对于安全从业者而言,内部威胁是越来越令人担忧而又深感困惑的领域。通常情况下,人们习惯将资源用于对抗外部威胁,许多安全团队仍然“不确定”应该如何应对内部出现的威胁形式。不幸的是,这种“不确定性”常常会因为一些常见的安全神话,和对内部威胁的误解而进一步恶化和加剧,这些误解主要包括:
一、内部威胁总是有意且有害的
围绕内部威胁的大部分困惑主要始于其定义。从恐吓到炒作再到不准确的新闻报道等因素已经让人们普遍认为,最恶毒和最具破坏性的内部攻击类型——例如涉及企业间谍活动的攻击——代表了所有内部威胁。但是,正如高级持续性威胁(APT)无法代表所有网络安全威胁一样,恶意且极具破坏力的内部攻击也无法代表所有内部威胁。通常而言,大多数网络威胁比APT的损害程度更低,而大多数的内部威胁也比我们经常听闻的更为温和且不够成熟。
内部威胁有各种为人所接受的定义,但大多数人所认同的因素主要包括:
大多数情况下,人们都忽略了“无意的”内部威胁这种形式。例如,用户意外地将含有敏感信息的电子邮件发送给了错误的收件人等情况。虽然用户不打算进行潜在的威胁行为,但是他们的行为着实可能会为公司带来严重的后果,甚至可能会造成与“有意的”内部威胁相同的伤害。
同样地,人们也经常会忽略不会造成伤害的内部威胁这种形式。如果上述电子邮件收件人滥用了包含敏感信息的电子邮件内容,和/或未能及时销毁它,那么这种“无意的”内部威胁无疑是有害的。但是,要记住,并非所有的内部威胁都是有害的,即便是有些“有意的”内部威胁也有可能是无害的。例如,假设一名员工忘记了公司系统的登录凭证,为了顺利完成工作,他可能会选择通过获取另一名员工的凭证来访问系统,即便他知道自己的这种行为违反了公司政策,但是仍然这样做了,这种威胁显然是“有意的”。但是,除非该员工滥用凭证做出损害公司的行为,否在这种威胁虽然是有意的,但可能并不会造成伤害。
重要的是,要意识到内部威胁的定义具有超越语义本身的含义。无论一个内部威胁是有意还是无意,有害亦或无害,想要有效地对抗这些威胁,就必须全面地了解它们是什么?以及它们究竟缘何而起?
二、如果拥有内部威胁资源,则拥有内部威胁防护
内部威胁防护(ITP)的构成是另一个常见的困扰领域。具体而言,许多组织认为有效的ITP可以包含专用于解决内部威胁的任何资源或资源组合。
在某些情况下,这种假设的形成主要归因于,越来越多的工具正在作为应对内部威胁的“银弹头”或“灵丹妙药”在使用。例如,虽然各种类型的警报和用户行为分析(UBA)工具可以为结构良好且配备齐全的ITP提供巨大价值,但实际上,没有任何一种工具能够作为“万灵丹”来替代整个计划。归根到底,这种假设除了帮组织营造自己已经做好了准备,并且能够解决内部威胁的假象外,根本起不到现实作用。
实际上,真正行之有效的ITP需要工具、数据集、专业知识、人员和跨职能协作的特定组合,加之全面和综合的计划和调查功能。无论组织的规模如何,这些要求通常都是一致的。较小的组织可以通过在人员之间分担责任来相应地扩展其ITP,而无需像大型组织一样投入较为昂贵的工具。但是,即便具有必要的资源和控制措施,想要启动和开发ITP也是一项漫长而复杂的工作,这也是为什么需要鼓励那么想要这样做的组织寻求外部支持的原因所在。
三、只有ITP才可阻止内部威胁
但是,在组织考虑启动此类计划之前,重要的是要了解ITP的主要目标是遏制、检测和响应内部威胁 – 而不是阻止它们。问题不在于无法阻止内部威胁,而在于阻止过程主要发生在信息安全层面,而不是ITP层面。大部分基础、最佳的信息安全控制实践可以帮助组织缓解网络钓鱼和恶意软件感染等威胁,同时也有助于阻止内部威胁。
这些控制包括强大的身份和访问控制(IAM)流程,可以迅速撤销前员工对公司系统和资产的访问权限,阻止用户访问网络内的个人电子邮件、社交媒体和外部即时消息,以及限制闪存驱动器和外部设备的使用等;针对媒体存储设备实施您自己的设备(BYOD)策略,并确保所有用户都经过了全面培训,并且了解安全意识和最佳实践。
这就是为什么组织在启动ITP之前,实施和维护有效的信息安全计划至关重要的原因所在。如果组织无法维护适当的信息安全标准,那么,即便是最复杂且最全面的ITP也毫无价值可言。
上述内容旨在强调内部威胁方面存在的一些常见误区,但是这些概括显然并不全面。随着越来越多的组织开始意识到内部威胁的危害性,并且迫切需要解决这一威胁,作为安全从业者的我们必须承认,内部威胁存在令人困惑的误区,我们的目的是尽可能地帮助大家消除误解,并提供清晰、准确的见解,以帮助组织更好地应对内部威胁。