减轻内部恶意行为者的风险

威胁来自内部

大多数内部安全事件都是源于无心之过。但有时,出于这样或那样的原因,员工也可能为了某种利益而故意偷窃或篡改企业资源。根据 Ponemon Institute 关于内部威胁的研究,无论是利用漏洞还是窃取可能在未来获益的数据,这些恶意内部攻击的平均损失为 648,062 美元。这些损失源自各种因素,包括数据和系统损失,恢复上述数据和系统所需的工作,以及向攻击者支付的赎金。除财务影响外,这些攻击还可能给组织造成其他方面的损害:声誉、竞争优势、客户信任等。

最近的几条头条新闻表明,任何组织均不可能完全没有内部恶意行为者风险,因此有必要实施适当的安全措施来降低风险:

  • 辉瑞 (Pfizer) 公司称,一名员工将 12,000 个文件上传到了 Google Drive 账户,其中包括新冠疫苗商业机密相关数据。据称,该员工拿到了另一家公司的聘书。

  • 康涅狄格州一家公司,一名离职员工在离职时,对公司系统发起了勒索软件攻击——将加密文件并发出匿名的付款要求。

  • 纽约的一位高级开发人员因涉嫌通过 VPN 窃取数据并试图敲诈雇主,同时假扮为外部黑客而被捕

内部恶意行为者这一问题已经存在了数十年,但随着向远程办公模式转变,这些攻击者所带来的风险越来越大。目前,许多员工、承包商和合作伙伴在并不在办公室和传统企业网络中工作,区分内部恶意行为和正常行为的难度大增。


加剧内部恶意行为者风险的趋势

由于疫情,远程办公模式激增,Forrester Research 称此为“助力内部恶意行为者的完美风暴”。与许多其他类型的攻击一样,疫情为内部恶意行为者创造了一个有利环境,使其更容易掩盖行动,但这种风险并不仅仅源于疫情。还包括多个成因:

  • 缺乏物理可见性:远程用户更难监控。例如,他们可以将电脑屏幕上显示的机密信息拍照,而不会留下任何痕迹,也不会被同事发现。此外,以往常见的潜在数据盗窃警告信号(例如在非正常时间访问企业资源,或在非正常时间离开工作岗位)在远程团队中更难发现,甚至可能因“弹性”工作制而不会引起怀疑。

  • 使用个人设备:越来越多组织支持员工自带设备 (BYOD)。但是,控制个人设备上的数据和应用程序访问权限更加困难,为数据盗窃创造了另一个接入点。如果安全团队没有端点软件获得对个人设备访问的一定可见性和控制权,他们可能无法发现有人正以意外方式访问数据。

  • SaaS 应用程序采用增多:SaaS 应用程序托管在传统企业网络之外的第三方云基础设施中。员工经常通过公共互联网访问这些应用程序,组织如果不通过安全 web 网关监控公共互联网的使用情况,将无法跟踪谁在访问什么数据。

  • 大辞职”:不幸的是,有些员工将辞职视为带走机密信息的机会。在 Tessian 开展的调查中,45% 的人声称在离职前或解雇后下载过文件。具体到 IT 部门——最近 Gartner 的一项调查发现,IT 部门仅 29% 的员工“非常愿意继续在当前单位工作”。随着这一趋势的持续,离职员工窃取敏感信息成为更大的潜在风险。

除这些趋势外,内部恶意行为者使用的手段也迅速发生变化。最近的一份《内部风险报告》发现,32% 的内部恶意行为者使用了“复杂的技术”,包括使用 Burner 电子邮件地址、匿名身份、长期缓慢行动、将文件作为草稿保存在个人电子邮件账户中,以及使用组织内现有的批准工具来查找和外泄数据。


风险缓解操作步骤

Code42 的年度数据暴露报告指出,39% 的公司没有内部风险管理计划。对于这些公司来说,实施计划将是重要的第一步。为了立即制定一些保障措施,考虑纳入一些运营上的最佳实践,例如:

  • 员工一发出通知,就立即减少访问最敏感的应用程序和数据。

  • 立即锁定离职员工的企业资源。

  • 在空闲期间强制重新登录。

  • 要求使用密码管理器程序。

  • 教育员工发现可疑行为。

  • 实施报告可疑行为的匿名程序。


威胁防护 Zero Trust

内部恶意行为者显然熟悉组织的安全实践。因此,上述的运营规定绝不可能完全防范风险。风险防范需要一套更全面的现代安全框架,例如 Zero Trust。Zero Trust 的一个核心原则是,在默认情况下,不会信任任何用户或请求,即使它们在网络内部。

Zero Trust 安全模型通过以下要求,帮助组织减少内部恶意行为者的漏洞:

  • 弃用 VPN:VPN 往往给用户提供全权网络访问。这种超额权限为内部恶意行为者横向传播威胁并外泄数据带来了不必要的风险。逐步淘汰 VPN 是转向长期采用 Zero Trust 的一个常见初期步骤。

  • 监测互联网浏览情况并实施安全控制:这意味着提高对互联网上用户活动的可见性,并实施控制措施,防止内部恶意行为者在可疑网站或云存储网站的个人租户等地方输入敏感数据。可通过安全 web 网关 (SWG) 和远程浏览器隔离 (RBI) 来实施控制。

  • 基于身份和其他上下文信号的身份验证访问:通过设置最低权限访问策略,用户只有先检查了身份、多因素身份验证 (MFA) 以及设备态势等其他上下文信号后才能访问资源。将这些上下文信号分层,有助于抓住内部恶意行为者。检查这些上下文信号可以帮助检测潜在内部恶意行为者不可信任的可疑活动。

Cloudflare 帮助企业完成全面的 Zero Trust 安全模型,包括执行身份、态势和上下文驱动的规则来保护应用程序,确保用户只访问工作所需的应用程序和数据,最大程度降低数据外泄的可能性。

Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。



关键要点
  • 远程办公如何导致更难发现内部威胁

  • 导致内部恶意行为者行动更容易的因素

  • 内部人员渗漏数据所用的先进技术

  • Zero Trust 安全如何防止横向移动


相关资源


深入探讨这个话题。

阅读电子书《随处办公的 7 种方法》,进一步了解 Zero Trust 网络访问。

Get the eBook!

接收有关最流行互联网见解的每月总结。