根據Ponemon發布的一項調查報告顯示,內部惡意事件會對企業造成更大的損失——平均每起事件損失755,760美元,每年損失408萬美元。Code42公司CISO兼CIO Jadee Hanson表示:“如今的數據多是數字化和便攜式的,因此想要獲取它易如反掌。員工和承包商有無數種方法可以將專有文檔轉儲到可移動U盤、個人Dropbox或G-Drive上,并隨身攜帶,以便可以在下一份工作中受益或為競爭對手提供戰略優勢。其中,源代碼、專利申請以及客戶名單都是極受惡意內部人員青睞的數據。”
以下是防止惡意內部人員攻擊的一些建議,其中部分建議同樣適用于非惡意內部事件。
1、建立專業的內部風險防護團隊
內部風險防護負責人員需要具備對員工和面試者的行為分析技能,能夠高效識別潛在的惡意內部風險。而且內部風險分析涉及到每個并肩工作的同事,所以負責內部風險的分析師要格外謹慎且不宜過多,因為太多人訪問他人的敏感信息,本身也是一種風險。
企業需要一支致力于內部風險的完整團隊。然后,該團隊可以向法律和人力資源部門報告他們在公司和行業內觀察到的情況,以便確定應對內部威脅最合適的解決方案。
2. 準確識別和界定惡意內部風險類別
雖然企業遭遇的惡意內部事件各有不同,但最典型的莫過于以下兩種基本類型:
一種是,外部威脅組織以豐厚的報酬引誘內部員工交出敏感的公司數據。這種情況非常明確,也更容易起訴;另一種情況則不容易界定,即員工離職時,安全團隊在其私人iCloud或Google drive發現存有企業隱私數據。此類情況不好界定的原因是,該員工都會借口推脫稱只是無意行為。這也是上述要建立內部風險防護團隊的重要原因之一,他們此時必須能夠判斷這個人是否在撒謊。
3.盡早發現企業的風險因素
內部風險防護團隊需要確定企業中風險最大的人員。當涉及到惡意案例時,企業內中級網絡和數據庫管理人員通常是需要特別注意,因為他們有權訪問域管理路由、對服務器的路由訪問以及對公司防火墻的訪問權限。他們清楚地知道自己的行為會產生什么后果,一旦發生異常情況,則更有可能并非意外。
通過審視風險,能夠建立起更有效的防御機制。此外,安全團隊還需要了解企業的高風險數據。例如,開發人員創建的源代碼文件,知識產權以及客戶名單等等。
4. 讓安全團隊盡早參與事件處置
如果公司不給安全分析師參與初步事件調查的機會,那么之后的人力資源和法務部門可能會忙成一鍋粥。安全分析師必須有能力對嫌疑人員進行初步調查。在安全分析師掌握更多事實之前,進一步推進案件是沒有意義的。
舉個例子,一位高管將敏感的公司信息下載到個人U盤上,這件事看起來很可疑,但經過調查后發現,這位高管正在住院,拷貝資料只是為了讓妻子幫忙打印出來,以便可以在醫院辦公。
在初步調查過程中,安全分析師必須考慮以下問題:我對嫌疑人員了解多少?他們為什么要離開組織?他們在過去60天內做了什么?他們是否存在前科,或做出了有違職業操守的行為等等。
5. 建立完整的內部威脅處置流程
在惡意內部人員案件中,企業最終可能會指控員工犯罪。因此,企業需要制定此類案件的完整處理流程。如果缺少安全團隊、人力資源和法律部門的合作,就無法實現這一點。安全分析師進行初步調查只是充當了偵探的角色,他們還需要將證據提交給充當法官、陪審團和審判長的上級領導。
設立內部風險計劃的安全分析師也應該與執法部門保持聯系。例如,如果分析師看到可能導致實際工作場所暴力(危及生命)的虛擬指標,則可能會直接求助于執法部門。但是對于數字案例,安全團隊應該與HR和法律部門密切合作。
內部威脅計劃旨在減輕有權訪問組織資產的個人造成的風險,而該人不僅僅存在于虛擬世界中。公司需要從整體的角度來看待并了解現實生活中可能發生的會造成損失的事情。將兩者結合是減輕威脅最有效的方法。
6. 制定完善的員工行為管理制度
員工應該了解公司已經制定的旨在保護公司數據并概述違規流程和處罰的內部風險計劃。
大多數公司都制定了相當標準的政策,規定了可接受的使用政策以及員工應該如何處理公司數據。圍繞懲罰制定政策是最常見的方式。大多數公司都根據自身能夠承受的風險水平制定了政策,例如,如果有人第二次落入釣魚郵件陷阱以及第二次導致公司丟失敏感數據,將受到相應懲罰。
“事不過三”的原則說起來容易,實踐起來卻并不簡單。如果某位員工在此類事件上“屢禁不止”,這可能就是搜尋惡意事件源頭的重要信號。
7. 采用最新的安全技術
除了上述安全建議外,企業組織還可以利用最新的安全技術來防止內部攻擊。例如,通過使用像Google G Suite這樣的工具,公司可以知道他們的員工正在訪問哪些文檔,阻止他們下載某些類型的文檔,并制定相關政策以貫徹落實這一目標。
以Code42公司為例,他們已經將每個員工都轉移至云端,公司現在要做的就是管理遠程訪問。每個人在云端都有一個特定于工作角色的分區,唯一的危險因素就是管理員。
