网络钓鱼模拟不足以识别组织中最脆弱的内部人员或将其风险降至最低.
墨菲, 施耐德唐斯的网络安全经理, 注册公共会计和商业咨询公司, 他说他曾经调查过一起 ransomware attack at a company and traced the incident back to a worker who had clicked on an invoice for pickles.
“这与他的工作职责无关. 这与公司所做的任何事情都无关. The only reason it was clicked was because he was in the mode of opening everything. 他是一个随时可能发生的内部风险,墨菲说。, a former consultant for the National 安全 Agency (NSA) Computer Network Operations Team.
根据 2022年全球内部威胁成本 波耐蒙研究所的一项研究显示 内部威胁 在过去的两年里,此类事件增加了44%.
The report found that negligent insiders were the root cause of 56% of incidents, 平均花费484美元,每件931.
The report found that malicious or criminal insiders cost even more: $648,平均062分, 26%的事件背后有恶意或犯罪的内部人员.
Meanwhile, credential theft accounted for 18% of incidents in 2022, up from 14% of incidents in 2020.
采取多层次的方法
安全专家表示,模拟网络钓鱼攻击可以帮助识别那些不假思索就继续点击的人. But it’s much harder to figure out who might be vulnerable to a sophisticated 社会工程 基于从领英上抓取的信息的攻击, who might be disgruntled enough to sell their credentials to criminal syndicates, or who has meticulous cyber hygiene when working on a laptop but isn’t suspicious of a phony text message.
找出这些薄弱环节需要做更多的工作,并且需要使用公司工具箱中的多种工具, 不仅仅是安全问题.
As 墨菲 says: “To find those insider risks, you don’t rely on one particular point.他说, 例如, that he might not be suspicious of an intern driving a Porsche, but he would if that intern’s working late nights alone and trying to access restricted accounts.
这种方法符合当前的安全思维.
正如ciso所知, 当今的安全性需要一种多层方法,这种方法越来越多地包含有关用户本身的信息. 用户行为分析 零信任 政策, 最小特权原则都说明了这一点, 因为每种方法都考虑到单个用户, 他或她的角色, and his or her typical activities when considering access levels and security risks.
Guidehouse杰森·杜利
但一些安全专家正在考虑的不仅仅是这些,他们还在考虑组织中的哪些角色是薄弱环节, 如何识别它们, 以及如何最大限度地降低风险.
“重要的是,该项目要持续识别潜在风险,并在风险区域周围创建权重,这样当事情浮出水面时, 他们知道要看一看,杰森·杜利说, director in cybersecurity open source solutions at Guidehouse.
一系列潜在的威胁
今天,检测内部威胁以及那些最薄弱环节或构成最大风险(取决于你的观点)的个人的能力比十年前要复杂得多, Sarb Sembhi说,虚拟信息有限公司首席信息安全官和首席技术官.
虚拟信息有限公司.Sarb Sembhi
Sembhi acknowledges that data loss prevention software, network scanning 太ls, 身份和访问管理 平台, 零信任方法可以显著降低粗心或恶意内部人员造成伤害的风险.
But, 他说, like all else in security they’re not a complete guarantee against 内部威胁s.
Consider, 他说, the risk that the internet of things presents to organizations. An employee could bring in a seemingly innocuous IoT device—a printer, perhaps—not realizing he or she is introducing an unsecured internet connection into the enterprise. “These devices are more of an 内部威胁 than perhaps humans would be,Sembhi补充道, ISACA新兴趋势工作组成员.
尚普兰大学亚当·戈尔茨坦
远程工作使内部威胁问题进一步复杂化,因为越来越多的业务单位部署了自己的技术, 他说. 其他人注意到这些因素, 太, 引用, 例如, 一个恶意的或犯罪的内部人员远程工作,可以在周围没有人看到的情况下使用手机拍摄敏感信息.
亚当·戈尔茨坦, 他是尚普兰学院网络安全助理教授,也是莱希数字取证中心的学术主任 & 网络安全, says CISOs can categorize individuals who present additional risks into at least several different groups.
To start, 他说 remote workers in general can be considered a more vulnerable group. “(工人们)都在使用自己的个人机器, 他们在电脑上做的事情以及他们与公司和同事的联系都有不同程度的监督,他说.
