对于公司来说,最大的威胁之一是敏感数据的泄露,如客户或员工的支付卡或个人身份信息,这些信息有时会被公司内部的员工窃取。在这种情况下,被系统或网络管理员窃取的威胁是最严重的。
因为他们可以接触到大量的公司数据,所以他们可以看到公司中最敏感的记录。
福特汉姆大学首席信息安全官杰森本尼迪克特(Jason Benedict)表示:“如今,我更担心内部威胁,而不是黑客,因为我们很容易受到内部威胁。我们有防火墙。我们有入侵保护系统。我们有杀毒软件。
我们在防范外部风险方面取得了相当大的成功。但是对于内部威胁,我们漏洞百出。我从来没有想到过,我们内部会有人别有用心的去窃取和贩卖信息。但是我们经常看到有人在浏览自己根本无权查看的信息。
我们还发现,一些拥有高级权限的人滥用职权浏览员工的工资表。"
BITS金融服务协会欺诈预防项目副总裁希瑟威森(Heather Wyson)表示,美国金融服务公司的内部安全事件数量正在增加。
怀森说:“我们一直关注内部人员的故意泄露,比如窃取财务和专利信息、放置逻辑炸弹和安装恶意软件。同时也要注意一些无意的泄露。
例如,员工无意中打开受感染的文件、安装未经授权的软件或来自社交媒体的威胁。我们发现,与内部人员相关的有意和无意的数据泄露事件的数量正在上升。"
对此,首席信息安全官和IT安全专家指出,IT部门需要采取以下措施来减少内部安全威胁。以下是他们的建议:
1.限制和监控特权用户。
根据威瑞森2010年发布的数据泄露调查报告,48%的数据泄露事件是由内部人员造成的。我们需要密切监控的内部人员是那些拥有特权的人。威瑞森建议首席信息官在招聘前进行筛选。
淘汰过去违反使用规则的申请人。BITS将向其成员提供防欺诈服务。通过这项服务,会员可以分享被认为有罪但未被起诉的前员工的信息。
此外,员工不能被授予超过其工作所需的权限。职责应该分散,以防止员工拥有过多的权力。威瑞森说:“特权的使用应该被记录下来并形成管理信息。未经计划的特权使用应受到警告和调查。”
2.限制用户的访问和权限,尤其是在工作调整或裁员期间。
威瑞森发现,大约24%的内部安全事件发生在刚刚调整工作的员工身上。一半的员工被解雇,而其他人辞职或被分配到公司内部的新工作。如果这些员工的账户没有及时关闭,
或者在宣布命令后仍然允许员工完成当天工作的时候,就非常容易泄密。这就是为什么威瑞森建议该公司制定一个“涵盖所有被访问地区的及时暂停计划”。
本尼迪克特表示,福特汉姆可以冻结用户,并在五个小时内收回他们所有的访问权限。
3.监控网上有细微不良行为的员工。
Verizon发现“那些在网络上拥有细微不良行为的雇员往往会犯下严重罪行,如侵占或盗窃知识产权。”首席信息官应当注意那些违反网络规定的雇员和行为不当的雇员,如在系统中保存有色情或非法内容。
因为这些都是他们未来引发内部安全事件的前兆。Verizon在调查中发现,那些承认盗窃数据的雇员常常将他们的行为归结于过去一些细微的滥用操作上。
这被称为“网络犯罪中的破窗理论”(注:一个房子如果窗户破了,没有人去修补,隔不久,其它的窗户也会莫名其妙地被人打破;一面墙,如果出现一些涂鸦没有被清洗掉,很快的,
墙上就布满了乱七八糟、不堪入目的东西;一个很干净的地方,人们不好意思丢垃圾,但是一旦地上有垃圾出现之后,人就会毫不犹疑地抛,丝毫不觉羞愧)。
4、使用软件分析你的记录文件,当出现异常时及时提醒你
当在调查内部安全事件时,Verizon发现在86%的事件中,证据会在日志文件中被发现。
他们称在日志数据中会有三明显的异常:日志数据出现不正常的增加、在日志中出现不正常的长线、日志数据会出现不正常的减少或缺失。
Verizon称在出现内部安全事件后日志会增加5倍,在攻击者破坏日志功能后,日志会出现缺失。SQL注入攻击和其它的攻击方式会在日志中留下长线。虽然许多IT部门安装了监控和分析工具,
但是他们忘记了使用这些工具。取而代之的是,这些IT人员只是定期监控一些这些工具显示的结果。Verizon建议通过配置这些工具发现明显的问题。Benedict称,为了发现异常情况,
Fordham的安全人员会定期手工检查日志。
5、考虑部署数据外泄的防护技术
目前越来越多的首席信息官担心知识产权会从通过公司的网络泄露。为此,他们开始安装能够监控软件,这些软件能够监控并过滤流出公司的网络信息。Unisys公司首席信息安全官Patricia Titus称,
他们正在测试一种防止数据外泄的技术,以保护公司的知识产权。
Benedict称,Fordham正计划在防止数据外泄软件上投资50万美元。Verizon建议公司应当对流出和流入公司的网络数据进行过滤。
Verizon强调称:“通过监测、分析和控制流出公司的网络数据,公司可以降低恶意行为的发生率。”
6、就内部威胁对雇员进行培训
首席信息安全官们推荐公司要以安全威胁和如何识别内部雇员盗窃有价值数据的恶意行为为内容定期对雇员进行培训,特别是对IT人员进行培训。Titus称,在打击内部蓄意盗窃数据的战斗中,
公司的雇员是首席信息安全官的最大同盟军。
Wyson建议公司应当设立一条热线,雇员可以通过这条热线匿名举报他们发现或怀疑是欺诈的行为。Benedict不仅每年都会为雇员们举办安全意识培训,同时还会向雇员们提供关于最新IT安全威胁的宣传手册。
Fordham还通过脸谱、推特和博客等社交媒体就安全威胁对大学内的人员进行教育。