內(nèi)部威脅早已不是什么新鮮概念,，很多重大網(wǎng)絡(luò)安全事件都是由內(nèi)部因素所引發(fā)。但直到目前,，企業(yè)對內(nèi)部威脅問題仍然沒有足夠的重視,，并且缺乏有效的應(yīng)對和防護措施。事實上,，大多數(shù)安全團隊面對內(nèi)部威脅時仍然是事后補救,。本文總結(jié)了近年來發(fā)生的9起全球知名企業(yè)內(nèi)部威脅安全事件。通過分析研究這些真實案例,，并從中汲取經(jīng)驗教訓(xùn),，有助于組織進(jìn)一步提升自己對內(nèi)部威脅風(fēng)險的主動防御能力。

類型一：網(wǎng)絡(luò)釣魚

攻擊者很容易偽裝成您信任的人,。根據(jù)《2022年Verizon數(shù)據(jù)泄露調(diào)查報告》顯示,，網(wǎng)絡(luò)釣魚是社會工程相關(guān)事件的罪魁禍?zhǔn)祝急瘸^60%,。此外,，網(wǎng)絡(luò)釣魚還是惡意攻擊者實現(xiàn)入侵的三大媒介之一，另外兩個是程序下載和勒索軟件,。

代表性事件：Twitter

2020年7月中旬,，Twitter遭受了大規(guī)模魚叉式釣魚攻擊,。網(wǎng)絡(luò)犯罪分子破壞了社交網(wǎng)絡(luò)的管理面板，控制了多個知名Twitter用戶的賬戶（包括私人和公司賬戶）,，并代表他們分發(fā)了假比特幣贈品,。

據(jù)悉，黑客冒充公司的IT部門專家,，聯(lián)系了Twitter的幾名遠(yuǎn)程員工,，要求他們提供工作帳戶憑據(jù)。這些憑據(jù)幫助攻擊者訪問了社交網(wǎng)絡(luò)的管理員工具,，重置了數(shù)十名公眾人物的Twitter帳戶,，并發(fā)布詐騙信息。

防護建議

制定具有明確指示的網(wǎng)絡(luò)安全政策很重要,，但這還不夠,。組織還應(yīng)定期進(jìn)行培訓(xùn)，以確保其員工充分了解該政策的關(guān)鍵規(guī)則,，并提高其整體網(wǎng)絡(luò)安全意識,。如果每個員工都知道誰可以重置密碼、如何重置密碼以及在何種情況下需要重置密碼,，他們就不太可能落入攻擊者的陷阱,。

特權(quán)帳戶需要額外的保護，因為其所有者通?？梢栽L問最關(guān)鍵的系統(tǒng)和數(shù)據(jù),。如果黑客能夠獲取這些帳戶，將可能對組織的數(shù)據(jù)安全和聲譽造成災(zāi)難性后果,。為確保及時檢測和預(yù)防特權(quán)帳戶下的惡意活動,，組織應(yīng)該部署支持連續(xù)用戶監(jiān)控、多因素身份驗證（MFA）以及用戶實體行為分析（UEBA）的安全解決方案,。

類型二：特權(quán)濫用

有時,，部分內(nèi)部員工也會濫用授予他們的特權(quán)。組織中存在許多具有特權(quán)的用戶,，如管理員,、技術(shù)專家和管理者，他們可以完全訪問網(wǎng)絡(luò)中的多個系統(tǒng),，甚至可以在不引起任何人注意的情況下創(chuàng)建新的特權(quán)帳戶,。

不幸的是,，企業(yè)很難檢測到擁有特權(quán)的用戶是否濫用了他們的權(quán)限,。這類罪犯往往可以巧妙地隱藏自己的行為，甚至可能誤導(dǎo)組織的內(nèi)部調(diào)查,，就像下述Ubiquiti Networks的情況一樣,。

代表性事件1：Ubiquiti Networks

2020年12月,，Ubiquiti Networks的一名員工濫用其管理權(quán)限竊取機密數(shù)據(jù)，并將其用于獲取個人利益,。攻擊者通過VPN服務(wù)訪問公司的AWS和GitHub服務(wù),，并授予他自己高級開發(fā)人員的證書。這名員工冒充匿名黑客,，告知公司“竊取了他們的源代碼和產(chǎn)品信息”,，并要求公司支付近200萬美元的贖金，以阻止進(jìn)一步的數(shù)據(jù)泄露,。

可笑的是,，該員工還參與了后續(xù)的事件響應(yīng)工作。為了混淆公司的調(diào)查方向,，他謊稱外部攻擊者侵入了公司的AWS資源,。

代表性事件2：國際紅十字國際委員會（ICRC）

2022年1月，國際紅十字委員會遭受嚴(yán)重網(wǎng)絡(luò)攻擊和大規(guī)模數(shù)據(jù)泄露,。紅十字委員會網(wǎng)絡(luò)戰(zhàn)顧問盧卡斯·奧列尼克（Lukasz Olejnik）表示,，這可能是人道主義組織有史以來發(fā)生的最大規(guī)模敏感信息泄露事件。此次事件導(dǎo)致515000多名因地緣沖突,、移民和其他災(zāi)難而與家人分離的弱勢人群隱私數(shù)據(jù)泄露,。

