2017年，我們見證了數(shù)起最具破壞性的網(wǎng)絡(luò)攻擊。內(nèi)部威脅繼續(xù)領(lǐng)跑大型數(shù)據(jù)泄露主要原因排行榜。

[[222178]]

隨著惡意軟件即服務(wù)的興起，內(nèi)部人員如今更能破壞公司的運(yùn)營，更易于盜取公司數(shù)據(jù)到暗網(wǎng)售賣。如果缺乏管理層的正確支持，我們幾乎不可能預(yù)防重大數(shù)據(jù)泄露。惡意內(nèi)部人員與危險惡意軟件的組合，意味著管理層需要更積極地參與進(jìn)安全工作中來。

管理層傾向于認(rèn)為網(wǎng)絡(luò)安全最好交給IT部門或內(nèi)部網(wǎng)絡(luò)安全團(tuán)隊來做。然而，這種思維與當(dāng)今良好網(wǎng)絡(luò)安全操作相去甚遠(yuǎn)。之所以會有這種錯誤的觀念，很大程度上是由于網(wǎng)絡(luò)安全固有的技術(shù)本質(zhì);而有關(guān)人員和過程的其他方面卻被忽略掉了。

本文專注于可改善網(wǎng)絡(luò)安全中人員與過程方面的最佳管理操作，討論公司企業(yè)可采取何種措施來確保其網(wǎng)絡(luò)安全始終保持優(yōu)質(zhì)水平。

數(shù)字資產(chǎn)識別

我們采用的資產(chǎn)概念來自于 ISO 55000 標(biāo)準(zhǔn)。

根據(jù)ISO標(biāo)準(zhǔn)，資產(chǎn)就是對企業(yè)而言具有當(dāng)前或潛在價值，且處于企業(yè)管理范疇之內(nèi)的東西。

雖然 ISO 55000 對資產(chǎn)的定義偏重于物理資產(chǎn)管理，但這一定義同樣適用于包括數(shù)據(jù)在內(nèi)的數(shù)字資產(chǎn)。“關(guān)鍵資產(chǎn)”則不僅僅取決于其價值，關(guān)鍵資產(chǎn)是一旦受損就可能會嚴(yán)重?fù)p害企業(yè)持續(xù)運(yùn)營能力的東西。

當(dāng)今世界，對任何企業(yè)而言最重要的資產(chǎn)就是數(shù)據(jù)了。

然而，并非所有的數(shù)據(jù)都同等重要。每家公司都對其客戶、合作伙伴、倉儲、供應(yīng)商的數(shù)據(jù)及其自身運(yùn)營數(shù)據(jù)負(fù)有責(zé)任。流經(jīng)企業(yè)的數(shù)據(jù)流通常包括金融數(shù)據(jù)、運(yùn)營數(shù)據(jù)、客戶個人可識別數(shù)據(jù)，有時候還會有機(jī)密數(shù)據(jù)。

預(yù)防數(shù)據(jù)泄露的第一步，就是識別并分類這些數(shù)據(jù)。雖然IT部門了解公司各類系統(tǒng)的運(yùn)行狀況，但他們往往不清楚整體業(yè)務(wù)運(yùn)營過程。作為管理人員，這就是你可以發(fā)揮作用的地方。

數(shù)據(jù)往往可被分為如下幾類：公共數(shù)據(jù)、內(nèi)部數(shù)據(jù)、機(jī)密數(shù)據(jù)和監(jiān)管所需數(shù)據(jù)。必須標(biāo)明哪類數(shù)據(jù)與公司哪個過程相關(guān)。網(wǎng)絡(luò)罪犯通常不會試圖獲取所有類型的數(shù)據(jù)。有時候他們只想要內(nèi)部數(shù)據(jù)，其他時候也可能針對內(nèi)部數(shù)據(jù)、機(jī)密數(shù)據(jù)或監(jiān)管所需數(shù)據(jù)。但是網(wǎng)絡(luò)罪犯和內(nèi)部人員一般都有試圖獲取的某類特定數(shù)據(jù)。

內(nèi)部威脅解決方案

內(nèi)部威脅是每一家公司企業(yè)都面臨的一類非常獨(dú)特的安全問題，需要特定的資源來加以解決。

內(nèi)部威脅解決方案就是為此而設(shè)的。解決方案是全公司范圍內(nèi)施行的一個計劃，具備統(tǒng)一的愿景和使命，有各自的角色、職能，還有針對性培訓(xùn)。理想情況下，該方案應(yīng)納入人力資源、法務(wù)、IT、工程、數(shù)據(jù)擁有者和各部門主管。但最重要的是，該方案應(yīng)僅涵蓋公司中最可信的個人。

內(nèi)部威脅解決方案是要建立起相關(guān)信息的來源、一系列協(xié)議和機(jī)制，用以檢測、預(yù)防和響應(yīng)內(nèi)部威脅。其中應(yīng)包含有方案的使命、詳細(xì)的預(yù)算、監(jiān)管結(jié)構(gòu)和一個共享的平臺。

