内部威胁指的是来自组织内部的潜在安全风险和威胁。内部威胁对组织构成了重大风险,因为拥有合法访问权限的个人可能有意或无意中损害系统、窃取数据或从事间谍活动。在2023年,内部威胁已经成为现代企业中普遍存在的安全风险。为了尽量减少内部威胁,组织应实施从内部威胁评估入手的内部风险管理(IRM)策略。
内部威胁风险评估的必要性
为什么内部威胁和风险评估应该成为组织网络安全态势的核心呢?研究人员认为,内部威胁风险评估是一种应对内部威胁挑战的最佳实践方法,通过评估企业组织数据当前防范内部人员的程度,能够提前发现组织可能存在的潜在风险,并评估这些风险的潜在危害性。NIST报告也指出,执行内部威胁分析和风险评估是制定一项有效的内部威胁计划的必要步骤,内部威胁风险评估应该作为企业总体网络安全风险评估的一部分来严格执行。
特别是对于那些需要处理敏感数据的组织,更应该定期评估并持续检测内部威胁风险,主要原因如下:
内部威胁风险评估的关键步骤
对于现代企业组织而言,开展并应用一个高效的内部威胁风险评估能够提前发现内部威胁,从而快速有效地应对内部攻击。在实际应用中,有多种不同的方法来评估企业内部安全风险,这会因组织类型、规模、业务范围和相关的网络安全要求而异。企业在深入地执行内部威胁风险评估时,可以参考以下的关键步骤建议:
1. 识别并确定组织的关键IT资产
内部威胁风险评估工作取得成功的关键,就是要首先确定企业组织中最可能被内部人员破坏的所有宝贵资产,并针对这些资产重点进行风险评估。一旦组织确定了关键性资产,就应该根据它们的重要程度进行分类分级。在这个环节,企业可以把注意力集中在以下方面:
2. 界定可能存在的内部威胁
并非所有内部威胁都来自恶意活动或受攻击账户,大多数的内部威胁是由组织中存在以下行为的合法用户构成的,包括:因为疏忽泄露敏感数据;无意中共享对组织系统的访问权限,错误删除、更改或滥用数据,以及将恶意软件无意中上传到组织系统。
因此,要识别企业内部潜在的威胁风险,可以通过以下问题来思考和发现:
3. 确定内部威胁风险的优先级
为了确定风险的优先级,组织需要评估这些风险,并确定哪些风险可能对组织构成的威胁最大,并可能造成巨大损失。组织可以使用风险矩阵来定义每个风险的级别。
企业在评估内部威胁风险,应该优先分析以下四个因素:
企业还应该考虑当前哪些安全措施可以保护系统远离某种场景的影响。如果出现潜在威胁,发生实际数据泄露或其他事件的可能性又有多大?通过确定最危险、最可能发生的威胁,可以确保组织首先远离这些高等级的威胁。
4. 创建风险评估报告
在内部威胁风险评估的过程中,需要将发现的评估结果汇整成详细报告,才可以在风险管理策略的后续阶段帮助简化决策。此外,企业也需要利用风险评估报告向所有员工分享相关的内部风险信息,提醒员工更加留意与风险相关的行为。
内部威胁风险评估报告应全面概述评估过程、已识别风险、风险优先级和可能的后果。同时,企业可以结合以下有效的网络安全最佳实践以降低上述风险:
5. 要持续评估内部威胁风险
开展内部威胁风险评估并不是一劳永逸的活动。由于企业组织的内部威胁是在不断变化,其复杂性和危害性也会不断增加,因此,内部威胁风险评估也应该不断优化并持续开展。特别是在以下情况出现时,应该进行相应的风险评估工作:
参考链接:
https://www.ekransystem.com/en/blog/insider-threat-risk-assessment
来源:安全牛