內部威脅早已不是什么新鮮概念,很多重大網絡安全事件都是由內部因素所引發。但直到目前,企業對內部威脅問題仍然沒有足夠的重視,并且缺乏有效的應對和防護措施。事實上,大多數安全團隊面對內部威脅時仍然是事后補救。本文總結了近年來發生的9起全球知名企業內部威脅安全事件。通過分析研究這些真實案例,并從中汲取經驗教訓,有助于組織進一步提升自己對內部威脅風險的主動防御能力。
類型一:網絡釣魚
攻擊者很容易偽裝成您信任的人。根據《2022年Verizon數據泄露調查報告》顯示,網絡釣魚是社會工程相關事件的罪魁禍首,占比超過60%。此外,網絡釣魚還是惡意攻擊者實現入侵的三大媒介之一,另外兩個是程序下載和勒索軟件。
代表性事件:Twitter
2020年7月中旬,Twitter遭受了大規模魚叉式釣魚攻擊。網絡犯罪分子破壞了社交網絡的管理面板,控制了多個知名Twitter用戶的賬戶(包括私人和公司賬戶),并代表他們分發了假比特幣贈品。
據悉,黑客冒充公司的IT部門專家,聯系了Twitter的幾名遠程員工,要求他們提供工作帳戶憑據。這些憑據幫助攻擊者訪問了社交網絡的管理員工具,重置了數十名公眾人物的Twitter帳戶,并發布詐騙信息。
防護建議
制定具有明確指示的網絡安全政策很重要,但這還不夠。組織還應定期進行培訓,以確保其員工充分了解該政策的關鍵規則,并提高其整體網絡安全意識。如果每個員工都知道誰可以重置密碼、如何重置密碼以及在何種情況下需要重置密碼,他們就不太可能落入攻擊者的陷阱。
特權帳戶需要額外的保護,因為其所有者通常可以訪問最關鍵的系統和數據。如果黑客能夠獲取這些帳戶,將可能對組織的數據安全和聲譽造成災難性后果。為確保及時檢測和預防特權帳戶下的惡意活動,組織應該部署支持連續用戶監控、多因素身份驗證(MFA)以及用戶實體行為分析(UEBA)的安全解決方案。
類型二:特權濫用
有時,部分內部員工也會濫用授予他們的特權。組織中存在許多具有特權的用戶,如管理員、技術專家和管理者,他們可以完全訪問網絡中的多個系統,甚至可以在不引起任何人注意的情況下創建新的特權帳戶。
不幸的是,企業很難檢測到擁有特權的用戶是否濫用了他們的權限。這類罪犯往往可以巧妙地隱藏自己的行為,甚至可能誤導組織的內部調查,就像下述Ubiquiti Networks的情況一樣。
代表性事件1:Ubiquiti Networks
2020年12月,Ubiquiti Networks的一名員工濫用其管理權限竊取機密數據,并將其用于獲取個人利益。攻擊者通過VPN服務訪問公司的AWS和GitHub服務,并授予他自己高級開發人員的證書。這名員工冒充匿名黑客,告知公司“竊取了他們的源代碼和產品信息”,并要求公司支付近200萬美元的贖金,以阻止進一步的數據泄露。
可笑的是,該員工還參與了后續的事件響應工作。為了混淆公司的調查方向,他謊稱外部攻擊者侵入了公司的AWS資源。
代表性事件2:國際紅十字國際委員會(ICRC)
2022年1月,國際紅十字委員會遭受嚴重網絡攻擊和大規模數據泄露。紅十字委員會網絡戰顧問盧卡斯·奧列尼克(Lukasz Olejnik)表示,這可能是人道主義組織有史以來發生的最大規模敏感信息泄露事件。此次事件導致515000多名因地緣沖突、移民和其他災難而與家人分離的弱勢人群隱私數據泄露。
起初,人們認為這一事件是由于對該組織的一個分包商的攻擊造成的。然而,后續調查表明,此次攻擊的目標正是紅十字委員會的服務器。惡意行為者通過一個漏洞訪問了紅十字委員會的系統,獲取了特權賬戶,并偽裝成管理員獲取敏感數據。
防護建議
各組織有多種方式可以防止特權濫用,比如可以通過啟用手動批準模式來保護組織最重要的特權帳戶。許多組織還擁有多人使用的特權帳戶,例如管理員或服務管理帳戶。在這種情況下,可以使用輔助身份驗證來區分此類帳戶下單個用戶的操作。
在AWS上啟用用戶活動監控可以幫助企業迅速識別和響應可疑事件,降低關鍵數據從云環境中被盜的風險。此外,詳細的用戶活動記錄和審計可以簡化事故調查過程,并防止肇事者誤導調查人員。
類型三:內部數據竊取
內部人員往往是組織默認可信的人。通過合法訪問組織的關鍵資產,內部人員可以在無人監管的情況下輕松竊取敏感數據。
代表性事件1:電子商務平臺Shopify
2020年,知名電子商務平臺Shopify成為內部攻擊的受害者。Shopify的兩名員工被攻擊者收買,竊取了近200名在線商家的交易記錄。他們向網絡犯罪分子發送了敏感數據截圖和谷歌硬盤的數據鏈接。
根據該公司的聲明,受損商家的客戶數據可能已被泄露,包括基本聯系信息和訂單詳細信息。但Shopify同時聲稱,沒有敏感的個人或財務信息受到影響,因為攻擊者無法訪問這些信息。
代表性事件2:Cash App
2021年12月,Block股份有限公司披露其子公司Cash App發生網絡安全事件。一名前員工下載了內部報告,其中包含了800多萬名Cash App投資客戶的信息。該公司沒有說明這名前員工為什么可以長時間訪問敏感的內部數據,只是聲稱被盜報告中沒有包括任何個人身份信息,如用戶名、密碼或社會安全號碼。
防護建議
確保組織敏感數據安全的第一步就是限制用戶對數據的訪問。企業應該考慮實施“最低權限”原則,以完善訪問管理策略。用戶活動監控和審計工具也可以幫助網絡安全團隊發現員工的可疑行為,例如訪問與職位無關的數據或服務、訪問公共云存儲服務或向私人賬戶發送帶有附件的電子郵件。
一旦員工的合同終止,應該確保有適當的離職流程。它應該包括停用帳戶、VPN訪問和遠程桌面訪問、更改員工可能知道的訪問代碼和密碼,以及從電子郵件組和通訊組列表中刪除員工的帳戶。
類型四:知識產權盜竊
商業秘密是許多網絡犯罪分子的主要目標,而知識產權正是一個組織最有價值的數據類型之一。絕妙的想法、創新的技術和復雜的方案為企業帶來了競爭優勢,因此成為惡意行為者的主要攻擊目標也就不足為奇了。
代表性事件1:英特爾
近期,英特爾起訴其前雇員竊取機密文件和商業機密。這起事件發生在2020年1月。根據訴訟內容,瓦倫·古普塔(Varun Gupta)博士在英特爾工作了10年,在其任職的最后幾天里竊取了超過3900份機密文件,并將其放在移動硬盤上。在被英特爾解雇后,Gupta又在微軟獲得了一個管理職位。不久之后,Gupta參加了微軟和英特爾關于Xeon處理器供應的談判。在談判中,Gupta提到了英特爾的機密信息和商業秘密,為他的新雇主贏得不正當的商業優勢。
代表性事件2:Proofpoint
2021年1月,Proofpoint公司合作伙伴的前銷售總監竊取了該公司的商業秘密,并將其與競爭對手分享。這些文件包含了與Abnormal Security公司(該員工離職后就任的公司)競爭的策略和戰術。Proofpoint的法務代表聲稱,盡管在入職時就簽署了競業禁止協議,但該惡意員工還是拿走了帶有隱私文件的USB驅動器。
代表性事件3:輝瑞制藥
2021年10月,一名內部員工偷走了輝瑞公司12000份機密文件,其中包括有關新冠肺炎疫苗以及實驗性單克隆癌治療的商業數據。
輝瑞公司起訴了該員工將包含商業機密的文件上傳到私人谷歌硬盤賬戶和個人設備。據悉,該惡意員工可能是想把竊取的信息傳遞給輝瑞的競爭對手,因為后者此前曾向這位前輝瑞員工提供過工作機會。
防護建議
首先,組織需要全面了解哪些信息是最有價值的知識產權,它位于何處,以及誰真正需要訪問它。當涉及到技術專家時,組織可能不得不讓他們獲得相關資源。但是,組織應該只授予他們完成工作所需的相關訪問權限。通過使用高級訪問管理解決方案,企業可以防止未經授權的人員訪問知識產權。
組織還可以使用強大的用戶活動監控和用戶實體行為分析(UEBA)工具來加強對知識產權的保護,這樣可以幫助組織檢測網絡中的可疑活動,并為進一步調查收集詳細證據。企業還應該部署防復制或USB管理解決方案,使員工無法復制敏感數據或使用未經批準的USB設備。
類型五:供應鏈攻擊
分包商通常擁有與內部用戶同等的系統訪問權限。與分包商和第三方供應商合作是當今組織的常態。但是,過度允許第三方伙伴訪問企業網絡很可能會產生網絡安全風險。
代表性事件:大眾汽車
2021年5月,大眾汽車披露,惡意行為者通過攻擊一家大眾汽車的數字銷售和營銷合作供應商,訪問了一個不安全的敏感數據文件,事件影響了300多萬奧迪現有和潛在客戶。
雖然大多數被泄露的數據僅包含客戶的聯系方式和購買或查詢的車輛信息,但約90000名客戶的敏感數據也被竊取。為響應此次事件,大眾最終承諾為受影響的用戶提供免費信貸保護服務。
防護建議
在選擇第三方供應商時,企業應關注他們的網絡安全制度及合規性。如果潛在的合作商缺乏網絡安全實踐經驗,請考慮在服務級別協議中添加相應的要求,并將分包商對關鍵數據和系統的訪問限制在其工作所需的范圍內。
為了加強對最關鍵資產的保護,企業可以應用多種網絡安全措施,如MFA、手動登錄批準和實時特權訪問管理。此外,還可以考慮部署監控解決方案,以查看誰對企業的關鍵數據做了什么。保存第三方用戶活動記錄可實現快速徹底的網絡安全審計和安全事件調查。
更多信息可以來這里獲取==>>電子技術應用-AET<<
