Imperva公司最近發(fā)布的一份調(diào)查報告發(fā)現(xiàn)，只有18%的優(yōu)先支出用于專門的內(nèi)部威脅計劃(ITP)，而25%的支出則專注于外部威脅情報。

企業(yè)需要擔心的不僅僅是懷恨在心的員工——大多數(shù)內(nèi)幕事件本質(zhì)上都是非惡意的。在其2022年內(nèi)部威脅全球成本報告中，Proofpoint和Ponemon Institute發(fā)現(xiàn)，粗心或疏忽行為占所有事件的56%，而且這些也往往是成本最高的，平均清理操作成本為660萬美元。

修復失敗

部分問題在于認知：Forrester報告發(fā)現(xiàn)，近三分之一的受訪者并未將員工視為威脅。但眾所周知，要防止此類事件也非常困難，因為您本質(zhì)上是在尋求控制對數(shù)據(jù)的合法訪問。減輕這些威脅不僅是為了提高安全性，而且是為了檢測用戶行為中的潛在危害指標(IoC)，因此，大多數(shù)企業(yè)依靠員工培訓來解決這個問題。然而，如上圖所示，僅靠培訓往往是不夠的。

同一份Forrester報告發(fā)現(xiàn)，雖然65%的人使用員工培訓來確保遵守數(shù)據(jù)保護政策，但55%的人表示他們的用戶已經(jīng)找到了規(guī)避這些相同政策的方法。其他人表示，他們依靠單點解決方案來預防事件，其中43%使用數(shù)據(jù)丟失防護(DLP)來阻止操作，29%通過SIEM進行監(jiān)控(盡管這些系統(tǒng)仍然可以在不檢測的情況下泄露數(shù)據(jù))。問題是網(wǎng)絡(luò)安全和員工監(jiān)控都沒有考慮到壓力因素，這些壓力因素會促使足智多謀的員工訴諸變通辦法。

雖然預防總是勝于治療，但當前應對內(nèi)部威脅的方法過于重視其方法。因此，如果發(fā)現(xiàn)內(nèi)部威脅(無論是否惡意)，人們對如何處理的關(guān)注不足。因此，雖然培訓和網(wǎng)絡(luò)安全控制確實可以發(fā)揮作用，但兩者都需要成為更廣泛的東西的一部分：ITP。

ITP協(xié)調(diào)不同業(yè)務(wù)部門的政策、程序和流程，以應對內(nèi)部威脅。它被廣泛認為對緩解內(nèi)部威脅至關(guān)重要，但在Forrester的調(diào)查中，只有28%的人聲稱擁有一個。這樣做的原因是許多企業(yè)發(fā)現(xiàn)建立一個令人生畏。除了讓人員參與并制定政策外，企業(yè)還需要清點其數(shù)據(jù)并定位數(shù)據(jù)源，確定如何監(jiān)控行為、調(diào)整培訓計劃、開展調(diào)查以及如何評估ITP本身定期。

入門

首先，需要一名經(jīng)理和專門的工作組來幫助指導ITP。成員需要有明確的角色和責任，并同意一套道德準則和/或簽署NDA。這是因為有許多與員工隱私和監(jiān)控相關(guān)的法律，以及在制定和執(zhí)行政策時必須考慮的法律考慮和擔憂。工作組的第一項工作將是制定運營計劃并制定內(nèi)部威脅政策的高級版本。

然后，他們需要考慮如何盤點和訪問內(nèi)部和外部數(shù)據(jù)源，為此，工作組需要熟悉特定數(shù)據(jù)集的記錄處理和使用程序。一旦創(chuàng)建了收集、整合和分析數(shù)據(jù)所需的流程和程序，應根據(jù)數(shù)據(jù)的用途對數(shù)據(jù)進行標記，因此可能與隱私調(diào)查有關(guān)。(有趣的是，據(jù)Forrester稱，近58%的影響敏感數(shù)據(jù)的事件是由內(nèi)部威脅引起的。)