起初，人們認(rèn)為這一事件是由于對該組織的一個分包商的攻擊造成的,。然而,，后續(xù)調(diào)查表明，此次攻擊的目標(biāo)正是紅十字委員會的服務(wù)器,。惡意行為者通過一個漏洞訪問了紅十字委員會的系統(tǒng),，獲取了特權(quán)賬戶，并偽裝成管理員獲取敏感數(shù)據(jù),。

防護建議

各組織有多種方式可以防止特權(quán)濫用,，比如可以通過啟用手動批準(zhǔn)模式來保護組織最重要的特權(quán)帳戶。許多組織還擁有多人使用的特權(quán)帳戶,，例如管理員或服務(wù)管理帳戶,。在這種情況下，可以使用輔助身份驗證來區(qū)分此類帳戶下單個用戶的操作,。

在AWS上啟用用戶活動監(jiān)控可以幫助企業(yè)迅速識別和響應(yīng)可疑事件,，降低關(guān)鍵數(shù)據(jù)從云環(huán)境中被盜的風(fēng)險。此外,，詳細(xì)的用戶活動記錄和審計可以簡化事故調(diào)查過程,，并防止肇事者誤導(dǎo)調(diào)查人員。

類型三：內(nèi)部數(shù)據(jù)竊取

內(nèi)部人員往往是組織默認(rèn)可信的人,。通過合法訪問組織的關(guān)鍵資產(chǎn),，內(nèi)部人員可以在無人監(jiān)管的情況下輕松竊取敏感數(shù)據(jù),。

代表性事件1：電子商務(wù)平臺Shopify

2020年，知名電子商務(wù)平臺Shopify成為內(nèi)部攻擊的受害者,。Shopify的兩名員工被攻擊者收買,，竊取了近200名在線商家的交易記錄。他們向網(wǎng)絡(luò)犯罪分子發(fā)送了敏感數(shù)據(jù)截圖和谷歌硬盤的數(shù)據(jù)鏈接,。

根據(jù)該公司的聲明,，受損商家的客戶數(shù)據(jù)可能已被泄露，包括基本聯(lián)系信息和訂單詳細(xì)信息,。但Shopify同時聲稱,，沒有敏感的個人或財務(wù)信息受到影響，因為攻擊者無法訪問這些信息,。

代表性事件2：Cash App

2021年12月,，Block股份有限公司披露其子公司Cash App發(fā)生網(wǎng)絡(luò)安全事件。一名前員工下載了內(nèi)部報告,，其中包含了800多萬名Cash App投資客戶的信息,。該公司沒有說明這名前員工為什么可以長時間訪問敏感的內(nèi)部數(shù)據(jù)，只是聲稱被盜報告中沒有包括任何個人身份信息,，如用戶名,、密碼或社會安全號碼。

防護建議

確保組織敏感數(shù)據(jù)安全的第一步就是限制用戶對數(shù)據(jù)的訪問,。企業(yè)應(yīng)該考慮實施“最低權(quán)限”原則,，以完善訪問管理策略。用戶活動監(jiān)控和審計工具也可以幫助網(wǎng)絡(luò)安全團隊發(fā)現(xiàn)員工的可疑行為,，例如訪問與職位無關(guān)的數(shù)據(jù)或服務(wù),、訪問公共云存儲服務(wù)或向私人賬戶發(fā)送帶有附件的電子郵件。

一旦員工的合同終止,，應(yīng)該確保有適當(dāng)?shù)碾x職流程,。它應(yīng)該包括停用帳戶、VPN訪問和遠(yuǎn)程桌面訪問,、更改員工可能知道的訪問代碼和密碼,，以及從電子郵件組和通訊組列表中刪除員工的帳戶。

類型四：知識產(chǎn)權(quán)盜竊

商業(yè)秘密是許多網(wǎng)絡(luò)犯罪分子的主要目標(biāo),，而知識產(chǎn)權(quán)正是一個組織最有價值的數(shù)據(jù)類型之一,。絕妙的想法、創(chuàng)新的技術(shù)和復(fù)雜的方案為企業(yè)帶來了競爭優(yōu)勢,，因此成為惡意行為者的主要攻擊目標(biāo)也就不足為奇了,。

