如何處理分布式網絡中的內部威脅

高楓

黑客、網絡犯罪分子、惡意軟件感染和其他外部威脅占據了頭條新聞。作為安全漏洞的一部分，數百萬條數據記錄的丟失現在似乎很常見。隨著我們向綜合數字經濟邁進，大規?；騾f調網絡攻擊的影響可能會產生破壞性后果。

但實際情況是絕大多數網絡攻擊仍未被發現，2018年的網絡攻擊造成6 000億美元損失，其中有針對性的攻擊導致了大部分的損失。更不為人所知的是，將近一半的數據泄露和系統妥協來自組織內部而非外部來源，其中近一半是故意的，其余是偶然的。

從安全角度來看，防范內部人員攻擊與防御外部網絡攻擊完全不同。獲取易受攻擊的設備和系統的訪問權限或升級網絡權限通常也更容易從內部執行。許多安全系統根本不關注用戶正在做什么，特別是在圍繞隱式信任建立的環境中，大多數安全資源專注于外圍控制的環境中。

通過識別危害資源的內部操作，以及識別可能執行此類操作的人員，企業可預防內部威脅。內部威脅產生于兩種類型的內部人員：

1.惡意行動者

由于多種原因，這些人愿意將企業置于風險之中。這些可以包括個人利益，報復被認為是不公正的愿望，例如被忽視晉升或者管理不善；政治動機或由民族國家或競爭對手資助的工業間諜活動。

內部人員攻擊可能導致有價值的數據和知識產權被盜，向公眾或競爭對手暴露可能令人尷尬或專有的數據，以及劫持或破壞數據庫和服務器?？蛻艉蛦T工信息（包括個人身份信息（PII）和個人健康信息（PHI））是最受歡迎的目標，因為它們在黑暗網絡上具有最高的轉售價值。知識產權（IP）和支付卡信息是下一個最常被竊取的數據類型。

對于更傳統的外部攻擊，由于快速數據泄漏到不尋常的目的地而導致的異常數據流可能難以偽裝?；顒涌赡芘c企業安全策略沖突，在奇怪的時間發生、源自奇怪的訪問點、顯示移動到不尋常的網絡地址或包含意外的大量數據。這其中的任何一個都應該觸發可以關閉主動違規的安全響應。

但由于內部人員已經擁有持續且可信的訪問權限，攻擊和數據泄露可能會隨著時間的推移而發生，使攻擊者有更多時間來規劃他的策略，掩蓋蹤跡、偽裝數據，因此安全工具很難或不可能識別并保留數據低于檢測閾值的運動。許多用戶還可以通過在核心環境和多云環境之間移動數據來超越檢測，從而利用跨生態系統不一致的安全實施。

2.疏忽

組織為某些用戶提供比他們技能管理更多的權限并不罕見。例如，有數據庫提供升級權限的高管可以更改字段長度，由此可能會導致關鍵應用程序出現故障。這些用戶如果不知道處理敏感應用程序或信息的基本預防措施，就容易出錯，他們只是粗心大意，大多數情況下他們并不打算造成傷害。

數據丟失或暴露不一定是不正當授予特權的結果。丟失移動設備、筆記本電腦、USB驅動器或是丟棄的硬件（包括無法擦除的光盤和硬盤驅動器），甚至在社交網絡上聊天時泄露商業信息，都可能導致錯誤，這些錯誤可能與其他人的故意攻擊一樣昂貴。

解決內部風險

組織需要完全了解其數據流，他們需要知道誰在訪問哪些數據、何時何地，包括在核心、多云或SD-WAN環境中。安全團隊還需要識別和分類風險用戶，包括有訪問敏感信息和權限的管理人員、超級用戶以及維護和監控可以訪問關鍵數據、資源和應用程序的每個人的列表。

通過實施控制措施幫助安全人員更早發現攻擊，可以開始創建有效的內部威脅計劃。例如：仔細觀察特權升級等事情和應用程序，探測器和流量超出其正常參數；應用程序和工作流程的異常流量模式，特別是在不同的網絡域之間。

行為分析需要通過分布式網絡，智能地標記異常事件并立即向安全人員報告。轉向零信任模型并實施嚴格的內部分段可以防止許多攻擊所需的網絡橫向移動。制定協議，以便立即看到優先級警報，而不會使安全團隊陷入大量低級別信息。

需要注意的事項包括：

1.未經授權使用IT資源和應用程序

員工使用個人云獲取公司信息；

盜賊使用影子IT；

訪問，共享或分發PII；

安裝未經批準和未經許可的軟件；

未經授權使用的受限應用程序，包括網絡嗅探和遠程桌面工具。

2.未經授權的數據傳輸

使用可移動媒體存儲或移動數據；

未經授權將業務關鍵型數據復制到云或Web服務；

傳輸與異常目的地之間的文件傳輸；

使用即時消息或社交媒體應用程序移動文件。

3.濫用和惡意行為

濫用文件系統管理員權限；

禁用或覆蓋端點安全產品；

使用密碼竊取工具；

訪問黑暗網站。

預防是關鍵的第一步

通過創造鼓勵良好員工行為的工作條件，還可以進一步預防問題。

例如，當工資水平、職業前景或工作的其他方面低于滿意度時，員工可能會尋求離開組織并隨身攜帶機密信息。因此，衡量和響應員工滿意度是防范內部人員安全風險的關鍵部分。人力資源和IT之間協調的定期信息安全意識計劃有助于減少粗心行為。

內部威脅的風險通常比我們想象的要大，特別是隨著網絡變得越來越大和越來越復雜。粗心大意和惡意企圖是兩個主要原因，但兩者都是可以減輕的。提高認知度和謹慎信息處理的解決方案包括培訓和提高意識，以及從核心到云的分布式網絡的特權用戶和關鍵數據的監控。這需要與動態網絡分段和安全工具集成到單一結構中，包括高級行為分析。

這些技術解決方案只是答案的一半，創建和維護有吸引力的工作條件對于防止惡意行為還有很長的路要走。請記住，薪水只是一個因素，并不總是關鍵因素，擁有感、團隊合作以及創造員工執行重要任務的感覺與可能擁有的任何內部安全解決方案一樣重要。