考慮您是否會使用技術(shù)來監(jiān)控最終用戶設(shè)備、登錄等，并通過簽署的信息系統(tǒng)安全確認協(xié)議記錄這一點。潛在的危害指標(IoC)可能包括數(shù)據(jù)庫篡改、公司機密信息的不當共享、文件刪除或查看不當內(nèi)容。當此類行為曝光時，自由裁量權(quán)至關(guān)重要，任何調(diào)查都需要無懈可擊且可辯護，因為它可能會導致法律案件。

可防御性的數(shù)字取證

ITP還應詳細說明企業(yè)如何響應和調(diào)查事件?？紤]調(diào)查是否是內(nèi)部的，在什么時候你需要讓外部代理人參與進來，以及需要通知誰。用于調(diào)查的數(shù)據(jù)將保存在哪里?信息將保留多長時間?雖然保留相關(guān)信息很重要，但您不希望陷入保留過多信息的陷阱，因為這會增加風險，這意味著ITP還應該與數(shù)據(jù)最小化策略重疊。

應使用數(shù)字取證工具來執(zhí)行ITP。您需要決定如何主動管理內(nèi)部威脅，以及這些工具是僅用于分析后還是秘密使用。例如，一些擁有高價值資產(chǎn)的企業(yè)會進行掃描，以確定員工離開企業(yè)時數(shù)據(jù)是否被泄露。您還應該確保這些工具能夠遠程定位端點和云源，即使它們沒有連接，并且應該與操作系統(tǒng)無關(guān)，以便您可以在Mac和PC上捕獲數(shù)據(jù)。

數(shù)字取證確保企業(yè)可以快速捕獲和調(diào)查任何不當行為。例如，它可以確定用于將數(shù)據(jù)從公司信息資產(chǎn)中泄露到任何設(shè)備、端點、在線存儲服務(wù)(如GoogleDrive或Dropbox)甚至通過社交媒體平臺發(fā)布的日期、時間和路徑。追蹤數(shù)據(jù)后，就可以縮小可能的嫌疑人范圍，直到團隊獲得無可爭辯的證據(jù)。

無論是調(diào)查的方式還是證據(jù)本身都必須無可非議且在法律上站得住腳，因為此類事件可能會導致解雇甚至起訴。如果在法律法庭受到質(zhì)疑，企業(yè)將需要證明盡職調(diào)查，因此在保護證據(jù)處理方面必須有一個法證健全和可重復的流程和適當?shù)谋O(jiān)管鏈。

讓員工留在身邊

員工的支持也是成功的關(guān)鍵。該政策應在隱私、財務(wù)甚至物理影響方面?zhèn)鬟_妥協(xié)的風險，以便員工了解所涉及的風險。但也應該有適當?shù)牧鞒淌褂脩裟軌驁蟾嫘袨镮oC。指南應規(guī)定如何以及何時通過特定渠道報告IoC，即通過小費電話線、電子郵件、DropBox等。還應記錄意識培訓的完成情況。

ITP將需要接受測試，但最好不要與實際事件一起進行。相反，應執(zhí)行內(nèi)部威脅風險評估，以確定安全控制和業(yè)務(wù)流程中的差距，或評估數(shù)據(jù)泄露的難易程度以及數(shù)字取證流程的執(zhí)行情況?？紤]如何將內(nèi)部威脅管理引入其他安全策略，例如涵蓋BYOD的策略，并確保受信任的業(yè)務(wù)合作伙伴和分包商也接受內(nèi)部威脅風險評估。

最后，請記住，隨著新流程的上線和數(shù)據(jù)源的添加，該策略將需要適應和改變。這樣做的關(guān)鍵是保持準確的數(shù)據(jù)庫存，并確保您的數(shù)字取證工具為您提供足夠的范圍來處理新技術(shù)和/或滲透途徑，但您也可以將您的計劃與您所在行業(yè)的其他業(yè)務(wù)進行基準測試。

實施內(nèi)部威脅計劃的目的是確保不僅企業(yè)、其數(shù)據(jù)或其流程受到保護，而且其員工也受到保護。秘密監(jiān)控工作流程可以使IoC被更準確地標記，有助于防止事件升級。但是，當不可想象的事情發(fā)生并且毫無戒心的員工確實暴露了敏感數(shù)據(jù)時，擁有已經(jīng)記錄該事件的強大的可防御流程可以更容易地進行數(shù)字取證調(diào)查并迅速結(jié)束任何法律案件。