以上這些還僅僅是方案的構(gòu)成，方案的執(zhí)行需要：

1. 合規(guī)與過程監(jiān)管理事會

該組織的存在是要審查公司現(xiàn)有過程并提出修改建議以預(yù)防內(nèi)部威脅。

2. 報告機(jī)制

辦公室政治、抱團(tuán)行為和其他很多因素都會阻礙員工報告可疑行為。因此，對可疑內(nèi)部人員的報告機(jī)制應(yīng)是保密的，以防揭發(fā)者會受到報復(fù)。

3. 事件響應(yīng)計劃

已發(fā)現(xiàn)內(nèi)部威脅，甚至都有證據(jù)證明內(nèi)部人員導(dǎo)致了數(shù)據(jù)泄露，此時難道僅僅是炒了他們并向官方舉報嗎?如果有個內(nèi)部事件響應(yīng)計劃的話，這些問題就可以有個更為明晰的答案了。響應(yīng)計劃會詳細(xì)闡明警報的觸發(fā)、管理和升級步驟。而即便有了這么詳盡的步驟，每一步行動和流程仍需引入時間框架。

4. 針對性培訓(xùn)

內(nèi)部威脅培訓(xùn)是對公司內(nèi)所有人員的意識培訓(xùn)項目。不過，直接涉及內(nèi)部威脅方案的人員會接受更有針對性培訓(xùn)，以更好地檢測并緩解內(nèi)部威脅。

5. 基礎(chǔ)設(shè)施

這一組件很直觀，就是用來檢測、預(yù)防和響應(yīng)內(nèi)部威脅的基礎(chǔ)設(shè)施;支持管理層達(dá)成其使命的技術(shù)。部署的技術(shù)應(yīng)定期審查，優(yōu)中擇優(yōu)。

一個典型的內(nèi)部威脅方案共包含13個部分。上面沒列出的還有：言論自由保護(hù)、通信框架、內(nèi)部威脅方案支持策略、數(shù)據(jù)收集工具、供應(yīng)商管理和風(fēng)險管理集成。

安全審查與監(jiān)視(HR)

招聘員工時，有助防護(hù)公司安全的一個預(yù)防性措施，就是對應(yīng)聘者進(jìn)行背景調(diào)查。有些公司常出于節(jié)約成本的目的而做此類審查，但在網(wǎng)絡(luò)安全領(lǐng)域，招聘過程只是人事部門的第一步。

需要特別注意的是應(yīng)聘者的犯罪前科和來應(yīng)聘的真實原因。惡意內(nèi)部人員有時候會是間諜，會表現(xiàn)得像是公司最適合的人選一樣，而一旦成功進(jìn)入公司，就不定會干出什么事來了。

NIST網(wǎng)絡(luò)安全框架建議，公司企業(yè)應(yīng)為每個職位都賦予一個風(fēng)險等級。

風(fēng)險等級越高，對該職位求職者的信任和安全要求就越高。新人員進(jìn)駐高風(fēng)險職位時，應(yīng)有主管人員更緊密地監(jiān)視其有無高風(fēng)險行為。另外，任何事件都應(yīng)被記錄在案，并進(jìn)行行為趨勢分析。該過程中可利用行為分析和風(fēng)險分析技術(shù)加以輔助。

HR還應(yīng)準(zhǔn)備好勞動終止協(xié)議，以備必須讓員工離職時所需。

該協(xié)議應(yīng)要求主管人員進(jìn)行離職會談，給出最后的績效考評，并商討最后一筆工資數(shù)額。IT部門應(yīng)刪除擬離職員工的所有賬戶。

如果擬離職員工是特權(quán)用戶，IT部門還要修改所有共享口令。HR需向該擬離職員工再次確認(rèn)知識產(chǎn)權(quán)協(xié)議。

健康的工作文化和最小化的壓力

主管人員面臨著平衡員工壓力和生產(chǎn)力的挑戰(zhàn)。

通常情況下，經(jīng)理們會選擇生產(chǎn)力;也就意味著會讓員工以承受高壓為代價來達(dá)成業(yè)績目標(biāo)。而人們承受壓力時，各種各樣的負(fù)面影響開始顯現(xiàn)，比如出現(xiàn)更多的失誤，接二連三地病倒，還會產(chǎn)生一種被忽視的感覺。

以上點(diǎn)出的這些還僅僅是負(fù)面影響的一小部分，而僅僅是這一小部分，已經(jīng)具備了讓玩忽職守問題和惡意內(nèi)部人員威脅滋生的沃土。為避免這些讓威脅滋生的條件，公司企業(yè)有必要了解創(chuàng)建健康的工作文化需要先解決哪些緊迫問題。