代表性事件1：英特爾

近期，英特爾起訴其前雇員竊取機密文件和商業(yè)機密,。這起事件發(fā)生在2020年1月,。根據(jù)訴訟內(nèi)容,，瓦倫·古普塔（Varun Gupta）博士在英特爾工作了10年,，在其任職的最后幾天里竊取了超過3900份機密文件,，并將其放在移動硬盤上。在被英特爾解雇后,，Gupta又在微軟獲得了一個管理職位,。不久之后，Gupta參加了微軟和英特爾關(guān)于Xeon處理器供應(yīng)的談判,。在談判中,，Gupta提到了英特爾的機密信息和商業(yè)秘密，為他的新雇主贏得不正當(dāng)?shù)纳虡I(yè)優(yōu)勢,。

代表性事件2：Proofpoint

2021年1月,，Proofpoint公司合作伙伴的前銷售總監(jiān)竊取了該公司的商業(yè)秘密，并將其與競爭對手分享,。這些文件包含了與Abnormal Security公司（該員工離職后就任的公司）競爭的策略和戰(zhàn)術(shù),。Proofpoint的法務(wù)代表聲稱，盡管在入職時就簽署了競業(yè)禁止協(xié)議,，但該惡意員工還是拿走了帶有隱私文件的USB驅(qū)動器,。

代表性事件3：輝瑞制藥

2021年10月，一名內(nèi)部員工偷走了輝瑞公司12000份機密文件,，其中包括有關(guān)新冠肺炎疫苗以及實驗性單克隆癌治療的商業(yè)數(shù)據(jù),。

輝瑞公司起訴了該員工將包含商業(yè)機密的文件上傳到私人谷歌硬盤賬戶和個人設(shè)備。據(jù)悉,，該惡意員工可能是想把竊取的信息傳遞給輝瑞的競爭對手,，因為后者此前曾向這位前輝瑞員工提供過工作機會。

防護建議

首先,，組織需要全面了解哪些信息是最有價值的知識產(chǎn)權(quán),，它位于何處，以及誰真正需要訪問它,。當(dāng)涉及到技術(shù)專家時,，組織可能不得不讓他們獲得相關(guān)資源。但是,，組織應(yīng)該只授予他們完成工作所需的相關(guān)訪問權(quán)限,。通過使用高級訪問管理解決方案，企業(yè)可以防止未經(jīng)授權(quán)的人員訪問知識產(chǎn)權(quán),。

組織還可以使用強大的用戶活動監(jiān)控和用戶實體行為分析（UEBA）工具來加強對知識產(chǎn)權(quán)的保護,，這樣可以幫助組織檢測網(wǎng)絡(luò)中的可疑活動，并為進(jìn)一步調(diào)查收集詳細(xì)證據(jù),。企業(yè)還應(yīng)該部署防復(fù)制或USB管理解決方案,，使員工無法復(fù)制敏感數(shù)據(jù)或使用未經(jīng)批準(zhǔn)的USB設(shè)備,。

類型五：供應(yīng)鏈攻擊

分包商通常擁有與內(nèi)部用戶同等的系統(tǒng)訪問權(quán)限。與分包商和第三方供應(yīng)商合作是當(dāng)今組織的常態(tài),。但是,，過度允許第三方伙伴訪問企業(yè)網(wǎng)絡(luò)很可能會產(chǎn)生網(wǎng)絡(luò)安全風(fēng)險。

代表性事件：大眾汽車

2021年5月,，大眾汽車披露,，惡意行為者通過攻擊一家大眾汽車的數(shù)字銷售和營銷合作供應(yīng)商，訪問了一個不安全的敏感數(shù)據(jù)文件,，事件影響了300多萬奧迪現(xiàn)有和潛在客戶,。

雖然大多數(shù)被泄露的數(shù)據(jù)僅包含客戶的聯(lián)系方式和購買或查詢的車輛信息，但約90000名客戶的敏感數(shù)據(jù)也被竊取,。為響應(yīng)此次事件,，大眾最終承諾為受影響的用戶提供免費信貸保護服務(wù)。

防護建議

在選擇第三方供應(yīng)商時,，企業(yè)應(yīng)關(guān)注他們的網(wǎng)絡(luò)安全制度及合規(guī)性,。如果潛在的合作商缺乏網(wǎng)絡(luò)安全實踐經(jīng)驗，請考慮在服務(wù)級別協(xié)議中添加相應(yīng)的要求,，并將分包商對關(guān)鍵數(shù)據(jù)和系統(tǒng)的訪問限制在其工作所需的范圍內(nèi),。

為了加強對最關(guān)鍵資產(chǎn)的保護，企業(yè)可以應(yīng)用多種網(wǎng)絡(luò)安全措施,，如MFA,、手動登錄批準(zhǔn)和實時特權(quán)訪問管理。此外,，還可以考慮部署監(jiān)控解決方案,，以查看誰對企業(yè)的關(guān)鍵數(shù)據(jù)做了什么。保存第三方用戶活動記錄可實現(xiàn)快速徹底的網(wǎng)絡(luò)安全審計和安全事件調(diào)查,。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<