网络钓鱼模拟不足以识别组织中最脆弱的内部人员或将其风险降至最低.
渗透测试向网络安全经理大卫·墨菲(David 墨菲)展示了人们的问题有多严重.
在他的bet9游戏平台中, 他看到过人们捡起并使用掉在地上的u盘, 在电话里说出密码,然后, 是的, 甚至点击模拟 网络钓鱼 链接.
他也看到了这种行为在现实世界中的后果.
墨菲, 施耐德唐斯的网络安全经理, 注册公共会计和商业咨询公司, 他说他曾经调查过一起 ransomware 袭击了一家公司,并将事件追溯到一名工人点击了泡菜的发票.
“这与他的工作职责无关. 这与公司所做的任何事情都无关. 点击的唯一原因是他处于打开所有东西的模式. 他是一个随时可能发生的内部风险,墨菲说。, 他是美国国家安全局(NSA)计算机网络运营团队的前顾问.
根据 2022年全球内部威胁成本 波耐蒙研究所的一项研究显示 内部威胁 在过去的两年里,此类事件增加了44%.
该报告发现,疏忽的内部人员是56%事故的根本原因, 平均花费484美元,每件931.
报告发现,恶意或犯罪内部人员的损失甚至更高:648美元,平均062分, 26%的事件背后有恶意或犯罪的内部人员.
与此同时,凭证盗窃占2022年事件的18%,高于2020年的14%.
采取多层次的方法
安全专家表示,模拟网络钓鱼攻击可以帮助识别那些不假思索就继续点击的人. 但要弄清楚谁可能容易受到复杂的 社会工程 基于从领英上抓取的信息的攻击, 谁会因为不满而把证件卖给犯罪集团呢, 或者在笔记本电脑上工作时非常注重网络卫生,但不会怀疑虚假短信的人.
找出这些薄弱环节需要做更多的工作,并且需要使用公司工具箱中的多种工具, 不仅仅是安全问题.
正如墨菲所说:“要发现那些内部风险,你不能只依赖于某一点.他说, 例如, 他可能不会怀疑一个开保时捷的实习生, 但如果那个实习生一个人加班到很晚还试图访问受限账户他就会这么做.
这种方法符合当前的安全思维.
正如ciso所知, 当今的安全性需要一种多层方法,这种方法越来越多地包含有关用户本身的信息. 用户行为分析 零信任 政策, 最小特权原则都说明了这一点, 因为每种方法都考虑到单个用户, 他或她的角色, 以及他或她在考虑访问级别和安全风险时的典型活动.
Guidehouse杰森·杜利
但一些安全专家正在考虑的不仅仅是这些,他们还在考虑组织中的哪些角色是薄弱环节, 如何识别它们, 以及如何最大限度地降低风险.
“重要的是,该项目要持续识别潜在风险,并在风险区域周围创建权重,这样当事情浮出水面时, 他们知道要看一看,杰森·杜利说, Guidehouse网络安全开源解决方案总监.
一系列潜在的威胁
今天,检测内部威胁以及那些最薄弱环节或构成最大风险(取决于你的观点)的个人的能力比十年前要复杂得多, Sarb Sembhi说,虚拟信息有限公司首席信息安全官和首席技术官.
虚拟信息有限公司.Sarb Sembhi
Sembhi承认数据丢失预防软件,网络扫描工具, 身份和访问管理 平台, 零信任方法可以显著降低粗心或恶意内部人员造成伤害的风险.
但是,他说,就像其他安全领域一样,它们并不能完全保证不受内部威胁.
他说,想想物联网给企业带来的风险吧. 员工可能会带来一个看似无害的物联网设备——打印机, 也许没有意识到他或她正在将不安全的Internet连接引入企业. “与人类相比,这些设备更像是内部威胁,Sembhi补充道, ISACA新兴趋势工作组成员.
尚普兰大学亚当·戈尔茨坦
远程工作使内部威胁问题进一步复杂化,因为越来越多的业务单位部署了自己的技术, 他说. 其他人注意到这些因素, 太, 引用, 例如, 一个恶意的或犯罪的内部人员远程工作,可以在周围没有人看到的情况下使用手机拍摄敏感信息.
亚当·戈尔茨坦, 他是尚普兰学院网络安全助理教授,也是莱希数字取证中心的学术主任 & 网络安全, 他说,首席信息安全官可以将可能带来额外风险的个人至少分成几个不同的组.
