员工(现任和前任)、业务合作伙伴、承包商、实习生甚至客户等。虽然我们的大部分精力都集中在基于互联网的攻击,但其实绝大多数安全事件源自内部人员,并且可能造成最大的伤害。这并不无道理:内部人员非常了解我们的网络布局、应用程序、员工和业务实践。

首先,松懈的政策会引发内部威胁问题。据报告称,美国司法部监察长办公室认为Hanssen事故是因为该局未能实施和执行强有力的内部人员安全程序,这是他在20多年来取得成功的主要原因。

美国联邦调查局并不是内部攻击的唯一受害者。内部人员通常很少受到控制,毕竟企业倾向于信任内部人员,而没有采取任何技术或程序对策。这样做的结果可能是系统遭破坏、数据泄漏、信用卡信息窃取等。这种案例还包括:

  • 美国佛罗里达州坦帕市GTE网络服务支持中心的一名工作人员擦除了数据并造成超过20万美元的损失。
  • 美国北卡罗来纳州Lance公司的一名计算机程序员因被降职而感到愤怒,他制作了一个逻辑炸弹,让现场销售代表的计算机脱机好几天。
  • 大通曼哈顿银行的两名员工窃取了信用卡号码,共窃取近10万美元。

如何防范内部安全威胁

企业面临的威胁不仅仅来自恶意攻击者,员工也可能在无知无意中破坏系统并制造计算机安全威胁。员工点击电子邮件、即时消息应用程序和广告中的恶意链接,这些简单的错误都可能允许攻击者监控企业,并造成严重后果。下面是在考虑如何防止内部人员安全威胁时需要记住的一些关键术语。

病毒。计算机病毒是指恶意代码,这些恶意代码可窃取密码、向联系人发送垃圾邮件、破坏文件、记录按键,甚至掌控受感染设备。而为了感染设备,必须有人故意或意外地传播感染。2019年1月,美国俄亥俄州阿克伦市遭遇勒索软件攻击,最终调查发现此次攻击是由于两名员工打开了通过垃圾邮件发送的假发票。

防病毒软件。防病毒软件旨在检测、移除和阻止设备或网络上的恶意软件。尽管防病毒软件主要用于消除病毒,但其实它们还可以帮助抵御间谍软件、广告软件和其他恶意软件。基本防病毒程序可扫描文件是否存在恶意软件、让用户安排自动扫描并删除任何恶意软件。

间谍软件。未经最终用户许可安装在设备上的任何软件都被归类为间谍软件,即使是为了无害目的而下载。广告软件、特洛伊木马和键盘记录器都是间谍软件的例子。如果没有反间谍软件工具,间谍软件很难被发现。为防止间谍软件,网络管理员应要求远程工作人员通过虚拟专用网络访问网络资源,虚拟专用网络还必须包含安全扫描组件。

用户应在安装软件之前阅读条款和条件,并采取预防性措施以避免弹出广告,同时确保仅从可靠来源下载软件。去年,Amnesty Internal沦为Pegasus间谍软件的受害者,仅仅因为一名员工点击了伪造WhatsApp消息。随后安装的间谍软件让攻击者可远程监控员工的设备,同时允许其访问消息、日历、联系人及其麦克风。

恶意软件。恶意软件可以窃取、加密或删除私人信息,在未经用户许可的情况下监控计算机活动或更改设备的核心计算功能。恶意软件示例包括间谍软件和病毒。在2017年,在健康保险公司Anthem遭遇安全泄漏事故导致大量客户数据面临泄漏风险后,该公司在一起集体诉讼中共计支付1.15亿美元。这起泄漏事故源自2014年开始的有针对性鱼叉式网络钓鱼电子邮件活动,这种活动在几个月内未被发现。当一名员工点击链接后,恶意软件为黑客提供了远程访问权限,黑客可访问网络中计算机以及个人身份信息,这些也是身份盗窃所需的所有工具。

还有很多其他备受瞩目的网络钓鱼案件见诸报端,例如2018年DNC攻击事件和2016年俄罗斯大选遭干涉,可以说,内部威胁让安全人员夜不能寐。正如Anthem保险公司的情况所示,只需要一个人点击错误链接就可能为攻击者打开大门。

