在近期的工作环境中,新的变革已然席卷了职场生态。随着远程和混合工作模式的普及、云技术的广泛应用以及员工流动率的增加,保护企业数据变得比以往任何时候都更具挑战性。据2022年CISO之声报告显示,内部威胁在去年激增了44%。
众多网络安全领导者均认为,对内部威胁采取积极主动的防范措施至关重要。毕竟,任何企业都无法完全避免内部风险的存在。实际上,内部威胁已成为全球首席信息安全官(CISO)最为关注的安全问题。有超过三分之一的受访CISO表示,解决内部威胁将成为其IT部门未来两年的首要任务。
所谓内部人员,指的是与有某种工作关系的人员。凭借其角色和,他们可能拥有或曾拥有对关键数据和系统的授权访问权限。这其中包括了现任或前任员工、承包商以及业务合作伙伴等。这些内部人员可能拥有公司提供的计算机或网络访问权限,负责为开发产品和服务,甚至了解的未来战略及访问受保护的信息。
简而言之,内部人员因处于的信任地位而拥有特殊的权限。当这些人员出于恶意,利用其受信任的地位谋取私利或进行其他有害的行为时,内部威胁便产生了。意外地误用或错误处理其访问权限的内部人员也可能造成不小的损害。对于那些其账户遭到外部攻击者利用的用户也是如此。
尽管“内部风险”和“内部威胁”这两个术语有时可互换使用,但它们在实质上并不等同。内部威胁是内部风险的一个子集,因为所有内部人员都可能对构成风险。并非所有内部人员都会成为真正的内部威胁。这其中的区别需要采用战略和战术方法来有效管理。
进一步地,我们详细剖析了三种关键类型的内部威胁:
其一为粗心型的内部人员,他们本意善良却常因决策失误导致有价值数据的或被盗。比如,将文件下载至U存储设备或无意识地在外部共享敏感数据等行为都是粗心导致的后果。粗心型的用户占据了内部事件的56%。
第二类是恶意型的内部人员,他们受个人利益驱使并有意伤害。例如财务数据或商业、销毁敏感信息等行为都属于此类。研究表明,恶意型的内部人员占所有内部事件的四分之一以上(26%)。
第三类是妥协型的用户,通常是拥有信息访问权限的受攻击者(VAP)。攻击者利用网络钓鱼等社会工程技术窃取他们的凭据后,便能利用这些凭据访问公司的关键系统和数据。今年大约有18%的内部事件涉及了被窃取的凭据。
对于粗心型用户的威胁来源,主要包括人为错误、判断力差等问题。例如,配置服务器的错误或采用使面临风险的快捷方式等。而来自恶意用户的威胁则可能包括、欺诈、知识产权(IP)盗窃以及间谍活动等。
受感染用户的内部威胁通常源于凭据被盗、网络钓鱼、恶意软件以及社会工程攻击等。应致力于帮助员工避免成为内部威胁的一部分。这一学习过程从提高他们对粗心行为和恶意内部活动的认识开始。虽然安全意识不能阻止所有恶意行为,但它可以帮助其他员工识别并报告可疑行为。
以下是一些用户应了解的关键事项:在采取行动前要三思而后行,不要走捷径而忽视潜在风险;保持对的数据和系统访问策略的最新了解;一旦发现任何可疑行为应立即向安全团队报告。强调每个员工在保护数据方面的关键责任,并将简单但有效的措施融入日常实践中,这将大大有助于减少和缓解内部威胁。