根據(jù)相關(guān)統(tǒng)計(jì)數(shù)據(jù)顯示，與新冠疫情爆發(fā)之前相比，員工泄露文件的可能性增加了85%。事實(shí)是，在新冠疫情之前，數(shù)據(jù)安全風(fēng)險正在增長，因?yàn)楣就ㄟ^云計(jì)算優(yōu)先考慮速度和協(xié)作。但是，當(dāng)我們通過新的方式上傳、下載、發(fā)送電子郵件、聊天和同步共享時，這些充滿力量和希望的新工作方式現(xiàn)在也成為了企業(yè)最大的數(shù)據(jù)安全風(fēng)險。

真正的問題是，數(shù)據(jù)安全范式還沒有跟上，讓數(shù)據(jù)安全團(tuán)隊(duì)從后面追趕，對日益增長的內(nèi)部風(fēng)險視而不見。同時，由于阻礙了速度、獨(dú)創(chuàng)性和創(chuàng)新，使用戶感到沮喪。

[[408168]]

內(nèi)部風(fēng)險管理：基于風(fēng)險、以數(shù)據(jù)為中心的方法

內(nèi)部風(fēng)險是任何數(shù)據(jù)暴露事件(安全、合規(guī)或競爭性質(zhì))危及公司及其員工、客戶和合作伙伴的財(cái)務(wù)、聲譽(yù)或運(yùn)營福祉。雖然內(nèi)部風(fēng)險聽起來像是內(nèi)部威脅的同義詞，但事實(shí)并非如此;必須做出重要區(qū)分。內(nèi)部威脅關(guān)注的是一個特定的人或?qū)嶓w，而內(nèi)部風(fēng)險則關(guān)注的是數(shù)據(jù)。

內(nèi)部風(fēng)險的核心是一個數(shù)據(jù)保護(hù)問題。傳統(tǒng)的、基于政策的方法，如DLP、CASB和UEBA，側(cè)重于合規(guī)性，最多只能提供一種保護(hù)的感覺。當(dāng)封鎖被作為事實(shí)上的反應(yīng)時，組織在員工的生產(chǎn)力和安全團(tuán)隊(duì)的內(nèi)部聲譽(yù)方面受到影響。不可避免的是，這些方法導(dǎo)致風(fēng)險被安全團(tuán)隊(duì)的噪音所淹沒--他們試圖維持分類和政策，但卻永遠(yuǎn)無法真正達(dá)到只阻止威脅而不阻止其他的目標(biāo)。相比之下，內(nèi)部風(fēng)險管理提供了一個以數(shù)據(jù)為中心的方法，它確保了對數(shù)據(jù)使用政策的遵守，建立了一個更具風(fēng)險意識的文化，并加快了安全價值的實(shí)現(xiàn)時間。

管理內(nèi)部風(fēng)險的框架

越來越多的企業(yè)組織認(rèn)識到，內(nèi)部風(fēng)險是一個普遍存在的問題，傳統(tǒng)的方法無法解決。事實(shí)上，根據(jù)Forrester的數(shù)據(jù)顯示，71%的安全決策者認(rèn)為傳統(tǒng)的數(shù)據(jù)損失處理方法是行不通的。內(nèi)部風(fēng)險是一個復(fù)雜而微妙的問題，這就是為什么基于政策的方法，需要絕對的知識來標(biāo)記所有有價值的數(shù)據(jù)和對所有威脅載體的準(zhǔn)確預(yù)測，根本無法跟上步伐。你不能明確地阻止內(nèi)部風(fēng)險，你也不希望這樣做。相反，一個更聰明的方法旨在通過五個基本步驟了解、衡量和管理內(nèi)部風(fēng)險。

(1) 識別：組織的數(shù)據(jù)在哪里和什么時候暴露在內(nèi)部人員的風(fēng)險之下?

你不能管理你看不到的東西。但是，傳統(tǒng)的基于政策的數(shù)據(jù)安全工具只能尋找你告訴他們要尋找的東西，從而留下巨大且不斷增長的盲點(diǎn)。內(nèi)部風(fēng)險管理的第一步是將正確的工具和技術(shù)落實(shí)到位。至關(guān)重要的是，你可以在風(fēng)險的三個維度上監(jiān)控所有的數(shù)據(jù)活動：所有的文件(不僅僅是受管制的或分類的文件)，所有的載體(網(wǎng)絡(luò)上和網(wǎng)絡(luò)下的設(shè)備，云應(yīng)用程序等)，以及所有的用戶。

(2) 界定：什么數(shù)據(jù)風(fēng)險是組織不能接受的?