你的企业可能是下一个目标。那么,你能为此做些什么呢?下面是帮助你制定和实施内部威胁缓解策略的10个技巧。从长远来看,有些技巧可能复杂且昂贵,但其他技巧只需要审查你的流程和政策并部署最佳做法即可。这里的重点是将你的信息安全雷达转向内部。

安全政策第一

在最低限度上,安全政策应包括防止和检测滥用的流程,以及执行内部调查的指导原则。还应该说明滥用的潜在后果。

首先请审查现有的安全政策,特别是有关事件处理的安全策略。请修改依赖于信任内部人员的部分。例如,你的事件处理计划不应要求你的团队联系可疑系统的管理员以获取访问权限;因为他或她可能是罪魁祸首。

接下来,请确保你的政策严格限制访问和传播有关员工、临时工和其他可能成为调查对象的个人数据。滥用这些数据可能会产生严重后果,包括法律诉讼。请明确谁访问哪些数据、在何种情况下以及允许他们与谁共享此信息。

最后,为了保护企业避免遭受不公平或不平等处罚的指控,请确保你的安全政策说明滥用公司资源的后果。

不要忽视物理安全

无论你是否“拥有”物理安全,请将其视为你的首要任务。简单地让人们远离关键基础设施足以防止大多数内部泄露事故。

想一想西雅图地区供暖和制冷公司Red Dot所遭遇的事情:两名保安通过垃圾桶、办公桌和文件柜,窃取员工和客户的个人信息。他们获得欺诈性的信用卡并非法访问银行账户,窃取数万美元,直到最后被捕。

你应将高价值系统隔离在限制区域内,并应用严格的访问控制。你可能会依赖于钥匙卡(它们既灵活又便宜),但它们只是单因素身份验证,并且,可能会丢失、被盗或借用。例如审核日志可能会显示Alice于上午10:03:34进入计算机房,但如果是Bob在使用她的密钥呢?

这种情况下,应考虑使用双因素身份验证(例如使用PIN和钥匙卡)来增强钥匙卡,以阻止窃贼,但是雇员仍然可能将他们的钥匙卡和PIN同时借给同事。

对此,应考虑生物识别身份验证。指纹扫描仪和类似设备很受欢迎,虽然价格昂贵。

但是保护计算机系统是不够的。窃贼或过于好奇的同事会从未受保护的硬拷贝中获取敏感信息。因此,请确保所有员工的桌面或文件柜中至少有一个可锁定的抽屉,以保护敏感信息。

严格筛选新员工

一般来说,你应该花更多时间来调查应聘者背景。如果你的企业认为背景检查过于耗时,请考虑外包。

然而,背景调查并不总能说明全部事实。例如,典型的检查可能会验证应聘者的当前地址,但无法查明居住在同一地址的人是否是已知的骗子或心怀不满的前雇员。

例如Systems Research & Development的NORA(非明显关系察觉系统)等服务可以找寻这样的关系。通过结合看似无关的企业数据库的信息,NORA可以对员工、分包商和供应商以及潜在雇员进行检查。

利用强大的身份验证

密码已经过时。现在的密码破解技术已经相当先进,即使使用高强度密码,用户也可能会将密码写在便利贴贴在显示屏上。并且,很多员工还会共享密码。

然而,替代方案很昂贵,而且,一般部署超出大多数企业的能力范围。更具成本效益的折衷方案是:对特别敏感的应用程序或系统(例如HR或财务系统)部署强大的多因素身份验证。

如果你已经部署多因素身份验证(结合用户ID和密码与令牌、智能卡或指纹识别器等), 请注意这些方法也并不是万无一失。当你已经建立会话,狡猾的内部攻击者可能会以你的名义欺骗新的交易,或者在你离开时使用你的计算机。对此,Windows工作站可以设置为在一段固定的不活动时间后锁定用户,并需要重新进行身份验证。

保护桌面系统

你不能依靠用户对其所有配置负责,但如果你使用微软的Active Directory服务,则可利用组策略来锁定企业中的桌面系统。

安全管理员可通过组策略为操作系统及其组件(Internet Explorer、Windows Media Player等)以及其他应用程序设置配置详细信息。例如,更改每个Internet Explorer安全区域的设置、强制使用内容过滤Internet代理、甚至禁止在Microsoft Office应用程序中使用未签名的第三方宏。Windows本身提供很多样本模板文件,你还可以从微软网站或Windows或Office资源工具包获得更多文件。另外,请确保严格按需提供对网络文件夹的访问权限。

