調(diào)研機(jī)構(gòu)Forrester Research公司在最近發(fā)布的一份調(diào)查報(bào)告中指出，只有18%的企業(yè)優(yōu)先將安全支出用于構(gòu)建專(zhuān)門(mén)的內(nèi)部威脅計(jì)劃，25%企業(yè)則將支出用于防范外部威脅。

企業(yè)需要擔(dān)心的不僅僅是可能心懷不滿(mǎn)意的一些員工，大多數(shù)內(nèi)部威脅事件本質(zhì)上都是非惡意的。Proofpoint公司和波洛蒙研究所在其發(fā)布的“2022年內(nèi)部威脅全球成本報(bào)告”中指出，粗心或疏忽行為占所有安全事件的56%，而且這些也往往是成本最高的安全事件，平均修復(fù)成本為660萬(wàn)美元。

修復(fù)失敗

部分問(wèn)題在于安全觀(guān)念：Forrester Research公司的調(diào)查報(bào)告發(fā)現(xiàn)，近三分之一的受訪(fǎng)者并沒(méi)有將員工視為一種威脅。但眾所周知，要防止此類(lèi)事件發(fā)生也非常困難，因?yàn)槠髽I(yè)本質(zhì)上是在尋求控制對(duì)數(shù)據(jù)的合法訪(fǎng)問(wèn)。減輕這些威脅不僅是為了提高安全性，而且是為了檢測(cè)用戶(hù)行為中潛在的危害指標(biāo)，因此，大多數(shù)企業(yè)依靠培訓(xùn)員工來(lái)解決這個(gè)問(wèn)題。然而，僅靠安全培訓(xùn)往往是不夠的。

這份報(bào)告還發(fā)現(xiàn)，雖然65%的受訪(fǎng)者表示通過(guò)培訓(xùn)員工來(lái)確保遵守?cái)?shù)據(jù)保護(hù)政策，但55%的受訪(fǎng)者表示他們的員工已經(jīng)找到了規(guī)避這些政策的方法。其他受訪(fǎng)者表示，他們依靠單點(diǎn)解決方案來(lái)預(yù)防此類(lèi)事件，其中43%使用數(shù)據(jù)丟失防護(hù)來(lái)阻止操作，29%通過(guò)SIEM進(jìn)行監(jiān)控(盡管這些系統(tǒng)仍然可以在不檢測(cè)的情況下泄露數(shù)據(jù))。問(wèn)題是網(wǎng)絡(luò)安全和員工監(jiān)控都沒(méi)有考慮到壓力因素，這些壓力因素會(huì)促使一些員工采用變通辦法。

預(yù)防總是勝于應(yīng)對(duì)，當(dāng)前應(yīng)該重視應(yīng)對(duì)內(nèi)部威脅的方法。如果發(fā)現(xiàn)內(nèi)部威脅(無(wú)論是否惡意)，企業(yè)對(duì)如何處理的關(guān)注不足夠。雖然培訓(xùn)和網(wǎng)絡(luò)安全控制確實(shí)可以發(fā)揮作用，但兩者都需要成為內(nèi)部威脅計(jì)劃的一部分。

內(nèi)部威脅計(jì)劃協(xié)調(diào)不同業(yè)務(wù)部門(mén)的政策、程序和流程，以應(yīng)對(duì)內(nèi)部威脅。它被廣泛認(rèn)為對(duì)緩解內(nèi)部威脅至關(guān)重要，但在Forrester公司的調(diào)查中，只有28%的受訪(fǎng)者聲稱(chēng)擁有一個(gè)內(nèi)部威脅計(jì)劃。這樣做的原因是許多企業(yè)建立一個(gè)內(nèi)部威脅計(jì)劃可能令人生畏。除了讓人員參與并制定政策外，企業(yè)還需要清點(diǎn)其數(shù)據(jù)并定位數(shù)據(jù)源，確定如何監(jiān)控行為、調(diào)整安全培訓(xùn)計(jì)劃、開(kāi)展調(diào)查，以及如何定期評(píng)估內(nèi)部威脅計(jì)劃本身。

