企業可以花所有的錢購買技術解決方案來保護其網絡邊界,但仍然無法阻止來自內部的***。毫無疑問,每個信息安全從業人員都聽過網絡邊界被攻破的事件。但新的***方式是攻破“人類防線”,即企業內部威脅。現在越來越多的***者利用社會工程學來瞄準最易受***的資產:人。然後從內而外***系統並完全掌控該公司。
前段時間,網上銀行和支付賬單公司WHMCS遭遇***,***者使用真實內部訪問憑證假裝成內部人士。結果發現,該公司的數據庫管理員在社交媒體非常活躍。從分析其公開資料,***者就能夠獲取其安全問題的大難。在快速電話和密碼重置後,***者能夠下載1.1G信用卡號碼,並隨後刪除了服務器。五分鐘的電話呼叫讓***者完全掌控了該公司。
這只是外部人員假裝成內部人員。那麼,對於來者不善的內部人員呢?
據瞭解,65%的所有IT破壞***都是非技術性的,84%針對經濟利益的***也是非技術性的。只需要一個電話,僅此而已。如果企業不能保護自己數據的安全性,我們作爲客戶如何相信他們能夠保護我們的數據?
這突出了我們每天在爲客戶做的工作。在打給企業連鎖店的10分鐘的電話中,非技術員工都可以提供足夠的數據來執行虛擬***或現場模擬。總是能夠行得通的一個***向量是另一個內部人員,同事。內部人員通常會自動受到信任,並自動得到外部人員永遠不會得到的答案。這正是內部***的危險所在。這種信任可能被利用,自動身份驗證可以用來***。
現在我們已經討論了一些來自內部威脅造成的危害範圍,企業需要清楚瞭解這些威脅是如何表現。AT&T近日透露,員工能夠訪問和滲出機密及個人用戶信息,包括數千客戶的社會安全號碼和駕駛證號碼。這是惡意內部***的例子,其中員工故意暴露數據。
憤怒和不滿
在惡意內部人員的情況中,這些員工很憤怒或者不滿,他們可能準備離職或者已經被解僱,並仍然可以訪問企業系統。這些***者非常危險,因爲他們已經知道如何訪問網絡,並能輕鬆地訪問大量信息,而不需要費力。雖然對於這種內部***似乎無計可施,2014年Verizon數據泄露報告指出,85%的內部特權濫用***使用了企業LAN。通過部署和執行訪問控制、網絡行爲分析和安全意識培訓,鼓勵員工報告可疑活動,這些類型的***可以得到控制。
第二種類型的內部威脅源於偶然的數據上傳、未能安全地處理文件,以及具有意想不到後果的複雜的交互。無論它是如何發生,當員工意外暴露數據時,都可能發生內部***。
內部***也可能通過合作伙伴或者第三方的形式,這些第三方被授予訪問權限,並可能意外暴露數據。我們看到過多少因爲筆記本、U盤或文件處理不當(其中可能包含數以千計敏感數據)而造成的數據泄露事故?這些泄露事故並不是惡意的內部人士,而是沒有受過教育和輕率的內部人員給企業和企業客戶造成的損害。
企業成功防止內部***的唯一方式是不要只是認爲IT負責所有信息安全問題。在上述的每種情況,用戶教育以及適當的技術解決方案都可以幫助減少內部威脅造成的影響。
你可以先問自己以下問題:
·政策是否部署到位?
·是否有法律和高級管理支持IT做法?
·這些類型的計劃是獎勵員工而不是嚇唬他們?
·我們是否進行定期審覈?
雖然這種方法起初看似不切實際,但筆者已經看到全球性企業如何通過簡單地調整程序和員工意識培訓來減少惡意軟件相關事件的數量,以及阻止內部和外部威脅。企業的安全取決於其最薄弱環節—人類。只要簡單的事實仍然是正確的,***者總是能夠唾手可得企業的數據。讓你的企業和你的員工不再那麼唾手可得,從而避免淪爲下一個***受害者。