《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 內(nèi)部威脅困境:管理“自己人”比識別外人更麻煩

內(nèi)部威脅困境:管理“自己人”比識別外人更麻煩

2022-11-11
來源:安全419
關(guān)鍵詞: 內(nèi)部威脅

  最堅固的堡壘往往是從內(nèi)部被攻破的。內(nèi)部威脅早已不是什么鮮為人知的安全隱患,,其普遍性已經(jīng)成為幾乎所有企業(yè)都需要擔(dān)心和考慮的問題。

  在這里,,我們首先定義一下內(nèi)部威脅(Insider Threat)的概念范疇,其是指內(nèi)部人員利用獲得的信任做出的損害授信組織合法利益的行為,,這些利益包括企業(yè)的經(jīng)濟(jì)利益,、業(yè)務(wù)運(yùn)行、對外服務(wù)以及授信主體聲譽(yù)等,。同時需要注意,,內(nèi)部威脅不僅僅是組織合法成員的有意或無意導(dǎo)致的組織利益損失,還包括一些外部偽裝成內(nèi)部成員的攻擊,。

  全球內(nèi)部威脅事件頻出

  企業(yè)經(jīng)濟(jì),、業(yè)務(wù)、聲譽(yù)多重受損

  在近兩年公開披露的大型網(wǎng)絡(luò)安全事件中,,因內(nèi)部威脅而造成的,,其比例之高、類型之多,、行業(yè)覆蓋之廣,,令人觸目驚心,。

  ● 內(nèi)部泄密

  內(nèi)部人員造成企業(yè)數(shù)據(jù)泄露是內(nèi)部威脅安全事件中最多也最突出的。

  2021年11月,,輝瑞制藥起訴一名前員工,,指控其在跳槽前竊取了超過1.2萬份文件,包括輝瑞新冠疫苗的內(nèi)部評估與建議,、輝瑞與德國疫苗合作伙伴的合作關(guān)系,以及兩種癌癥抗體介紹等商業(yè)機(jī)密文件,。輝瑞認(rèn)為這是競爭對手的無情挖角而驅(qū)使的,。

  除了這類內(nèi)鬼惡意的竊密,更多的事件源于員工的粗心或誤操作,。

  2020年,,保險軟件開發(fā)商Vertafore的一名員工無意中將數(shù)據(jù)文件存儲在不安全的外部存儲服務(wù)上,致使2770萬得克薩斯州駕駛員敏感信息泄露,。這些文件包含數(shù)百萬個駕駛執(zhí)照的信息,,用于該公司為其軟件創(chuàng)建保險評級功能。因員工大意導(dǎo)致客戶數(shù)據(jù)暴露,,企業(yè)不僅要承受信任度降低,,還將承擔(dān)高額的罰款和賠付。

  ● 特權(quán)濫用

  賬戶與權(quán)限是內(nèi)部協(xié)作與管理中非?;A(chǔ)的工具,,但由于其錯誤的配置、沒有及時更新的權(quán)限管理,、沒有及時修補(bǔ)的漏洞,、弱口令等,導(dǎo)致身份賬戶總成能為內(nèi)部威脅的巨大敞口,。

  2021年,,紐約一家信用合作社的前雇員在被解雇幾天后仍然能夠登錄公司系統(tǒng),其在40分鐘內(nèi)暴力刪除了21.3 GB的公司數(shù)據(jù),,其中包括2萬個文件和3500個目錄,。此外,她還讀取了包括董事會會議記錄在內(nèi)的敏感文檔,。

  除了員工會越權(quán),,黑客也會通過破壞賬戶權(quán)限混入內(nèi)部。

  2022年1月,,紅十字國際委員會(ICRC)表示其遭到不明身份的黑客入侵,,超過51萬人的個人信息被竊取,這些數(shù)據(jù)來自全球至少60個紅十字會及其分會,。調(diào)查顯示,,黑客是通過一個未修補(bǔ)的漏洞破壞管理員憑據(jù),,并偽裝成內(nèi)部合法用戶、管理員來泄露注冊表配置和活動目錄文件,。

  ● 網(wǎng)絡(luò)釣魚

  此外網(wǎng)絡(luò)釣魚也非常常見,,雖然手段看起來很初級,但經(jīng)年累月屢試不爽,。

  2022年5月,,國內(nèi)某互聯(lián)網(wǎng)大廠一批員工收到釣魚郵件,有20余名員工按郵件要求掃碼填寫了銀行賬號等信息,,被騙取四萬元人民幣,。官方聲明顯示,由于某員工使用郵件時被意外釣魚導(dǎo)致密碼泄露,,進(jìn)而被冒充財務(wù)部盜發(fā)郵件,。

  值得注意的是,網(wǎng)絡(luò)釣魚經(jīng)常被當(dāng)做打開內(nèi)部大門的跳板,,進(jìn)而可能引發(fā)勒索攻擊,、APT攻擊等影響巨大的安全事件。

  ● 供應(yīng)鏈入侵

  合作伙伴是另一種身份上的內(nèi)部人員,,他們通常擁有比肩內(nèi)部人員的訪問權(quán)限,,又常常被內(nèi)部管理及評估所忽略。

  2021年5月,,大眾汽車披露,,負(fù)責(zé)為其提供銷售與營銷服務(wù)的第三方供應(yīng)商的某套在線系統(tǒng)存在安全配置錯誤,導(dǎo)致數(shù)據(jù)泄露,,超過330萬客戶的個人信息意外流出,,其中大部分為奧迪車主。為響應(yīng)此次事件,,大眾最終承諾為受影響的用戶提供免費信貸保護(hù)服務(wù),。