The busiest employees as well as the ones doing multiple roles also create more risk, 他说. “Being stretched thin can force people to take shortcuts they wouldn’t normally take, or have to jump into tasks or systems that they haven’t had the time to adequately train for, 或者得到他们需要的深度支持,他说.
此外,还有一些员工仍在努力理解他们使用的技术和现有的控制措施,以及那些“将个人便利置于勤奋和安全之上”的人,他说.
戈尔茨坦补充说:“这些都是一些无意的挑战,可能与员工的动机或技能无关,但可能会导致安全问题.”
同时, 戈尔茨坦说, bad actors continue to evolve their strategies, making it more likely that even a cautious individual could fall victim to a scam and expose the organization.
“一个老练的攻击者试图进行社交工程类型的攻击或想出计划,如果执行得特别好,或者当天有人分心,他可以抓住任何人,他说.
Bad actors have also found ways to make it easier for disgruntled or malicious employees to take action, creating channels that allow workers to sell their credentials or other organizational assets, 戈尔茨坦说,. “内部人士面临的风险也比以前小得多, 因为他们可以把它伪装成网络钓鱼攻击, 这样就很难追查到那个人身上了,他补充道.
此外, there are those who might be vulnerable due to personal factors who may turn to such options, 戈尔茨坦说,.
迈克尔·艾伯特, Guidehouse网络安全业务的合伙人, 他说他曾与一家经历过这种情况的公司合作, which came to light when law enforcement alerted the organization to an employee selling information. 这名女工有适当的工作权限,但她的一个朋友兼同伙看到了赚钱的机会,给她施加了压力.
要采取的行动
Such incidents highlight why CISOs should consider personas as part of their security strategy. As Ebert says: “People get caught in situations and do stupid things.鉴于这一现实, 埃伯特和其他人说,在有人采取实际行动并将组织置于危险之中之前,高管们应该考虑到这种潜力.
Guidehouse迈克尔·艾伯特
然而,他和其他人都承认,首席信息安全官在这方面的能力有限,尤其是在他们独自工作的情况下.
艾伯特笔记, 例如, 执法案件中的这名员工通过了公司最初的背景调查,以及随后每两年对员工进行的背景调查.
“A lot of organizations do background checks and other work during the hiring process to ensure that folks, 在他们加入之前, 符合一定要求,并接受过(安全)培训. 但是现有的员工很难做到这一点,他们可能正在经历个人生活的转变,或者对组织和他们在组织中的角色产生不同的感觉,戈尔茨坦说.
在这方面,受到严格监管的行业的公司占了上风, 戈尔茨坦说,, 由于遵从性要求迫使安全和人力资源部门更密切地合作,以识别可能构成威胁的工人,并制定适当的政策和程序来处理这种情况.
但戈尔茨坦承认,这样的工作是一项繁重的任务,可能会在许多组织中引发道德问题.
“那么,你如何在保护组织资产和不采取老大哥式的方式监控员工之间取得平衡呢??他问道。.
Goldstein advises CISOs to run tabletop drills that involve 内部威胁s. “问问自己:如果(黑客)拿到了这个人的证书怎么办? And then present that to the C-suite to help them understand what the risk is.”
杜尔走得更远, 首席信息安全官应该与其他部门主管——尤其是人力资源主管——合作,识别并了解哪些行为或活动可能表明某人存在风险. “每个企业职能部门都有自己的角色,”他补充道. “这种类型的项目不应该在孤岛中完成.”
但杜里和其他人也警告说,不要把安全措施过多地放在任何特定人物或角色所带来的风险上.
而, 他们说,考虑潜在的情况,评估控制的层次,以确保它们尽可能有效地防止任何个人——无论动机或环境——造成伤害.
“你必须关注个人, 对个人风险进行额外的分析可以帮助你了解风险是什么以及控制是否到位,或者是否有更多的投资领域,戈尔茨坦解释道.
Ebert points again to the law enforcement case to highlight this point, 注意的是,, 基于他所看到的, 如果公司能更好地监控员工的活动,他们可能会阻止或限制损失.
更多关于内部威胁的信息:
