对于公司来说,最大的威胁之一是敏感数据的泄露,如客户或员工的支付卡或个人身份信息,这些信息有时会被内部员工窃取。在这种情况下,被系统或网络管理员窃取的威胁是最严重的,因为他们可以接触到大量的公司数据,可以看到公司内最敏感的记录。
福特汉姆大学首席信息安全官杰森本尼迪克特(Jason Benedict)说:“如今,我更担心内部威胁,而不是黑客,因为我们很容易受到内部威胁。我们有防火墙。我们有入侵保护系统。我们有杀毒软件。我们在防范外部风险方面取得了相当大的成功。但是对于内部威胁,我们漏洞百出。我从来没想过会有别有用心的人去窃取和贩卖信息。但是我们经常看到有人在浏览自己无权查看的信息。我们还发现,一些拥有高级权限的人滥用职权浏览员工的工资表。"
BITS金融服务协会反欺诈项目副总裁希瑟威森(Heather Wyson)表示,美国金融服务公司的内部安全事件数量正在增加。
怀森说:‘我们一直在关注内部人员的故意泄露,比如窃取财务和专利信息、植入逻辑炸弹和安装恶意软件。同时也要注意一些无意的泄密行为,比如员工无意中打开了被感染的文件,安装了未经授权的软件或者来自社交媒体的威胁。我们发现,与内部人员相关的有意和无意的数据泄露事件数量呈上升趋势。"
对此,首席信息安全官和IT安全专家指出,IT部门需要采取以下措施来减少内部安全威胁。以下是他们的建议:
1.限制和监控特权用户。
根据威瑞森发布的2010年数据泄露调查报告,48%的数据泄露事件是由内部人员造成的。我们需要密切监控的内部人员是那些拥有特权的人。建议威瑞森首席信息官在聘用前进行筛选,剔除那些过去曾违反使用规定的候选人。BITS将向其成员提供防欺诈服务。通过这项服务,会员可以分享被判有罪但未被起诉的前雇员的信息。
另外,不能赋予员工超过工作需要的权限。职责应该分散,以防止员工拥有过多的权力。威瑞森说:“特权的使用应该被记录并形成管理信息。未经计划的特权使用应该受到警告和调查。
2.限制用户访问和权限,尤其是在工作调整或裁员期间。
威瑞森发现,大约24%的内部安全事故发生在刚换工作的员工身上。一半的员工被解雇,而其他人辞职或被分配到公司内部的新工作。如果不及时注销这些员工的账户,或者在命令公布后仍然让员工完成当天的工作,就非常容易出现泄密。这也是为什么威瑞森建议公司制定一个“覆盖所有访问区域的及时暂停计划”的原因。
本尼迪克特说,福特汉姆可以冻结用户,并在五个小时内收回他们所有的访问权限。
3.监控那些在网上有轻微不良行为的员工。
威瑞森发现,“那些在互联网上有轻微不良行为的员工往往会犯下严重的罪行,比如盗用或盗窃知识产权。”CIO应该关注那些违反网络法规的员工,以及那些行为不端的员工,比如在系统中保留色情或非法内容。因为这些都是以后内部安全事件的前兆。在威瑞森的调查中发现,承认窃取数据的员工通常将他们的行为归咎于过去一些微妙的滥用行为。这被称为‘网络犯罪中的破窗理论’(注:如果一个房子的窗户破了,没人去修,不久之后,其他窗户也会莫名其妙地被打破;一面墙,如果有些涂鸦不清理干净,很快,墙上就会布满凌乱不堪、有碍观瞻的东西;在一个很干净的地方,人们都不好意思扔垃圾,但是一旦地上有垃圾,人们就会毫不犹豫地扔。
4.用软件分析你的记录文件,有异常及时提醒。
在调查内部安全事件时,威瑞森发现86%的事件都可以在日志文件中找到证据。他们说,日志数据会出现三种明显的异常:日志数据异常增加,日志中出现异常长的线条,日志数据异常减少或丢失。
威瑞森说,内部安全事件发生后,日志会增加5倍,而攻击者破坏日志功能后,日志就会丢失。SQL注入攻击和其他攻击会在日志中留下一长串。虽然许多IT部门安装了监控和分析工具,但他们忘记使用它们。相反,这些IT人员只是定期监控这些工具显示的结果。威瑞森建议配置这些工具来发现明显的问题。本尼迪克特说,为了发现异常情况,福特汉姆的安保人员会定期手动检查日志。
5.考虑部署数据泄漏保护技术。
目前,越来越多的首席信息官担心知识产权会通过公司网络泄露。为此,他们开始安装监控软件,可以对流出公司的网络信息进行监控和过滤。优利系统首席信息安全官帕特里夏泰特斯(Patricia Titus)表示,他们正在测试一种防止数据泄露的技术,以保护公司的知识产权。
本尼迪克特表示,福特汉姆正计划投资50万美元用于数据泄露预防软件。建议威瑞森对进出公司的网络数据进行过滤。威瑞森强调:“通过监控、分析和控制流出公司的网络数据,公司可以减少恶意行为的发生。”
6.就内部威胁对员工进行培训。
首席信息安全官建议公司定期对员工,尤其是IT员工进行安全威胁以及如何识别内部员工窃取有价值数据的恶意行为的培训。泰特斯表示,在打击内部蓄意数据窃取的斗争中,公司员工是首席信息安全官最大的盟友。
Wyson建议公司应该设立一条热线,员工可以通过这条热线匿名举报他们发现或怀疑的欺诈行为。本尼迪克特不仅每年为员工举办安全意识培训,还为员工提供关于最新IT安全威胁的小册子。福特汉姆还通过脸书、推特和博客等社交媒体教育大学里的人们有关安全威胁的知识。
