微步一周荐读:企业常见四种内部威胁 第一种最容易中招

互联网 2023-01-31 18:10:57

最近很多人关注微步一周荐读:企业常见四种内部威胁 第一种最容易中招,山东创新网小沐从网上搜集一些关于微步一周荐读:企业常见四种内部威胁 第一种最容易中招内容,希望对您有用。

本文图片来源于网络

所谓内部威胁,就是企业员工因恶意、粗心或是出错而引发的安全隐患。这些威胁可能是企业的内部员工,也可能是熟悉企业系统的离职员工或者第三方供应商。根据研究机构Ponemon Institute对2020年全球内部威胁成本的调查,内部威胁引发的平均企业损失为1145万美元,其中63%的内部威胁都是由于员工疏忽所造成。这期的《微步一周荐读》分享了内部威胁涉及的攻击手段与方式,也提供了一些企业可参考的建议,希望对你有帮助。

内部威胁的四种类型

内部威胁这个词,听着像是一种恶意行为,但实际在造成威胁的过程中,内部人员的动机、意识、访问权限等等其实存在很大的差异。我们一般可以将内部威胁分成四种不同的类型,供大家参考。

01 粗心型(人质)

粗心型内部人员一般不具有完备的安全知识,极容易被利用。通常来说,攻击者会通过鱼叉式网络钓鱼或社会工程,诱使企业内部人员下载恶意软件,或引诱其向伪造的第三方平台发送特定凭证。整个过程中,内部员工基本没有意识到安全问题的存在。正因为如此,这类攻击方式的投入产出比非常高,也成为了攻击者最喜欢的攻击手法之一。

利用粗心型内部人员对企业采取的钓鱼网络攻击,给企业带来巨大负面影响的不在少数。尤其是新冠疫情发生后,很多企业采取远程办公,员工网络环境缺乏相对有效的防护,导致被成功钓鱼的情况屡屡发生。2020年7月,某犯罪团伙在掌握Twitter主要在家办公人员信息后,通过语音网络钓鱼(Vishing)冒充Twitter公司IT管理人员给员工打电话。通过电话,该团伙成功拿到部分员工的账户凭证,并借助这些信息成功登录Twitter的管理工具,更改了包括奥巴马、拜登等大约130个知名账号的密码,并实施比特币诈骗。因为这次钓鱼攻击,Twitter的股价甚至跌了4%。

02 故意型(傻瓜)

此类内部人员的初衷并非恶意,但却故意不走寻常路。他们大多是由于不想受到安全政策约束或是寻求方便,而采取了对企业有害的行为。很大一部分企业里面,都存在员工绕过安全机制的行为,大约90%的内部威胁又都是因为此类行为所引起。比如,虽然知道会违反安全策略,但为了方便,这类员工可能会将未加密的个人身份信息(PII)存储在云账户,从而能够轻松访问。

03 合作型(勾结者)

这类相对较少,但同样存在。其主要是内部员工与竞争对手或者其他国家人员合作,利用自身的访问权限,故意对企业造成伤害。此类合作最终目的,通常是利用访问权限,窃取目标企业的知识产权、客户信息或是破坏企业的正常业务运营。

这里分享一个典型案例。2015年谷歌自动驾驶项目Waymo的首席工程师离开公司,创办了自己的自动驾驶卡车企业Otto。不过在离开之前,他把与模拟、雷达技术、源代码片段相关的图表和图纸、标记为机密的PDF以及试驾视频等14000个文件从谷歌服务器下载到了个人的笔记本电脑。几个月后,Otto被优步收购,这时谷歌高管才发现这个漏洞的存在。此时的Waymo,则获得了价值2.45亿美元的优步股票。不过该员工后续也承认了自己的罪行。

04 恶意型(独狼)

“独狼”属于完全独立的个人,不受外部影响或者操控,但具有相当强的恶意。如果此类人员具有系统管理员、数据库管理员等非常高的权限时,危害性非常大。比较典型的,就是爱德华·斯诺登事件,他利用对机密系统的访问权限,泄露了NSA网络间谍活动有关的信息(此处暂不讨论泄露的内容本身对错的问题)。

事实上大多数企业遇到的威胁,更多的还是第一种,因为员工安全意识不强,于是非常轻松地就被攻击者通过网络钓鱼利用。针对这些不同的内部威胁,如果从技术维度来看,它们其实最终可以划分为三类:

☞ 敏感信息的访问

主要是请求或访问与其角色不相关的信息,或直接爬取网络获得敏感信息。

☞ 敏感信息下载

将信息下载到未经授权的外部存储设备、下载大量的数据或从包含敏感信息的文件夹中复制文件。

☞ 向企业外部发送敏感信息

给外部来源或地址,发送电子邮件或敏感信息。

企业如何应对内部威胁

不同的内部威胁,其涉及的控制难度与威胁严重程度也各不相同。因此,企业可以采取不同的技术与非技术手段,来加强内部威胁的检测和预防:

01 员工培训与安全机制

员工安全意识的提升,建议企业作为高优先级任务。通过定期培训,能够让员工掌握必备的安全知识,了解企业的安全规定,明确安全措施背后的价值与利害。同时,采用不定期的安全演练或是游戏化的安全培训以及基于当下的热点安全事件培训,对于提高员工预防钓鱼能力、提升安全意识的效果会更好。

另外,还建议企业建立发现钓鱼邮件、安全威胁主动报告的流程与机制,从而从内部及时发现与补救相关问题,避免造成重大后果。

02 定期异常行为检测,及时发现威胁

攻击过程中,攻击者的很多重要动作并非都是以攻击的形态显现,比如获取到用户名后对信息进一步收集,得到某个权限后对数据进一步枚举,获得shell后对系统信息进行梳理及再利用。虽然看上去都只是正常操作,但放在入侵的真实环境来看,却并不正常。

而这些,通过流量检测工具就可以有效地发现。例如,微步在线威胁感知平台TDP,利用自研的行为模型算法,能够准确识别此类可疑与敏感行为,并及时针对发现的异常行为进行告警。

03 敏感文件保护与访问权限限制

对于机密信息,建议企业只授权有限访问。具体可通过相关工具,实现敏感数据和信息的访问管理,同时可对日志及其他数据进行分析,从而了解企业内部人员对敏感信息的访问状况。同时,定期更新与维护用户访问权限列表,也非常重要。

04 数据备份管理

内部威胁带来的重大后果之一,可能就是关键数据的损坏,对任何企业来说都无法承受。因此,正确、定期备份就非常重要。一旦内部威胁造成重要信息被删除,通过有效地备份能够很好地防止数据丢失。备份策略可以采取3-2-1的分布式备份。

俗话说,安全业余爱好者破解系统,专业人士破解人。在攻击者眼里,人才是最大的攻击入口。我们有理由相信企业的每一位内部人员,但不能阻止攻击者利用人的弱点,对企业实施攻击。这也是我们需要关注内部威胁的一个非常重要的理由。

参考来源:securityintelligence