其中一個問題在上文中已提到：管理生產(chǎn)力與壓力水平。其他挑戰(zhàn)還包括為員工生產(chǎn)力水平建立基線，理解降低壓力的成本和收益。識別這些問題對自家公司的影響，有助于管理層看清可進(jìn)行哪方面的運(yùn)營過程改進(jìn)。

減小壓力可能意味著需要實現(xiàn)一種新的管理風(fēng)格，比如面向工程的任務(wù)管理。另一種減小壓力的方法或許是理解公司衡量成功的方式，了解關(guān)鍵績效指標(biāo)(KPI)，并弄清這些因素都是如何影響工作文化的。

不良KPI的例子可以參考幫助中心以接電話數(shù)量而不是有無實際幫助到客戶作為KPI。如果以電話數(shù)量為KPI，那么數(shù)量的壓力必然驅(qū)使員工為達(dá)成特定目標(biāo)而降低客戶服務(wù)質(zhì)量，增加不必要的競爭，同時催生更多的錯誤。

只需簡單地將KPI改為實際幫助到的客戶，就能改變員工的壓力點(diǎn)。員工就可以與客戶進(jìn)行更有意義的互動，也會更愿意小心謹(jǐn)慎些以確保少出錯。

上述例子的重點(diǎn)在于采用符合公司環(huán)境的KPI。三思而后行，應(yīng)先確認(rèn)自身工作文化中的問題的根源，再試圖解決之。

供應(yīng)商管理計劃&策略

公司自身或許在努力避免來自員工的內(nèi)部威脅，但供應(yīng)商和業(yè)務(wù)合作伙伴就未必那么盡職了。

于是，你需要一個供應(yīng)商管理計劃，也就是明確自家公司與合作供應(yīng)商之間責(zé)權(quán)利的一系列協(xié)議。供應(yīng)商管理計劃屬于公司管理層的責(zé)任。IT部門就那么點(diǎn)兒人手和資源，如果管理層沒有在引入供應(yīng)商之前就設(shè)立某些標(biāo)準(zhǔn)，那IT將不得不從有限的資源中再分出一部分來緩解各種漏洞。

此類計劃由4個階段組成：定義、規(guī)范、控制，以及集成。

定義階段涉及確認(rèn)對公司運(yùn)營而言最關(guān)鍵的供應(yīng)商都有哪幾家，也就是識別出哪些供應(yīng)商是公司賴以成功的基石。如果沒處理好與這些任務(wù)關(guān)鍵型供應(yīng)商之間的問題，公司的運(yùn)營可能無以為繼，盈利也會受到影響。

規(guī)范階段主要涉及為每家合作供應(yīng)商制定一個安全聯(lián)絡(luò)員。該聯(lián)絡(luò)員的職責(zé)是維護(hù)合規(guī)信息，進(jìn)行審計，協(xié)調(diào)安全通信，提供培訓(xùn)，記錄所有合同和文檔，并實施全面監(jiān)督。

上面兩個階段都履行之后，管理層的重頭戲就來了——制定供應(yīng)商策略和控制措施。

起草供應(yīng)商策略時，文檔中應(yīng)囊括進(jìn)審計安全控制的權(quán)力，并制定出對供應(yīng)商在監(jiān)視、安全性能報告和數(shù)據(jù)泄露及時通告方面的合規(guī)要求。

通過制定這些策略，安全聯(lián)絡(luò)員旅行自己職責(zé)的時候就有了有力的依據(jù)。不過，聯(lián)絡(luò)員的成功很大程度上有賴于管理層對供應(yīng)商的要求，并將這些要求在此一階段設(shè)置為供應(yīng)商控制措施。

最后的階段就是集成，主要關(guān)注數(shù)據(jù)收集、分析和驗證。

公司應(yīng)能獲取供應(yīng)鏈的相關(guān)信息。如果缺乏此類數(shù)據(jù)，公司將無法了解自身整體安全狀況。收集來的信息需要集成進(jìn)公司現(xiàn)有安全操作和審計流程當(dāng)中。若沒有完全集成，供應(yīng)商管理計劃就會流于形式，這可不是想要在網(wǎng)絡(luò)安全時代取得成功的企業(yè)想要的狀態(tài)。

管理層關(guān)鍵角色

防止內(nèi)部威脅不僅僅是IT這一個部門的工作。只有管理層對此加以大力支持，公司企業(yè)才能更好地防止內(nèi)部威脅。

管理層可以用來幫助防止內(nèi)部威脅的方法還有很多，上面提到的一些建議僅僅是其中一小部分。企業(yè)中的領(lǐng)導(dǎo)層對過程開發(fā)、人員招聘、業(yè)務(wù)關(guān)系和工作文化都具有深遠(yuǎn)的影響。

這些領(lǐng)域中的任何一個出現(xiàn)了漏洞，公司都將處于內(nèi)部相關(guān)數(shù)據(jù)泄露的高風(fēng)險之下。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文