局域网分段

在内部防御中,基于主机或网络的入侵检测系统应该发挥重要作用,但找到良好的监控点可能具有挑战性。

基于主机的系统通常会部署代理,但基于网络的系统则需要依赖于LAN嗅探器。监控单个互联网连接很容易,但在混乱的局域网内部可能很难找到好的位置,即阻塞点。在理想情况下,每个LAN网段都应该有一个嗅探器。而在一个大型网络中,这不切实际,并且,你可能会被毫无价值的警报淹没。

更好的方法是将你的局域网视为一系列围圈,每个围圈都包含自己的信任区域,并在链接企业主干网时由防火墙隔离。

避免信息泄漏

敏感信息可能通过很多方式流出企业,例如通过电子邮件、打印副本、即时消息或人们的谈论(原本他们应该保密)。你应该结合安全政策和技术来防止这些情况。

首先,请确保你的政策严格限制传播机密数据。

另外,技术也会有所帮助,例如从入侵检测系统(IDS)开始。审查你的商业计划,查找你不希望泄漏的独特短语,并配置你的IDS,以便当在网络上看到这种信息时提醒你。

同时,电子邮件防火墙可以扫描所有外发电子邮件全文。

另外,通过分配访问权限,数字版权管理工具也可限制文档的发送。

调查异常活动

你可能会从面向互联网的服务器收集大量日志数据:Unix系统日志、Windows事件日志、防火墙日志、IDS警报、防病毒报告、拨号访问日志或其他很多不同的审计跟踪。但是你的内部局域网呢?

与外部攻击者不同,内部人员通常不会小心掩盖他们的踪迹。丹麦安全咨询公司Protego的前技术经理Peter Vestergaard说:“仿佛内部攻击者不会被抓住一样。通常情况下,我们看到的内部攻击都难以调查。最大的问题是公司没有足够的日志记录。几乎没有人知道,非域控制器NT / Win2K服务器的日志记录在默认情况下为禁用。因此,很少或没有可用的日志记录。”

即使当你获得日志文件,你会发现,筛选这些日志信息以查找可疑活动也非常困难。一位不愿透露姓名的美国大型保险和金融服务公司的信息安全官表示:“在所有这些日志信息中,我们很难确定某个特定的人试图在网络获取信息。”他的公司使用自制的分析引擎,整合多个不同日志信息,并试图寻找可疑模式。

如果资金充足,你可通过网络取证分析工具来分析整个网络中的信息流。

重新专注外围工具和策略

通过部署外围工具到网络内部,可显著提高安全性,而且,通常成本很低。第一步是内部修复。你不会希望未修复的网络或电子邮件服务器暴露在公共互联网,那么,为什么要在局域网这样做呢?

第二步是通过消除未使用的服务和锁定配置来保护主机。

在做好这些工作后,你就可以添加更多外部工具来保护内部安全。如果你已经在为面向互联网的服务使用漏洞评估工具,也请扫描内部网络,这只需支付很少的额外费用。你应该首先扫描最关键的服务器,例如内部电子邮件、Web和目录服务器,然后按优先顺序排列其他系统并按顺序扫描它们。

监控滥用情况

为确保安全性,你可能需要对员工进行直接监控,包括从摄像机到按键记录。研究表明,多达三分之一的雇主在某种程度上会进行此类监控。

不过,在这样做之前,请确保你了解你可以使用哪些工具以及你所在司法管辖区的法律监管情况。

通常网站内容过滤器是有用的工具,因为这些工具可设置为阻止色情内容、竞争对手网站和黑客工具存储库,这些都可能表明内部安全威胁。一般而言,你可以将这些作为针对所有员工的政策。

如果你需要有关特定员工正在做什么的更详细信息,你必须更加谨慎行事,但现在仍然有很多方法,可为你提供按键记录、应用程序活动和窗口标题记录、URL访问历史记录等。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

邹铮
邹铮

相关推荐