听天由命,除非你碰巧撞见某人带着装满文件的箱子离开大楼,否则你可能永远不会当场抓住一个局内人。这就需要一个内部风险团队——由来自不同部门的员工组成,他们制定了相关政策,创建了一个系统,可以注意到那些机密物品是否离开了大楼。
“内部风险是一个真正的网络安全挑战。安全专业或执行被调用时,有可疑活动,看来有人在里面把流氓——组织需要有正确的政策和剧本,技术,和球队准备好了,”高级信息安全主管Rinki Sethi说帕洛阿尔托网络。
Cylance公司信息安全高级总监史蒂夫•曼西尼(Steve Mancini)站在了心怀不满的员工的立场上,指出他们需要在不当行为发生之前获得发泄渠道和追索权。“的员工和管理者需要培训发现的迹象心怀不满的员工并给予渠道报告问题的方式并不判断潜在不满的雇员,而是把合适的人放在他们的路径来帮助他们解决任何投诉之前他们已经升级。”
但并不是所有的公司都能很好地发现愤怒的员工可能采取的报复行动。政策将涵盖员工复印过多的文件,或发现USB驱动器被插到电脑上的警告等明显情况,但要处理那些没有公开给所有人看的情况就比较棘手了。内部风险团队必须想出每一种假设的情况,以便领先于那些只想报复的心怀不满的员工。
“与外部威胁相比,内部风险发生的频率更低,但其负面影响可能会达到10倍。”拥有拥有风险管理专业知识的正确的内部风险团队是评估形势、查明罪魁祸首并执行反击计划的必要条件,”Sethi说。
谁应该加入这个团队?
许多安全专家明确表示,监视内部威胁的迹象是每个人的责任。但就团队的组成而言,它应该代表整个公司。
Veriato的首席技术官大卫•格林(David Green)表示,该团队应包括技术IT和安全团队,以及非技术利益相关者,如首席执行官、法律顾问和人力资源部门的成员。
“后者三可能不熟悉的传统安全解决方案并不总是努力防止内部威胁,因为,第一,他们主要集中在周边安全,,第二,他们不是为了识别或预防问题源于内部授权访问敏感数据或系统,”他说。“但这些部门应该联合起来,讨论与内部威胁相关的各种挑战,并制定政策和程序,在保护员工隐私的同时,防止和检测这些威胁。”
以下是每个部门应该提出的建议:
管理层:应该有一个执行团队的成员在场,因为您需要执行团队的支持,以确保在内部风险团队中代表的其他部门有权建立基于风险的监控程序,并签署可接受的使用策略(如果还没有建立);为哪些行为是可以接受的,哪些是不可接受的设定界限;并将该计划与公司的战略目标联系起来,帮助制定安全策略。
法律:法律团队应在场以确保所有员工/用户监控活动符合任何地方、州和联邦法律。他们还应该帮助定义什么是允许监控的,比如电子邮件和即时消息、员工访问的网站、他们使用的在线应用程序或他们下载或打印的任何内容。如果员工的账户发生了问题,记录他们在线登录银行账户的记录可能会给公司带来法律风险。另外,由于可能不允许审查更高级别员工的活动,legal将与安全团队一起确定组织中的哪些角色可以审查哪些活动集。
人力资源:HR可以帮助创建必要的流程,以确保对任何监控都有必要的、记录在案的需求,并确保安全团队在不违反任何隐私法的情况下意识到这些问题。例如,他们可能会意识到员工的离职(一个潜在的风险),或者员工的个人或财务问题,这些可能会使他们具有高风险,值得调查。人力资源团队(或任何部门)将通过职位的预先确定的风险级别来传达这种威胁,而不是通过单个员工的姓名。
它/安全:它——或者谁将参与评估可能的技术方案和实施选定的解决方案,将为其他非技术团队成员提供上下文在哪些用户可以访问敏感数据,以及时的监测活动——这一切都将成为宝贵的时候把这个团队的计划和准备输出付诸实践。例如,用户行为分析等技术着眼于行为模式,而不需要检查员工的活动内容来实现其检测内部威胁的承诺。用户活动监控软件可以让你捕捉和检查员工活动的具体行为,包括他们的电子邮件或短信,如果需要的话。这两种版本都可以让您配置监视的活动类型,以符合组织的目标,并在整个过程中编织隐私保护,以解决人力资源方面的问题。
“来自看似可信的内部人员的恶意活动风险仍然是世界各地组织的现实。它不能独自实施一个完整的内部风险计划,也不能让它正常工作。”
每个组织需要建立一个“内幕风险”团队,具体地址相关联的挑战——从确定(或应该)公司和客户端访问机密数据和每个位置“风险水平”应该是什么是不适当的用户行为,如何监控他们的活动和组织将如何沟通行为的影响是可以接受的,打破“规则”,他补充道。
AppRiver的网络和安全管理员Scottie Cole说,内部风险团队对一个组织的安全至关重要。然而,内部风险团队不一定必须是专门的、全职的职位,而是一个广泛的职位,以带来最全面的安全角度。
Sungard Availability Services的全球CSO Shawn Burke表示,内部风险团队要想成功,就需要整个公司的协作。采购供应商尽职调查,人力资源筛选,内部沟通和后果协议,风险委员会的总体反应策略。然而,总法律顾问和首席合规官是关键的利益相关者,因为内幕监控必须符合一系列新的国家和国家隐私立法。
曼奇尼说,一个有效的内部风险团队将设计控制、采取行动、提供治理和调查。“治理和控制对内部风险团队来说至关重要,谁来监督监督者?”审计能力必须融入到这个过程中。”
Kennet Westby, at .的总裁和联合创始人Coalfire系统他表示,内部风险团队还应该包括来自任何其他拥有更高权限和特权的用户/团体的代表,包括任何供应商管理人员和第三方签约团队。其他人认为团队应该包括CISO、CIO以及风险和合规官员。
Bay Dynamics的战略和实施副总裁Steven Grossman指出,组织中的每个人都需要发挥作用。“然而,关键的核心玩家必须由了解用户行为和网络风险的整体格局的多种人才组成。这包括应用程序的类型和价值、与这些应用程序关联的主机,以及这些主机和应用程序的漏洞态势。对其治理下的应用程序的价值和安全性有深刻业务理解的应用程序安全所有者在团队中扮演着重要角色。他们知道一个看似不寻常的行为是否在商业上是合理的。
首先,团队应该根据业务需求制定允许适当访问的策略,并查看防止内部人员滥用的工具。这需要对内部访问和可能的偏差提供正确的可见性级别。
然而,并不是每个人都同意谁需要加入这支球队。这可能只是语义上的,但一些专家认为,内部风险团队的主要职责是制定政策,然后由各个团队执行。另一些专家认为,这个团队每分钟都要跟进,找出任何异常会把他们带到哪里。
哈梅什·舒拉(Hamesh Chawla)说西风他说,内部风险团队应该坚持每天查看报告和日志,以了解发生了什么偏差,并立即与集团一起解决这些偏差,以实施行动方针。“这些专业团队应该制定危机计划,以便在发生内部袭击时减轻损害,并采取具体、适当的行动打击这些虐待行为。”
AlienVault的安全倡导者Javvad Malik将这些职责分成了几个层:
部门经理:第一道防线是,他们最了解员工,知道他们需要完成什么任务,需要获取什么信息,以及他们的整体士气和福祉。
资产所有者:需要编制准确的资产清单,对数据进行分类,并确定所有者。这些资产所有者应该知道哪些服务和用户需要访问资产、计划何时停机以及计划中的任何更改。在检测到任何可疑活动时,资产所有者应该能够验证它是否是恶意的。
法律/人力资源:在调查潜在的内部欺诈时,必须有法律和人力资源代表,以确保个人权利不受侵犯,并确保以合法的方式进行任何调查。
取证:同样,可能需要法医调查人员进行详细调查。这可能包括为合法目的获取设备的法医图像,并调查渎职行为。
分析师/ SOC:安全运营中心(SOC)是组织内所有威胁检测的核心。通过与相关各方协作,可以识别资产并配置适当的警报。类似地,行为分析应该是SOC的核心组件,这样它们就可以检测出任何偏离正常活动和行为的情况。他们通常会通过参与其他责任方来启动事件响应过程。
Flashpoint的首席战略长克里斯•卡马乔(Chris Camacho)说,一个成功的内部威胁项目需要访问数据,其中应该包括端点、代理、搜索历史、电话记录,如果可能的话,还应该包括物理访问日志。“能够理解和消化多种来源的数据/信息,是准确分析谁可能处于内幕活动的高风险的关键部分。”当然,员工的动机是导致恶意行为发生的关键因素,其范围包括意识形态、财务需求,甚至与员工共谋或敲诈。获取和关联正确的数据集是最重要的,但利用情报分析师,即人的因素,是内部谜题的一个重要组成部分。
一个内部计划也可以利用技术,例如用户行为分析这将为整合所有数据提供一个良好的开端。“然而,为了充分利用这个工具,必须有人能够过滤掉这些杂音。在一个平台上获得数据是一个很好的开始,但过滤事件和噪音更重要,”卡马乔说。他补充说,知道如何发现不正常的现象或模式是一个成功项目开始的一个关键功能。