直到最近，風(fēng)險容忍度的概念在數(shù)據(jù)安全領(lǐng)域幾乎是異端邪說。現(xiàn)在，幾乎所有的組織都承認(rèn)他們必須容忍某種程度的內(nèi)部風(fēng)險，以實(shí)現(xiàn)在當(dāng)今商業(yè)環(huán)境中生存和發(fā)展所需的敏捷性、速度和創(chuàng)新。一旦你對你的數(shù)據(jù)暴露的地方有了全面的可見性和背景，你就需要對整個組織的內(nèi)部風(fēng)險容忍度進(jìn)行調(diào)整--這樣你的安全團(tuán)隊(duì)就可以開始定義一個受信任與不受信任的活動和場景的清單。同樣，你不能希望定義所有的可能性--而是要專注于代表內(nèi)部風(fēng)險領(lǐng)先指標(biāo)的常見內(nèi)部人員行動。

(3)優(yōu)先排序：組織最關(guān)心的數(shù)據(jù)在什么時候風(fēng)險最大?

界定內(nèi)部人員風(fēng)險容忍度的藝術(shù)為確定風(fēng)險指標(biāo)的優(yōu)先次序的科學(xué)鋪平了道路。也就是說，利用圍繞數(shù)據(jù)活動的豐富背景，對內(nèi)部人員風(fēng)險的領(lǐng)先指標(biāo)進(jìn)行三角測量。有了正確的數(shù)據(jù)安全技術(shù)，你的安全團(tuán)隊(duì)將擁有上下文的可視性，使他們能夠使用這些內(nèi)部風(fēng)險指標(biāo)來優(yōu)先考慮某些類型的風(fēng)險--如源代碼外泄、可疑的文件類型不匹配、同步到個人云存儲和離職的員工--而不是較低嚴(yán)重性的事件。

(4)自動化：如何最好地應(yīng)對內(nèi)部人員風(fēng)險?

正如一攬子封鎖政策不能適用于所有用戶和所有數(shù)據(jù)一樣，對內(nèi)部風(fēng)險也沒有一個放之四海而皆準(zhǔn)的回應(yīng)。你的安全團(tuán)隊(duì)?wèi)?yīng)該與業(yè)務(wù)線領(lǐng)導(dǎo)合作，為你優(yōu)先考慮的內(nèi)部風(fēng)險事件創(chuàng)建適當(dāng)規(guī)模的反應(yīng)。也許同樣重要的是，你需要將技術(shù)落實(shí)到位，使你能夠建立高度自動化的內(nèi)部風(fēng)險響應(yīng)工作流程，結(jié)合一系列與事件嚴(yán)重性相適應(yīng)的人力和技術(shù)響應(yīng)，而不給安全團(tuán)隊(duì)帶來過多負(fù)擔(dān)。

(5)改進(jìn)：正在做的事情是否真的有效?

這最后一步在傳統(tǒng)的基于政策的方法中顯然是缺乏的。內(nèi)部風(fēng)險范式承認(rèn)內(nèi)部風(fēng)險是不斷發(fā)展的，將永遠(yuǎn)存在，并且不能(不應(yīng)該)被完全阻止。這使得將工具和流程落實(shí)到位，以衡量(定性和定量)、完善和優(yōu)化你的整體內(nèi)幕風(fēng)險態(tài)勢--利用風(fēng)險情報和學(xué)習(xí)，隨著時間的推移變得更聰明和更好，這一點(diǎn)至關(guān)重要。

新范式：毫不妥協(xié)的數(shù)據(jù)安全

隨著數(shù)字化的不斷加速，內(nèi)部數(shù)據(jù)風(fēng)險也在不斷增加。我們不能忽視對新的數(shù)據(jù)安全范式的需求，以適應(yīng)未來的工作需求。安全團(tuán)隊(duì)需要有能力優(yōu)先處理最重要的風(fēng)險，同時在網(wǎng)絡(luò)內(nèi)外查看所有數(shù)據(jù)活動，跨所有載體和所有用戶。為了實(shí)現(xiàn)這一目標(biāo)，他們需要看到更深層次的背景，以便從合法工作中分辨出風(fēng)險活動。他們需要有能力協(xié)調(diào)高度自動化、規(guī)模適當(dāng)?shù)姆磻?yīng)。而且，最重要的是他們需要致力于不折不扣地完成這一切，在保護(hù)業(yè)務(wù)的同時，不犧牲用戶的速度、協(xié)作和創(chuàng)新。