首先,他说,远程工作者通常被认为是一个更脆弱的群体. “(工人们)都在使用自己的个人机器, 他们在电脑上做的事情以及他们与公司和同事的联系都有不同程度的监督,他说.
他说,最忙的员工以及身兼数职的员工也会带来更多风险. “过度劳累会迫使人们走他们通常不会走的捷径, 或者不得不投入到他们没有时间进行充分培训的任务或系统中, 或者得到他们需要的深度支持,他说.
此外,还有一些员工仍在努力理解他们使用的技术和现有的控制措施,以及那些“将个人便利置于勤奋和安全之上”的人,他说.
戈尔茨坦补充说:“这些都是一些无意的挑战,可能与员工的动机或技能无关,但可能会导致安全问题.”
同时, 戈尔茨坦说,坏人会继续发展他们的策略, 即使是谨慎的个人也更有可能成为骗局的受害者,并暴露组织.
“一个老练的攻击者试图进行社交工程类型的攻击或想出计划,如果执行得特别好,或者当天有人分心,他可以抓住任何人,他说.
坏人也找到了让心怀不满或心怀恶意的员工更容易采取行动的方法, 创建允许员工出售其证书或其他组织资产的渠道, 戈尔茨坦说,. “内部人士面临的风险也比以前小得多, 因为他们可以把它伪装成网络钓鱼攻击, 这样就很难追查到那个人身上了,他补充道.
此外, 有些人可能由于个人因素而容易受到伤害,他们可能会转向这种选择, 戈尔茨坦说,.
迈克尔·艾伯特, Guidehouse网络安全业务的合伙人, 他说他曾与一家经历过这种情况的公司合作, 当执法部门提醒该组织有员工出售信息时,这件事就曝光了. 这名女工有适当的工作权限,但她的一个朋友兼同伙看到了赚钱的机会,给她施加了压力.
要采取的行动
这些事件突出了为什么ciso应该将角色视为其安全策略的一部分. 正如艾伯特所说:“人们陷入困境,做出愚蠢的事情.鉴于这一现实, 埃伯特和其他人说,在有人采取实际行动并将组织置于危险之中之前,高管们应该考虑到这种潜力.
Guidehouse迈克尔·艾伯特
然而,他和其他人都承认,首席信息安全官在这方面的能力有限,尤其是在他们独自工作的情况下.
艾伯特笔记, 例如, 执法案件中的这名员工通过了公司最初的背景调查,以及随后每两年对员工进行的背景调查.
“许多组织在招聘过程中都会进行背景调查和其他工作,以确保员工, 在他们加入之前, 符合一定要求,并接受过(安全)培训. 但是现有的员工很难做到这一点,他们可能正在经历个人生活的转变,或者对组织和他们在组织中的角色产生不同的感觉,戈尔茨坦说.
在这方面,受到严格监管的行业的公司占了上风, 戈尔茨坦说,, 由于遵从性要求迫使安全和人力资源部门更密切地合作,以识别可能构成威胁的工人,并制定适当的政策和程序来处理这种情况.
但戈尔茨坦承认,这样的工作是一项繁重的任务,可能会在许多组织中引发道德问题.
“那么,你如何在保护组织资产和不采取老大哥式的方式监控员工之间取得平衡呢??他问道。.
戈尔茨坦建议首席信息安全官进行涉及内部威胁的桌面演练. “问问自己:如果(黑客)拿到了这个人的证书怎么办? 然后将其呈现给最高管理层,帮助他们了解风险是什么.”
杜尔走得更远, 首席信息安全官应该与其他部门主管——尤其是人力资源主管——合作,识别并了解哪些行为或活动可能表明某人存在风险. “每个企业职能部门都有自己的角色,”他补充道. “这种类型的项目不应该在孤岛中完成.”
但杜里和其他人也警告说,不要把安全措施过多地放在任何特定人物或角色所带来的风险上.
而, 他们说,考虑潜在的情况,评估控制的层次,以确保它们尽可能有效地防止任何个人——无论动机或环境——造成伤害.
“你必须关注个人, 对个人风险进行额外的分析可以帮助你了解风险是什么以及控制是否到位,或者是否有更多的投资领域,戈尔茨坦解释道.
Ebert再次以执法部门的案例来强调这一点, 注意的是,, 基于他所看到的, 如果公司能更好地监控员工的活动,他们可能会阻止或限制损失.
更多关于内部威胁的信息:
