企业高管对内部员工意外错误的担忧(71%) 几乎与对外部威胁 (75%) 的担忧一样多。但这两者中哪一个对公司的威胁更大呢?
外部威胁与内部威胁
外部威胁可能会对组织造成巨大损害,并且由恶意团体或个人实施,这些团体或个人通常需要使用各种技术来找到访问网络的方法。这可能包括利用漏洞、部署网络钓鱼或社会工程攻击、贿赂和勒索。
发现内部威胁可能更具挑战性,原因很简单:内部人员已经对组织的网络、系统或其他资产拥有合法访问权限(无论是有限的还是完全的)。
内部威胁的复杂性
“识别内部威胁不是一个二元过程。内部人员可能心存恶意,缺乏正确完成工作的技能,或者成为胁迫的受害者。因此,了解不同类型的内部威胁以及最适合您的组织的媒介非常重要。”Mandiant 研究人员最近指出。
这些类型可以是:
- 恶意内部人员– 出于个人利益、报复欲望或为竞争对手提供优势而窃取或损坏数据的人
- 无意识的内部人员——那些无意中泄露数据的人,无论是偶然还是由于培训不足
- 受损害的内部人员——那些因勒索或勒索而采取恶意行为的人
- 疏忽的内部人员——那些因错误导致数据泄露或其他事件的人
恶意内部人员非常直接,动机也很明确。其他三类内部人士的情况要复杂一些。
无意和疏忽的内部人员可能会因没有得到充分的指导或培训,甚至对他们正在使用的技术和必要保护的实施缺乏足够的了解而构成内部威胁。
微软员工通过将公司系统的登录凭据上传到 GitHub 来暴露公司系统的登录凭据,就发生了一起这样的事件。
受到威胁的内部人士在面临勒索或勒索时,可能会因为害怕被羞辱或被解雇而屈服于威胁。
第三方合作伙伴(例如承包商和供应商)也可能是内部威胁,因为他们通常拥有组织系统和网络的某些访问权限来执行其工作。
在 2019 年发生的第三方妥协中,一名前亚马逊网络服务 (AWS) 工程师利用漏洞攻击了Capital One(当时使用 AWS 云服务)并访问了超过 1 亿个客户的信用卡申请和账户。
组织面临的挑战是,他们必须信任员工,而不知道他们是否会变得恶意或只是犯下诚实但毁灭性的错误。
防止内部威胁
组织必须采取某些措施来保护自己免受内部威胁。
首先,他们必须确保员工接受适当且持续的培训,以提高他们的网络安全意识。员工需要感到有权力和动力去积极保护他们的组织。这可以通过理解和同理心以及确保传递正确的知识来实现。
组织需要持续监控和审核其系统,以确保收到有关活动和可疑行为的警报。使用访问控制解决方案也是一种很好的做法,因为它们可以防止未经授权的用户访问特定的公司资源,并允许跟踪谁访问了特定资源以及何时访问。
当员工离开组织时,离职过程必须一丝不苟。组织必须确保前雇员不再有权使用公司资产。组织还应该实施能够在员工解雇或辞职后自动擦除员工自己设备上的敏感数据的解决方案。
为了帮助组织更好地了解内部威胁并制定适当的保护计划,CISA 发布了内部威胁缓解指南,它可以指导您完成构建内部威胁缓解计划的过程,并帮助您检测、识别、评估和管理内部威胁。
发表评论
您还未登录,请先登录。
登录