尽管公司不怎么愿意公开具体情况,但由于刁滑的员工开始从单打独斗变成与来自外部的网络犯罪分子进行共同合作已经变成了现实,这将会导致内部威胁继续成为普遍存在的问题,并依然属于公司所面临风险中很关键的类型。
飞塔公司东南亚与香港区技术总监埃里克·陈指出,尽管高级持续性威胁(APTS)之类的新安全威胁也开始呈现出继续扩张的趋势,但很多公司依然认为内部威胁才属于数据所面临的最大风险所在。
举例来说,网络安全公司Algosec在今年4月份发布的一项调查报告就显示出:在所有受访者中,有27.5%的认为查找内部威胁依然属于技术以及安全专家最关注的问题之一,这项数字仅次于抱怨应用程序与网络缺乏足够透明度的.7%。
陈指出:内部威胁在今天之所以依然还会普遍存在,就是因为所有以电子形式的信息都很容易被窃取;尤其是在攻击者拥有合法访问权的时间,面临的威胁程度就会变得尤为严峻。
达科公司解决开发群组负责安全解决方案的总经理吉多·克吕克指出:由于公司希望避免这种事件所带来的消极影响,因而相比外部网络犯罪分子的攻击,相关情况很少会被公开出来。
从单打独斗进化到团队合作,从金融盗窃演变成商业间谍行为
按照克吕克的说法,刁滑的员工选择与外部网络犯罪分子进行合作的情况正开始变得越来越普遍。
陈指出,在此之前,内部威胁的主要类型不过是个别员工窃取公司机密数据而已。他进一步解释说,但现在的情况已经是截然不同,有组织犯罪集团以及全球各国政府都开始选择利用公司内部人员来对电力设备以及核电站等关键基础设施进行攻击。
在该领域,最典型的例子就是荷兰化学公司(DSM)在2012年7月发生的事故。当时,一个受到感染的优盘被遗留在停车场里;克吕克解释说,尽管该事件的发生地点是公司内部,但却显示出攻击者受到外部集团控制的迹象。
他进一步解释说,这证明内部威胁开始变得越来越复杂,已经从最简单的“复制”模式进化到定点部署专业恶意软件收集有针对性信息的新阶段。
他还补充说,相关动机也从纯粹的金融盗窃行为演变成为针对具体知识产权信息的定向性偷盗。在某些情况下,企业甚至还会遭遇到试图同时窃取资金以及企业两方面数据的严重内部威胁。
内部威胁需要被纳入到风险管理模式的控制之中
克吕克指出,多年以来,为获得更好的保障,企业一直坚持针对信息技术安全保护领域进行“积极投入”。
然而,由于面临的风险依然处于上升态势并且还在不断变化,因此企业现在需要做的就是将内部威胁也纳入到风险管理模式的整体控制之中。他建议,这里需要部署的具体措施就应当包括从内部威胁的角度进行应用程序与系统测试,进行网络划分以及建立安全环境监控。
克吕克指出,随着企业业务的进一步全球化,内部员工也会遍布到世界各地,而这就意味着拥有不同的文化背景将变成为司空见惯的情况。他解释说,这种情况就会让公司无法完成对员工进行全面背景审核工作的可能性增加,从而导致系统遭到滥用的几率出现上升。
按照克吕克的建议,在招聘员工的时间,公司就应当进行尽可能全面的尽职调查,并需要将彻底的背景审核以及深入交流等部分包括进来。
此外,他还补充说,企业需要对员工进行监控,为针对受限数据的访问建立全面可靠的安全控制措施,并确保能够对所有特权账户都获得了有效管理。
而在员工监控力度方面,他认为企业需要在顾及到隐私与安全之间最佳平衡的前提下,建立起监控与访问透明度设置方面的具体措施。
他认为,由于自带设备(BYOD)策略日益普及,为了确保企业内部机密数据的安全,并且能够与员工个人信息区隔开来,这项措施将会变得极为重要。
举例来说,这样的话,企业就可以对员工设备上的业务数据而不是个人信息进行加密处理。克吕克进一步解释说,如果员工出现丢失设备的问题时,企业就可以选择仅仅清除业务数据而不会对他们的个人信息造成不利影响。