它们可以多年不被发现。他们在幕后做着可疑的事情。有时,人们会想,它们是否弊大于利。

虽然这听起来像我们描述了一些复杂的小狗你没有听说过,我们不是。

这些都是内部威胁的已知特征。

内部威胁是迄今为止困扰各种规模组织的少数非数字威胁之一。更夸张的是,他们所构成的危险是真实的。

当公司认为高价值资产的风险只能来自外部时,他们慢慢意识到他们也面临着来自内部的潜在危险。最糟糕的是,没有人知道谁是罪魁祸首,直到造成损害。

在Osterman研究白皮书有权白帽、黑帽和灰帽的出现:网络犯罪的真实代价,有人发现,内部威胁占八个严重的网络安全风险的四分之一,这些风险显着影响私营和公共部门。To put it another way, an organization’s current and former employees, third-party vendors, contractors, business associates, office cleaning staff, and other entities who have physical or digital access to company resources, critical systems, and networks are collectively ranked in the same list as勒索制造器鱼叉式网络钓鱼和国家攻击。

大多数导致雇主造成头痛的内部人士不一定有技术背景。事实上,他们没有愿望或倾向于对他们公司开始恶意的事情。在里面2016年内部威胁的成本[PDF]根据波耐蒙研究所(Ponemon Institute)进行的一项基准研究,美国公司内部事件的很大比例不是由内部犯罪分子造成的,而是由疏忽大意的员工造成的。

这一发现与2018年内部威胁的费用[PDF]该网站的覆盖范围还包括亚太地区、欧洲、非洲和中东的组织。内部人员普遍缺乏关注,滥用访问特权,再加上很少甚至没有网络安全意识和培训,这些都是他们危险的部分原因。

了解内幕威胁

很多人已经描述过什么是内部威胁,但没有一个像“内部威胁”的含义那样具有包容性和包罗万象Cert Insider威胁中心是Carnegie Mellon University的软件工程研究所(SEI)的研究ARM。他们已经定义了一个内幕威胁作为:

......拥有或已授权访问组织资产以使用他们的访问的人来使用他们的访问,以恶意或无意地访问,以适应可能对本组织产生负面影响的方式。

根据这个定义,我们可以将局内人分为两大类:有意的和无意的。在这些类别中,我们描述了迄今为止已知的五种内部威胁。具体如下:

故意内部人员

他们故意伤害组织、组织的资产、资源、财产和人员。

恶意内幕

此类型有几个名称,包括流氓代理和转衣。也许它的主要区别来自专业内幕(如下,您将在下面看到),这不是一个人的内部内在的内部内幕,而且没有恶意意图。例如,一些不满的员工可以决定如果他们认为他们的公司通过种植恶意软件,删除公司档案,窃取专有知识产权来销售他们的公司,他们的网络可能会决定妥协公司的网络扣留赎金的基本账户和数据

在某些情况下,员工会变得不听话,因为他们想帮助自己的祖国。这就是……的情况格雷格•钟,谁被判在罗克韦尔和波音的任期内为中国提供了专有的军事和航天器英特尔,通过窃取近三十年的顶级文件。从他家中检索的文件数量没有披露,但我们可以认为它是数百个。

被迫或被迫代表一个或多个实体执行恶意行为的员工也属于这种类型。

专业内幕

这类人通常被称为组织中的间谍或内鬼。他们通常以雇员或承包商的身份进入一个组织,目的是窃取、妥协、破坏和/或破坏公司的资产和完整性。它们可以由国家或私人组织(通常是目标公司的竞争对手)资助和指导。

当。。。的时候雅各布信Uber前雇员里克·雅各布斯(Ric Jacobs)撰写的长达37页的指控被公开后,谷歌和Uber之间的民事诉讼似乎不再是通常的知识产权盗窃案件。雅各布斯在信中称,优步前首席执行官特拉维斯·卡兰尼克(Travis Kalanick)是这起盗窃案的主谋,演员是安东尼·莱万多夫斯基(Anthony Levandowski)。虽然这一指控尚未得到证实,但如果证实属实,莱万多夫斯基将属于这一类型。

