如何发现内部威胁

之前，爱德华·斯诺登（Edward Snowden）的第一次曝光事件出现时，这是关于隐私和监视辩论的分水岭。对于数据安全行业，他的行为表明内部威胁仍然难以检测和预防。然而，在最初披露公开后的两年内，有关企业缺乏处理此类数据泄露的能力的信息尚未被披露。事实上，我们只需要看看最近摩根士丹利(Morgan Stanley)的数据泄露事件，看看当另一个“值得信赖的”内部人士变得不守规矩时会发生什么。

多年来，内部人员篡改数据系统的威胁一直是IT经理们的担忧：公司团队内各种员工可能会恶意或意外地将数据置于风险之中。然而，特权用户或“超级用户”总是使问题复杂化。虽然他们的存在通常是必不可少的 - 执行关键任务，如软件安装，系统配置，用户创建，网络，资源分配等 - 不能访问私人或敏感信息。我们知道斯诺登不必做任何奢侈的事情 - 比如绕过防火墙或黑客入侵私人数据库 - 相反，分配给他的政策的弱访问控制使他能够“不受限制地访问”系统及其中存储的数据。

不幸的是，我们的研究证实，内部威胁形势正变得越来越难以应对，因为一系列的不法分子超出了员工和特权IT员工所带来的风险。高级持续威胁（APTs）的出现和成功导致了一系列令人担忧的漏洞，其中特权用户帐户的访问控制受到恶意外部人员的攻击。通过劫持获取访问所需的合法凭证，可以在很长一段时间内检测不到导致操作损害和窃取数据的非法活动。遗憾的是，当代系统和网络技术管理的一个秘密是，很难识别和跟踪这种双重类型的不当行为，因为操纵强大管理员凭据的复杂黑客可以创建和删除多个帐户，甚至修改安全事件日志。

使情况更加复杂的是，许多业务合作伙伴，供应商和承包商通常被授予不适当的访问权限，或者第三方服务提供商被赋予过多的管理权限。遗憾的是，除非得到适当控制，否则所有这些群体都有机会进入企业网络内部并窃取未受保护的数据。然而，令人鼓舞的是，当我们在2015年版的内部威胁年度研究中，关于谁对公司数据构成最大内部威胁的问题，似乎安全意识正在增长，尽管没有人们希望的那么快：55％的全球商业受访者表示“特权用户”，46％说'承包商和服务提供商'，然后'商业伙伴'的比例为43％。

值得注意的是，研究显示，英国内部人士对威胁的担忧远高于我们的欧洲邻国德国。此外，尽管德国对数据泄露的担忧不及英国(或美国)，但德国过去的数据泄露率在该地区最高，达27%。有趣的是，尽管在美国发生数据泄露事件时，英国企业的公众曝光率没有那么高，但40%的英国企业披露，它们在去年遭遇了重大数据泄露或合规审计失败。结果，50%的英国机构证实，他们打算在未来一年增加在安全和数据保护方面的支出。在考虑IT安全支出以应对内部人士带来的风险时，企业需要考虑的一个新兴问题是企业运营中云计算和大数据使用的持续增长。我们知道，对于新应用程序来说，旅行的方向主要是选择基于云的替代方案，而不是升级前一代的本地选项。同样，越来越多地采用大数据策略，从以前未开发的资源中收集分析情报。当然，人们担心的是，所涉及的数据量不仅会增长并且变得越来越分散，而且还因为普遍缺乏对起源和确定合理治理的控制。

尽管有关恶意黑客交易的消息和难以捉摸的网络犯罪分子的行动继续占据新闻头条，但企业现在正是时候关注内部威胁，并采取必要的数据保护措施，以控制和监控最强大用户的行为。所有重要数据源都需要与强大的访问控制和密钥管理相结合的加密技术。此外，将以数据为中心的解决方案与数据监视或情报收集功能结合起来，对于识别可能表明问题的异常数据使用和访问模式也很重要。尽管在考虑部署数据保护解决方案时，IT和业务用户仍然存在对性能的担忧，但确保公司数据安全(从而保持声誉完好无损)的需求必须是最重要的因素。

原文地址：https://www.informationsecuritybuzz.com/articles/how-to-spot-the-insider-threat/