如何開(kāi)始構(gòu)建內(nèi)部威脅計(jì)劃

首先，企業(yè)需要專(zhuān)門(mén)的工作組來(lái)幫助指導(dǎo)內(nèi)部威脅計(jì)劃。工作組成員需要有明確的角色和責(zé)任，并采用同一套道德準(zhǔn)則或簽署保密協(xié)議。這是因?yàn)橛性S多與員工隱私和監(jiān)控相關(guān)的法律，以及在制定和執(zhí)行政策時(shí)必須考慮的法律和擔(dān)憂(yōu)。工作組的第一項(xiàng)工作將是制定運(yùn)營(yíng)計(jì)劃，并制定防范內(nèi)部威脅政策的高級(jí)版本。

然后，他們需要考慮如何盤(pán)點(diǎn)和訪(fǎng)問(wèn)內(nèi)部和外部數(shù)據(jù)源。為此，工作組成員需要熟悉特定數(shù)據(jù)集的記錄處理和使用程序。一旦創(chuàng)建了收集、整合和分析數(shù)據(jù)所需的流程和程序，應(yīng)該根據(jù)數(shù)據(jù)的用途對(duì)數(shù)據(jù)進(jìn)行標(biāo)記，因此可能與隱私調(diào)查有關(guān)(根據(jù)調(diào)查，將近58%的影響敏感數(shù)據(jù)的事件是由內(nèi)部威脅引起的)。

企業(yè)考慮是否會(huì)使用技術(shù)來(lái)監(jiān)控最終用戶(hù)設(shè)備、登錄等，并通過(guò)簽署的信息系統(tǒng)安全確認(rèn)協(xié)議記錄這一點(diǎn)。潛在的危害指標(biāo)可能包括數(shù)據(jù)庫(kù)篡改、企業(yè)機(jī)密信息的不當(dāng)共享、文件刪除或查看不當(dāng)內(nèi)容。當(dāng)此類(lèi)行為曝光時(shí)，自由裁量權(quán)至關(guān)重要，任何調(diào)查都需要無(wú)懈可擊且可辯護(hù)，因?yàn)樗赡軙?huì)導(dǎo)致法律訴訟案件。

可防御性的數(shù)字取證

內(nèi)部威脅計(jì)劃還應(yīng)詳細(xì)說(shuō)明企業(yè)如何響應(yīng)和調(diào)查事件?？紤]調(diào)查是否是內(nèi)部的?在什么時(shí)候需要讓外部代理人參與進(jìn)來(lái)?以及需要通知誰(shuí)?用于調(diào)查的數(shù)據(jù)將保存在哪里?信息將保留多長(zhǎng)時(shí)間?雖然保留相關(guān)信息很重要，但不希望陷入保留過(guò)多信息的陷阱，因?yàn)檫@會(huì)增加風(fēng)險(xiǎn)，這意味著內(nèi)部威脅計(jì)劃還應(yīng)該考慮數(shù)據(jù)最小化策略。

企業(yè)應(yīng)該使用數(shù)字取證工具來(lái)執(zhí)行內(nèi)部威脅計(jì)劃。需要決定如何主動(dòng)管理內(nèi)部威脅，以及這些工具是僅用于分析后還是秘密使用。例如，一些擁有高價(jià)值資產(chǎn)的企業(yè)會(huì)進(jìn)行掃描，以確定員工離職時(shí)數(shù)據(jù)是否被泄露。企業(yè)還應(yīng)該確保這些工具能夠遠(yuǎn)程定位端點(diǎn)和云源，即使它們沒(méi)有連接，并且應(yīng)該與操作系統(tǒng)無(wú)關(guān)，以便可以在各種設(shè)備上捕獲數(shù)據(jù)。