暴力内幕

负面影响组织的行为不会在滥用,滥用和盗窃非物质资产中开始或结束。他们还可以包括暴力性质的威胁。人员与组织使用的软件和硬件一样重要,如果甚至不是更多的至关重要的。所以,对员工的负面影响也会反过来影响到组织。

因此,组织也必须识别、减轻和保护他们的员工免受潜在的物理威胁,特别是那些来自内部的威胁。CERT内部威胁中心可以识别工作场所暴力(WPV)作为另一种类型的内幕威胁,我们将其分类为故意内部人员。

WPV定义为针对员工和/或他们自己的暴力或暴力威胁。这可以表现为身体攻击、威胁或恐吓行为和言语(书面、口头或电子传输)、骚扰或其他可能使人们处于危险中的行为。

This author hopes that CERT and/or other organizations looking into insider threats expand their definition to include workplace bullying, domestic violence (e.g. when an abusive partner comes after his/her abused partner in the workplace), and other actions that put employee safety at risk or negatively impact their emotional and psychological well-being.

读:大鼬,蛇和女王蜜蜂

CERT的内部威胁研究员Tracy Cassidy已经确定了[PDF]以下指标使员工能够下降到这种类型:

  • 暴力史
  • 法律问题
  • 重大其他损失
  • 与上司发生冲突
  • 潜在的就业丧失
  • 增加饮酒
  • 关于网络搜索

在2015年,Vester L. Flanagan II(又名布莱斯·威廉姆斯)在弗吉尼亚州罗阿诺克当地电视台WDBJ7的一次现场采访中开枪打死了他的两名前同事。弗拉纳根随后在脸书和推特上发布了一段枪击视频,声称受害者冤枉了他。

弗拉纳人事件两年后,兰迪楼梯在Twitter上发布了令人不安的视频和消息,了解他的情节在宾夕法尼亚州的Weis超市杀死他的同事。没有人完全肯定他的动机,但调查显示他不喜欢他的经理,并在事件前展示了极端孤独日的迹象。

无意的业内人士

他们对雇主没有恶意或恶意,但他们的行为、不作为和行为有时会对组织、其资产、资源、财产和人员造成伤害。

意外内幕

他们也被称为“健忘的圈内人”(naïve)。这种类型可能是最被忽视和低估的潜在风险和对组织的损害。然而,多项研究证实,偶然的内部人员占了成为头条的重大泄密事件的大多数。这种类型的内部人员比较常见。

意外事件,比如无意中或无意中点击链接一封电子邮件来源可疑,不小心在网上发布或泄露信息,不恰当地处理敏感文件,以及把公司拥有的资产(如智能手机、cd、usb、笔记本电脑)放错地方,即使只发生一次,也可能看起来没什么大不了。但这些行为增加了一个组织面临的风险,可能导致其妥协。

这里有一个偶然内部人员可能造成损害的例子:劫机者使用一个公开访问的亚马逊网络服务(AWS)账户来挖掘加密货币。安全研究人员从雷德洛克调查了这件事并在AWS服务器中发现了错误配置。这使得劫机者能够访问凭证,任何人都可以打开存储敏感信息的S3存储桶。结果发现这个账户属于特斯拉的某个人,所以研究人员提醒了他们。

疏忽的内幕

这种类型的员工通常熟悉组织的安全策略,以及如果忽略这些策略所涉及的风险。然而,无论如何,他们都会想办法避开这些政策,尤其是当他们觉得这些政策限制了他们工作的能力时。

一种数据分析师为退伍军人事务部工作下载,并将其归于2650万美国军用退伍军人的个人数据。这不仅违反了该部门的政策,而且分析师也没有被授权这样做。分析师的家是盗窃,笔记本电脑被盗了。数据包括名称,社会安全号码和出生日期。

