最堅固的堡壘往往是從內部被攻破的。內部威脅早已不是什么鮮為人知的安全隱患,其普遍性已經成為幾乎所有企業都需要擔心和考慮的問題。
在這里,我們首先定義一下內部威脅(Insider Threat)的概念范疇,其是指內部人員利用獲得的信任做出的損害授信組織合法利益的行為,這些利益包括企業的經濟利益、業務運行、對外服務以及授信主體聲譽等。同時需要注意,內部威脅不僅僅是組織合法成員的有意或無意導致的組織利益損失,還包括一些外部偽裝成內部成員的攻擊。
全球內部威脅事件頻出
企業經濟、業務、聲譽多重受損
在近兩年公開披露的大型網絡安全事件中,因內部威脅而造成的,其比例之高、類型之多、行業覆蓋之廣,令人觸目驚心。
● 內部泄密
內部人員造成企業數據泄露是內部威脅安全事件中最多也最突出的。
2021年11月,輝瑞制藥起訴一名前員工,指控其在跳槽前竊取了超過1.2萬份文件,包括輝瑞新冠疫苗的內部評估與建議、輝瑞與德國疫苗合作伙伴的合作關系,以及兩種癌癥抗體介紹等商業機密文件。輝瑞認為這是競爭對手的無情挖角而驅使的。
除了這類內鬼惡意的竊密,更多的事件源于員工的粗心或誤操作。
2020年,保險軟件開發商Vertafore的一名員工無意中將數據文件存儲在不安全的外部存儲服務上,致使2770萬得克薩斯州駕駛員敏感信息泄露。這些文件包含數百萬個駕駛執照的信息,用于該公司為其軟件創建保險評級功能。因員工大意導致客戶數據暴露,企業不僅要承受信任度降低,還將承擔高額的罰款和賠付。
● 特權濫用
賬戶與權限是內部協作與管理中非常基礎的工具,但由于其錯誤的配置、沒有及時更新的權限管理、沒有及時修補的漏洞、弱口令等,導致身份賬戶總成能為內部威脅的巨大敞口。
2021年,紐約一家信用合作社的前雇員在被解雇幾天后仍然能夠登錄公司系統,其在40分鐘內暴力刪除了21.3 GB的公司數據,其中包括2萬個文件和3500個目錄。此外,她還讀取了包括董事會會議記錄在內的敏感文檔。
除了員工會越權,黑客也會通過破壞賬戶權限混入內部。
2022年1月,紅十字國際委員會(ICRC)表示其遭到不明身份的黑客入侵,超過51萬人的個人信息被竊取,這些數據來自全球至少60個紅十字會及其分會。調查顯示,黑客是通過一個未修補的漏洞破壞管理員憑據,并偽裝成內部合法用戶、管理員來泄露注冊表配置和活動目錄文件。
● 網絡釣魚
此外網絡釣魚也非常常見,雖然手段看起來很初級,但經年累月屢試不爽。
2022年5月,國內某互聯網大廠一批員工收到釣魚郵件,有20余名員工按郵件要求掃碼填寫了銀行賬號等信息,被騙取四萬元人民幣。官方聲明顯示,由于某員工使用郵件時被意外釣魚導致密碼泄露,進而被冒充財務部盜發郵件。
值得注意的是,網絡釣魚經常被當做打開內部大門的跳板,進而可能引發勒索攻擊、APT攻擊等影響巨大的安全事件。
● 供應鏈入侵
合作伙伴是另一種身份上的內部人員,他們通常擁有比肩內部人員的訪問權限,又常常被內部管理及評估所忽略。
2021年5月,大眾汽車披露,負責為其提供銷售與營銷服務的第三方供應商的某套在線系統存在安全配置錯誤,導致數據泄露,超過330萬客戶的個人信息意外流出,其中大部分為奧迪車主。為響應此次事件,大眾最終承諾為受影響的用戶提供免費信貸保護服務。
內部威脅不容小覷 恐比外部攻擊更難纏
從結果看,無論是外部攻擊還是內部威脅,最終都造成企業數據資產外泄露、業務受影響等,但是,內部威脅的危害性往往是更大的。相較于外部攻擊,內部威脅有著更明確的動機和目的,而且攻擊方對內部更加熟悉、觸達核心資產更加方便,針對這種強針對性而且便捷的威脅的識別和防范難度也更大。
首先是意識層面和策略重點的問題。企業管理層對內部威脅長期缺乏重視,安全資源和重心傾向于外部攻擊,在管理策略和防范策略上處于防外不防內的模式,進而導致員工的安全意識和技能也比較淺顯生疏,大量的無意識、誤操作可能引發蝴蝶效應,更別說心有不軌的內鬼會進行偽裝和內外勾結。
其次,傳統網絡安全建設著重在解決邊界防護問題,由于其檢測機制所限,這些網絡邊界防護手段無法有效地發現識別和解決內部用戶發起的內部威脅。而內網威脅檢測分為網絡側與終端側,網絡側如IPS/IDS等基于流量進行檢測,終端側依靠EDR、蜜罐等進行識別,以及UEBA等新興技術,處理大量的告警煩雜低效,而真實的威脅可能被淹沒在其中。
解決內部威脅的出路:重新找到安全的邊界
以內外網為邊界進行安全檢測和防護在面對內部威脅時手足無措,業務上云、BYOD、遠程協作等新辦公場景已經沖破了所謂的內網,邊界模糊幾近消失,原本安全的內部也就不復存在。內部威脅總是源于攻擊者借助內部身份的便利性或者瞄準身份和權限管理功能下手,那么身份,就成為了一道新的、邏輯上的安全邊界。
IAM(身份識別與訪問管理)如今已成為多數企業機構的標配,尤其是多分支組織架構、擁有多個供應商和合作伙伴的大型集團,IAM旨在統一構建平臺的權限管理標準,通過定義并管理單個網絡用戶的身份,確保合適的身份在合適的時間獲得合適的授權訪問。
隨著零信任概念的普及,采用零信任原則和架構的增強型IAM通過多因素身份驗證進行訪問,采用最小特權原則,對每一次訪問都進行動態驗證及授權,可以應對網絡中的各類請求。同時會監視特權用戶的活動,自動禁用或按需修改離職、轉崗員工的賬戶權限,做到實時的、更細粒度的訪問控制和身份安全管理。
IAM和零信任體系主要解決身份認證和管理工作,面對這些系統本身可能存在的安全隱患,以及內部人員使用合法身份并由此為突破橫掃內網的情況,ITDR(身份威脅檢測和響應)將為企業的身份基礎設施增加額外的安全保障。其旨在最大限度地提高企業各個位置的身份可見性,高效、高速、實時監測身份配置與行為,保護和響應超越終端與流量的局限視角。
中安網星ITDR技術路線圖
作為一項新興技術,ITDR在國內外尚處起步發展階段,專注于該領域的安全廠商中安網星此前在接受安全419采訪時表示,技術獨立的ITDR可以更好融入到眾多應用場景當中,針對不同場景的身份基礎設施提供檢測和響應,而非這些身份基礎設施獨立集成。其發展壯大一方面需要技術上的攻破,比如防護模型覆蓋能力,具體的技術分析和響應能力,另一方面還需要市場的信心和認同。據了解,其以AD域安全防護切入為ITDR的落地打下基礎,并將持續拓展相關技術形成完善的ITDR解決方案。
針對身份基礎設施的認證和管理,加上對應的檢測和響應能力,將形成定義完整的身份安全,在識別、阻攔內部威脅上更上一個臺階。
更多信息可以來這里獲取==>>電子技術應用-AET<<