數(shù)字取證確保企業(yè)可以快速捕獲和調(diào)查任何不當(dāng)行為。例如，它可以確定用于將數(shù)據(jù)從企業(yè)信息資產(chǎn)中泄露到任何設(shè)備、端點(diǎn)、在線(xiàn)存儲(chǔ)服務(wù)(如Google Drive或Dropbox)甚至通過(guò)社交媒體平臺(tái)發(fā)布的日期、時(shí)間和路徑。在追蹤數(shù)據(jù)之后，就可以縮小可能的嫌疑人范圍，直到團(tuán)隊(duì)獲得無(wú)可爭(zhēng)議的確切證據(jù)。

無(wú)論是調(diào)查方式還是證據(jù)本身都必須無(wú)可非議，并且在法律上是可以辯護(hù)的，因?yàn)榇祟?lèi)事件可能導(dǎo)致解雇甚至起訴。如果在法庭上受到質(zhì)疑，企業(yè)將需要證明盡職調(diào)查，因此在保護(hù)證據(jù)的處理時(shí)，必須有一個(gè)可靠且可重復(fù)的司法程序和適當(dāng)?shù)谋O(jiān)管鏈。

得到員工的支持

員工的支持也是成功的關(guān)鍵。該政策應(yīng)在隱私、財(cái)務(wù)甚至物理影響方面?zhèn)鬟_(dá)安全威脅的風(fēng)險(xiǎn)，以便員工了解所涉及的風(fēng)險(xiǎn)，但也應(yīng)該有適當(dāng)?shù)牧鞒淌褂脩?hù)能夠報(bào)告行為危害指標(biāo)。指南應(yīng)規(guī)定如何以及何時(shí)通過(guò)特定渠道報(bào)告危害指標(biāo)，即通過(guò)電話(huà)、電子郵件、DropBox等，還應(yīng)記錄培訓(xùn)的完成情況。

內(nèi)部威脅計(jì)劃將需要接受測(cè)試，但最好不要與實(shí)際事件一起進(jìn)行測(cè)試。與其相反，應(yīng)該執(zhí)行內(nèi)部威脅風(fēng)險(xiǎn)評(píng)估，以確定安全控制和業(yè)務(wù)流程中的差距，或評(píng)估數(shù)據(jù)泄露的難易程度以及數(shù)字取證流程的執(zhí)行情況?？紤]如何將內(nèi)部威脅管理引入其他安全策略，例如涵蓋BYOD的安全策略，并確保受信任的業(yè)務(wù)合作伙伴和分包商也接受內(nèi)部威脅風(fēng)險(xiǎn)評(píng)估。

最后，需要記住的是，隨著新流程的上線(xiàn)和數(shù)據(jù)源的添加，該策略將需要適應(yīng)和改變。這樣做的關(guān)鍵是保持準(zhǔn)確的數(shù)據(jù)庫(kù)存，并確保企業(yè)數(shù)字取證工具為其提供足夠的范圍來(lái)處理新技術(shù)或滲透途徑，但企業(yè)也可以將其計(jì)劃與所在行業(yè)的其他業(yè)務(wù)進(jìn)行基準(zhǔn)測(cè)試。

實(shí)施內(nèi)部威脅計(jì)劃的目的是確保不僅業(yè)務(wù)、數(shù)據(jù)或流程受到保護(hù)，而且員工也受到保護(hù)。通過(guò)秘密監(jiān)控工作流，可以更準(zhǔn)確地標(biāo)記危害指標(biāo)，幫助防止事件升級(jí)。但是，當(dāng)不可想象的事情發(fā)生時(shí)，如果毫無(wú)戒心的員工泄露了敏感數(shù)據(jù)，那么擁有強(qiáng)大的可防御流程(這些流程已經(jīng)記錄了事件)，就可以更輕松地進(jìn)行數(shù)字取證調(diào)查，并迅速解決問(wèn)題。