在IT安全上,内部威胁无法避免
这一点毋庸置疑。
只要赋予员工决策权,员工就有可能做出危害公司利益的决策。能够阻止这一乱象的,是一致的目标方向、意识培训,以及最重要的——信任。没有哪家公司能将内部人威胁概率减小到零,但有很多公司可以让内部人威胁接近于零。
《Dtex 2018 威胁报告》将公司企业可以投入资源减小内部人威胁的领域摆到了台面上。
很明显,公司企业需关注基本的网络安全原则,必须从拒绝承认网络安全问题的阶段走出来,承认需要更加了解自身环境中正在发生着什么。
需关注的重点是指正第三方云存储配置错误的那些数据,防止敏感信息被意外暴露到公网上。第三方云存储导致信息暴露的事件不是个案,受访者中78%都遭遇过。而客户数据飞出云窗口会造成什么后果,我们都知道。
然后,想想对交易秘密和知识产权保护的影响。不妨咨询一下律师团队,问问他们未提供足够的信息保障措施会导致多严重的商业秘密防护疏漏。这么做可以敦促设置云存储的人更加小心谨慎,尤其是当所保护的信息事关公司存亡的情况下。
Dtex的调查显示,90%的受访者都会将数据传到未授权的非加密USB设备(收集、U盘、数据卡等等),再一次证明了便利性需求总是胜过安全需求。或许封禁所有USB端口是个解决方案,或者也可以选择为所有公司数据存储提供加密功能。但若你认为各种规定就能阻止员工不用各种便利条件搞定手上工作,那你就太不了解内部人威胁是怎么回事了。
难道不应该信任员工吗?
员工都是同事,你会雇佣不值得信任的人吗?肯定不会。
虽然恶意用户总在寻找新方法来绕过安全控制,但并非所有的内部风险都出自恶意。值得信任的员工不一定知道自己被卷进了破坏性活动中,他们有可能沦为凭证盗窃者的猎物。缺乏对所有用户行为的可见性,是每家公司中源自雇员的漏洞的根源。
人为因素一直都是让技术防御无效的变通方案。
破坏公司的内部安全的行为可以分为两种类型:本意为恶的,以及无心之失的。
前者远比后者来得危险。
有趣的是,Dtex的评估显示,恶意发布同事个人信息的报复性攻击在上升。这种攻击是将同事的个人可识别信息(PII)发布到公共论坛上,让你想整的人的收件箱、语音信箱和其他通信方式不堪重负,可以理解为个人级别上的ddos攻击。
Dtex评估报告中,67%的受访者报告称有恶意雇员牵涉危险行为,从而让他们的设备比从不访问色情网站和赌博站点的那些雇员的更加危险。
未尽之意
Dtex报告中并未列出内部人有意背叛雇主的案例数量。报复或贪婪是此类行为的两大主要动机。下一次调查或许可以以此选题。
这种事件我们时常会在新闻中看到听到,这些人才是有持久力的终极内部人威胁。
如果一个人天然具有权限,无论拷贝、共享还是打印信息都不会触发数据丢失防护(DLP)等安全措施的警报,那除非设置24小时全天候监视,否则几乎不可能抓现行。
安全教育、DLP实现、及时系统更新、复核员工权限(最小权限原则),都是值得考虑的安全建议。
零威胁是不可能达到的。公司企业应该努力做到的,是把威胁降低到一个可控的范围。