控制内部事件的步骤

虽然网络安全教育和意识是每个组织必须投资的倡议,但有时这些是不够的。这些举措可能会降低意外内幕事故的可能性,但不是基于疏忽的事件,专业内部人员或其他复杂的攻击运动。组织必须实施控件和使用软件以最大限度地减少内部威胁事件。也就是说,组织还必须继续推动教育和意识,并为员工提供专业和情感支持,以减轻偶然,恶意或暴力内部人的潜在损害。

得到高层支持。随着越来越多的组织实现风险的内幕威胁姿势,它也变得更容易获得执行在工作场所发生的内幕威胁事件的想法。收集并使用有关组织内发生的事件的信息(特别是那些C-Suite可能在创建内幕威胁计划的想法之前(特别是C-Suite)。

建立一个团队。如果一个组织雇用成千上万,那么拥有一个团队专门处理内幕威胁计划的球队将是理想的。成员必须跟踪,监督,调查和记录和文件案件或内幕威胁事件。该团队必须包括来自安全性,IT安全,人力资源,法律,沟通等部门的多学科成员资格。如果可能的话,本组织还应带来外部帮助,如工作场所暴力顾问,心理健康专业人员,甚至是执法人员,才能作为团队的外部顾问。

识别风险。内部人的威胁因一个行业而异。对于组织来确定他们在行业内暴露的威胁是至关重要的,因为在他们可以提出如何检测和减轻它们的计划之前。

更新现有策略。这假设该组织已经有安全性或网络安全政策已确立的。如果没有,现在创建一个是必不可少的。为团队创建计划或过程也很重要,了解他们应该如何应对内幕威胁的事件,特别是关于工作场所暴力的报道。该团队应始终记住,没有一种尺寸适合的方法来解决类似性质的内幕威胁事件。

实现控制。一点无控的组织根本不安全。事实上,它们是外部和内部演员的低悬挂水果。控制保留组织的系统,网络和资产安全。他们还尽量减少内部威胁的风险。以下是某些控件组织可能需要考虑采用。(再次,这样做应该根据他们的风险评估):

  • 阻止有害活动。这包括访问特定网站或某些程序的下载和安装。
  • “白名单”应用程序。这包括员工可以打开的电子邮件附件的文件类型。
  • 禁用USB驱动器、CD驱动器和基于follow的电子邮件程序。
  • 尽量减少某些数据的可访问性。当涉及到他们的时候,组织也应该关注这一点远程工作或偏远的工人。

读:如何确保远程工作人员的安全

  • 提供对特权用户的最少的访问级别。
  • 在旧凭据上放置旗帜。前员工可能会尝试使用他们仍在雇用时使用的凭据。
  • 创建员工终止过程。

安装软件。许多组织可能无法意识到软件有助于欺骗芽的内幕威胁。以下是组织可能要考虑的某些程序的列表:

  • 用户活动监控软件
  • 预测/数据分析软件(用于查找从组织网络内的员工交互中收集的模式)
  • 安全信息和事件管理(SIEM)软件
  • 日志管理软件
  • 入侵检测和防御软件
  • 虚拟机(用于安全的环境,以引爆或打开潜在的有害文件)

值得注意的是,虽然虽然在停止内幕风险的软件,控制和辅助组织设计的软件,控制和策略就到位,但没有完全消除内部威胁事件。此外,预测内幕威胁并不容易。

卡内基梅隆大学CERT项目主任Randy Trzeciak说:“能够预测内部人员什么时候恶意地想要伤害一个组织,欺骗他们,从他们那里偷东西——单凭技术真的很难确定谁在做恶意的事情。接受采访时searchsecurity.com。“你真的需要结合的行为方面可能会激励别人去欺骗一个组织,或者窃取知识产权,或破坏网络或系统,通常的控制之外的什么是传统的IT部门,他们做什么来防止或检测恶意活动人士。”

更多阅读: