卡马乔说:“简而言之,一个内部程序应该能够策划数据点,揭示对恶意活动可能高度关注的‘谁’的有毒风险评分。”
马蒂亚斯的Brutti,在1563黑客,说可能是最占,但对内幕风险球队潜在的最重要的作用是红队,其次是显而易见的事件响应和监测队伍。而蓝队试图监视和抵御这些威胁阿红队负责播放内部威胁的作用。红队成员积极主动地想方设法来exfiltrate数据,外界获得别人的范围的个人身份信息(PII)和访问未授权的服务。“他们这样做是为了最终帮助建立切合实际的流程和程序,以防止在未来真正的攻击,”他说。
Exabeam首席执行官兼联合创始人尼尔•波拉克(Nir Polak)对内部风险团队由谁组成的看法略有不同。“我们看到越来越多的公司建立了内部风险组织,而这些组织通常不向IT安全组织报告。这些团队通常包括有警察或调查背景的人,而不是有IT技能的人。这是有道理的,因为内部攻击通常不是基于技术的。它们使用对敏感信息的有效访问的有效凭证,但目标是将该信息用于无效的目的。在这种环境下,法医和侦探技能将非常宝贵。”
团队的职责
Polak说,简单地说,这些团队被放在一起创建最小化风险的政策,然后选择帮助实施政策的解决方案。他们还使用相同的工具来监控政策。例如,政策可能会说“员工不应该有比他们当前工作所需更多的访问机密数据的权限”,然后团队执行一个程序来定期检查访问权限。
波拉克说:“你会惊讶地发现,员工积累访问权的频率有多高,而且在他们转到新项目时从不放弃。”
BluVector的首席执行官克里斯•洛夫乔伊(Kris Lovejoy)发现,如果员工和承包商(扩展团队的一部分)清楚地知道安全“为什么”重要,那么就更容易确保他们学会并坚持“如何”安全。“也就是说,内部风险团队职能的另一面是确保存在能够在‘规则’被打破时迅速做出反应的政策和流程。”
乔安·史密斯,在绝对的技术风险管理主任和风险隐私,说一个内部威胁球队的首要任务应该是确定存在其组织的每个级别内的各类风险。接下来,研究小组应优先考虑风险,并实施解决方案,其中包括制定准则与自己的直接下属的互动,对将被要求减少或减轻风险基线控制的类型提供指导,并建立基本标准,这将使该公司现有的衡量风险水平和有关报告。
该小组应进行员工和供应商的深入,定期审查。这是谁可能表现出奇怪的行为,或有正式的投诉,以及那些与特权访问关键资产和敏感信息的职位的人员尤为重要,伯克说。
韦斯特比说,一个团队负责人应负责建立和管理的整体努力和内幕风险的安全性,板或审计委员会报告。核心团队应该有一个运营领导,负责执行监督,检测,事件响应和整治活动。程序建筑师/设计师应导致的政策,控制,流程和工具选择该程序的开发。一位分析师应该与团队成员和他们的组织工作,以执行风险评估过程和报告。最后,一个疏忽就会导致业绩的计量和确保遵守。
Optiv Security的业务负责人、企业风险与合规副总裁克里斯•格雷(Chris Gray)说:“监控、监控、监控。我再怎么强调威胁识别的重要性也不为过,而快速有效的识别源自良好的监控程序。如果你不知道什么是对的,你怎么能识别错呢?”
蒂Schindlinger,治理技术布道者勤奋表示,政策应建立在系统/控制的培训,测试和审核的程序。该政策应导致一个过程,标识,以帮助特定的系统和控制措施识别,减轻和管理潜在的内幕风险。该程序也应解释过程的人在公司内部报告潜在的内部风险,可用于保护“告密者”。理想的情况是,政策及其相关的程序进行审查,测试,每年至少审计。
“应该遵守自己的过程中,要求和程序,因为他们是这些地区的看门人”,说的Brutti。他补充说,所有的团队应该定期会面讨论新方案,并保持一个矩阵,使公司映射团队访问级别和数据可以达到。从这个矩阵中,团队可以调整,重点发展和创建策略。他们还可以制定职责分离的关键驱散某些进程的关键功能,不止一个人或部门。
他说:“在建立新的监控平台和规则时,这降低了风险,让人们了解如何监控、在哪里投资以及获得良好的投资回报。”
曼奇尼表示,内部风险团队的职责将根据你对内部风险的看法而有所不同。对Cylance来说,内部风险有几种形式(不满的雇员、间谍、不知情的雇员、承包商/供应商威胁),每一种都需要不同的潜在“责任”来降低风险;一些可能被截取适当渠道的持续风险,维护程序申诉播出渠道,持续的员工健康/士气程序,适当执行消息传递与士气,培训经理发现内部风险报告,和技术监控资产和潜在的不良活动发起组织内的特权。
“球队的任务是设计,执行和监督提供的控件基于这些不同的内部威胁的配置文件,以降低风险。他们将提供治超的技术解决方案,以保证疗效,但也保证了员工的隐私受到保护。他们将设计,实施和测试定制,以满足差异内幕风险引入了必要的事件响应计划,”他说。
KomodoSec咨询公司的联合创始人Yossi Shenhav说:“内部风险团队的首要任务是对所有新老员工进行全面的背景调查,看看是否会出现危险信号。其次,要让所有员工意识到,对敏感数据或财务数据的获取,都要进行持续、系统的监控和限制,任何不当行为都会被迅速、严厉地拦截和处理,这一点是绝对清楚的。最后,由于事件仍然会由有意违反法律的个人发生,一个子小组应该作为一个事件响应团队,以系统取证为支持,以阻止攻击和/或最小化破坏的严重性,并逮捕罪犯。”
这篇文章,“谁应该加入内部风险团队?”最初由方案 。