  內(nèi)部威脅不容小覷 恐比外部攻擊更難纏

  從結(jié)果看,無論是外部攻擊還是內(nèi)部威脅,,最終都造成企業(yè)數(shù)據(jù)資產(chǎn)外泄露,、業(yè)務(wù)受影響等,但是,,內(nèi)部威脅的危害性往往是更大的,。相較于外部攻擊,內(nèi)部威脅有著更明確的動機(jī)和目的,,而且攻擊方對內(nèi)部更加熟悉,、觸達(dá)核心資產(chǎn)更加方便,針對這種強(qiáng)針對性而且便捷的威脅的識別和防范難度也更大。

  首先是意識層面和策略重點的問題,。企業(yè)管理層對內(nèi)部威脅長期缺乏重視,,安全資源和重心傾向于外部攻擊,在管理策略和防范策略上處于防外不防內(nèi)的模式,,進(jìn)而導(dǎo)致員工的安全意識和技能也比較淺顯生疏,,大量的無意識、誤操作可能引發(fā)蝴蝶效應(yīng),,更別說心有不軌的內(nèi)鬼會進(jìn)行偽裝和內(nèi)外勾結(jié),。

  其次,傳統(tǒng)網(wǎng)絡(luò)安全建設(shè)著重在解決邊界防護(hù)問題,,由于其檢測機(jī)制所限,,這些網(wǎng)絡(luò)邊界防護(hù)手段無法有效地發(fā)現(xiàn)識別和解決內(nèi)部用戶發(fā)起的內(nèi)部威脅。而內(nèi)網(wǎng)威脅檢測分為網(wǎng)絡(luò)側(cè)與終端側(cè),,網(wǎng)絡(luò)側(cè)如IPS/IDS等基于流量進(jìn)行檢測,終端側(cè)依靠EDR,、蜜罐等進(jìn)行識別,,以及UEBA等新興技術(shù),處理大量的告警煩雜低效,,而真實的威脅可能被淹沒在其中,。

  解決內(nèi)部威脅的出路:重新找到安全的邊界

  以內(nèi)外網(wǎng)為邊界進(jìn)行安全檢測和防護(hù)在面對內(nèi)部威脅時手足無措,業(yè)務(wù)上云,、BYOD,、遠(yuǎn)程協(xié)作等新辦公場景已經(jīng)沖破了所謂的內(nèi)網(wǎng),邊界模糊幾近消失,,原本安全的內(nèi)部也就不復(fù)存在,。內(nèi)部威脅總是源于攻擊者借助內(nèi)部身份的便利性或者瞄準(zhǔn)身份和權(quán)限管理功能下手,那么身份,,就成為了一道新的,、邏輯上的安全邊界。

  IAM(身份識別與訪問管理)如今已成為多數(shù)企業(yè)機(jī)構(gòu)的標(biāo)配,,尤其是多分支組織架構(gòu),、擁有多個供應(yīng)商和合作伙伴的大型集團(tuán),IAM旨在統(tǒng)一構(gòu)建平臺的權(quán)限管理標(biāo)準(zhǔn),,通過定義并管理單個網(wǎng)絡(luò)用戶的身份,,確保合適的身份在合適的時間獲得合適的授權(quán)訪問。

  隨著零信任概念的普及,,采用零信任原則和架構(gòu)的增強(qiáng)型IAM通過多因素身份驗證進(jìn)行訪問,,采用最小特權(quán)原則,對每一次訪問都進(jìn)行動態(tài)驗證及授權(quán),,可以應(yīng)對網(wǎng)絡(luò)中的各類請求,。同時會監(jiān)視特權(quán)用戶的活動,,自動禁用或按需修改離職、轉(zhuǎn)崗員工的賬戶權(quán)限,,做到實時的,、更細(xì)粒度的訪問控制和身份安全管理。

  IAM和零信任體系主要解決身份認(rèn)證和管理工作,,面對這些系統(tǒng)本身可能存在的安全隱患,,以及內(nèi)部人員使用合法身份并由此為突破橫掃內(nèi)網(wǎng)的情況,ITDR(身份威脅檢測和響應(yīng))將為企業(yè)的身份基礎(chǔ)設(shè)施增加額外的安全保障,。其旨在最大限度地提高企業(yè)各個位置的身份可見性,,高效、高速,、實時監(jiān)測身份配置與行為,,保護(hù)和響應(yīng)超越終端與流量的局限視角。

  微信圖片_20221111175939.jpg

  中安網(wǎng)星ITDR技術(shù)路線圖

  作為一項新興技術(shù),,ITDR在國內(nèi)外尚處起步發(fā)展階段,,專注于該領(lǐng)域的安全廠商中安網(wǎng)星此前在接受安全419采訪時表示,技術(shù)獨立的ITDR可以更好融入到眾多應(yīng)用場景當(dāng)中,,針對不同場景的身份基礎(chǔ)設(shè)施提供檢測和響應(yīng),,而非這些身份基礎(chǔ)設(shè)施獨立集成。其發(fā)展壯大一方面需要技術(shù)上的攻破,,比如防護(hù)模型覆蓋能力,,具體的技術(shù)分析和響應(yīng)能力,另一方面還需要市場的信心和認(rèn)同,。據(jù)了解,,其以AD域安全防護(hù)切入為ITDR的落地打下基礎(chǔ),并將持續(xù)拓展相關(guān)技術(shù)形成完善的ITDR解決方案,。

  針對身份基礎(chǔ)設(shè)施的認(rèn)證和管理,,加上對應(yīng)的檢測和響應(yīng)能力,將形成定義完整的身份安全,,在識別,、阻攔內(nèi)部威脅上更上一個臺階。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。