內(nèi)部人員威脅的普遍性和后果嚴(yán)重性令很多公司企業(yè)開(kāi)始設(shè)立自己的內(nèi)部威脅項(xiàng)目(ITP)。但安全人員往往對(duì)ITP的理想構(gòu)成不甚清楚，或者存在誤解。不過(guò)，多年ITP管理經(jīng)驗(yàn)可以告訴我們，真正有效的“黃金標(biāo)準(zhǔn)”ITP是具備一些共性特征的。

[[238497]]

一、信息安全項(xiàng)目的黃金標(biāo)準(zhǔn)

每個(gè)黃金標(biāo)準(zhǔn)ITP背后都是一套黃金標(biāo)準(zhǔn)信息安全項(xiàng)目。事實(shí)上，信息安全就是ITP的基石。正如蓋房子不會(huì)先砌墻再打地基，要開(kāi)始設(shè)立ITP也得先建好恰當(dāng)?shù)男畔踩?xiàng)目。也正如地基不牢的房子扛不住地震，沒(méi)有良好信息安全項(xiàng)目支撐的ITP也擋不住內(nèi)部人威脅。

換句話(huà)說(shuō)，有效ITP需要有效信息安全項(xiàng)目。其主要原因有二：

• 首先，ITP的目標(biāo)是遏阻、檢測(cè)和響應(yīng)內(nèi)部人威脅，而阻止內(nèi)部人威脅很大程度上是信息安全項(xiàng)目的責(zé)任。如果公司的信息安全項(xiàng)目無(wú)法撐起阻止威脅所需的安全標(biāo)準(zhǔn)及控制措施，比如身份與訪(fǎng)問(wèn)管理(IAM)過(guò)程、網(wǎng)絡(luò)使用及設(shè)備限制、強(qiáng)制安全意識(shí)培訓(xùn)等等，那么公司就更易遭受本可防止的內(nèi)部人威脅侵?jǐn)_，從而增加ITP的負(fù)擔(dān)。
• 其次，很多案例中，公司的信息安全項(xiàng)目都需要在內(nèi)部人威脅調(diào)查過(guò)程中支持其ITP。如果信息安全團(tuán)隊(duì)缺乏所需功能、帶寬或資源，有可能會(huì)妨礙調(diào)查的進(jìn)展和準(zhǔn)確性。

二、涵蓋全面的框架

黃金標(biāo)準(zhǔn)ITP通常倚賴(lài)包含3個(gè)重要組件的運(yùn)行框架。這3個(gè)組件就像三角凳的三條腿，不僅缺一不可，各自完好，還必須整體聯(lián)動(dòng)，互相支持;否則，凳子就站不穩(wěn)，或者說(shuō)，ITP項(xiàng)目就會(huì)傾覆。

1. 程序性功能

可以說(shuō)是ITP最重要的組件。除了指定ITP的目標(biāo)、資源、優(yōu)先級(jí)和路線(xiàn)圖，該功能還確保了ITP調(diào)查的所有方面都有清晰的記錄，保持一致，可重復(fù)，且遵從所有必要的法律和合規(guī)章程。

然而，雖然地位如此重要，程序性功能卻是ITP中最常被忽略掉的組件。尤其是急于盡快上馬ITP的公司企業(yè)，常會(huì)把該功能定位到低優(yōu)先級(jí)上。這種思維雖然可以理解，卻是問(wèn)題產(chǎn)生的根源。沒(méi)有足夠的程序性功能支撐，ITP就會(huì)缺乏邁向成功和有效所需的指引、優(yōu)先級(jí)和過(guò)程。

2. ITP資源&工具

旨在識(shí)別可能指征現(xiàn)有或即將發(fā)生的內(nèi)部人威脅的那些行為和事件。這一組件需要能訪(fǎng)問(wèn)廣泛的數(shù)據(jù)集，擁有對(duì)整個(gè)公司范圍內(nèi)所有員工行為和數(shù)據(jù)的可見(jiàn)性。常見(jiàn)示例有VPN、代理、電子郵件和證章數(shù)據(jù)集等等。

ITP還需要具備可綜合、辨別和提供這些數(shù)據(jù)集中相關(guān)發(fā)現(xiàn)的工具。舉個(gè)例子，用戶(hù)行為分析(UBA)工具，就可以利用數(shù)據(jù)科學(xué)技術(shù)來(lái)識(shí)別可能需要在ITP上下文中進(jìn)一步調(diào)查的那些用戶(hù)行為，比如雇員是否導(dǎo)出了超過(guò)正常大小的數(shù)據(jù)，或者經(jīng)常在正常工作時(shí)間段外訪(fǎng)問(wèn)公司網(wǎng)絡(luò)等。ITP可使用這些工具的輸出結(jié)果來(lái)輔助發(fā)起并深入后續(xù)調(diào)查及響應(yīng)工作。

盡管黃金標(biāo)準(zhǔn)ITP傾向于依靠大量數(shù)據(jù)集和高度復(fù)雜的工具，它們也意識(shí)到了這些資源僅僅是ITP的組件之一。一個(gè)常見(jiàn)的錯(cuò)誤思維是，將這些資源，尤其是UBA工具，視作內(nèi)部人威脅的萬(wàn)用藥。雖然市場(chǎng)營(yíng)銷(xiāo)是這么宣稱(chēng)的沒(méi)錯(cuò)，但實(shí)際上沒(méi)有哪款工具或資源能替代掉全面ITP的其他組件。

3. 調(diào)查功能

綜合并檢查ITP工具的輸出結(jié)果，以確定其指征潛在內(nèi)部人威脅的程度。該功能特別重要，因?yàn)榇蠖鄶?shù)情況下，各工具的輸出展現(xiàn)不了用戶(hù)行為全貌。比如說(shuō)，當(dāng)ITP工具揭示某用戶(hù)在與競(jìng)爭(zhēng)對(duì)手進(jìn)行電子郵件往來(lái)，這是否意味著即將發(fā)生內(nèi)部人威脅?未必!該行為可以有許多種解釋?zhuān)琁TP的調(diào)查功能就是要深挖出事件和行為背后的根源。

黃金標(biāo)準(zhǔn)ITP調(diào)查是一個(gè)復(fù)雜的多層次的過(guò)程，需要不同協(xié)議，需要各種類(lèi)型和深度的分析，需要觀(guān)察依賴(lài)這些行為的利益相關(guān)者并估計(jì)風(fēng)險(xiǎn)。當(dāng)調(diào)查結(jié)果顯示內(nèi)部人攻擊就在眼前，該功能便與程序性功能協(xié)作，很多情況下還會(huì)加入其他部門(mén)的利益相關(guān)者，來(lái)一起根據(jù)需要對(duì)威脅進(jìn)行驗(yàn)證和歸因溯源。

三、企業(yè)級(jí)整合

黃金標(biāo)準(zhǔn)ITP最突出的特征，就是橫跨整個(gè)企業(yè)范圍的整合與集成。盡管ITP往往作為獨(dú)立的功能存在，最有效的ITP卻是倚賴(lài)出自IT、法律、HR、合規(guī)、第三方風(fēng)險(xiǎn)和其他各種功能的數(shù)據(jù)集和資源的。很多黃金標(biāo)準(zhǔn)ITP都在各業(yè)務(wù)部門(mén)指定了代表，作為業(yè)務(wù)團(tuán)隊(duì)和ITP之間的聯(lián)絡(luò)人。擁有來(lái)自公司決策層和利益相關(guān)者的支持與協(xié)作，不僅可以支撐ITP的發(fā)展與運(yùn)營(yíng)，還有助于提高對(duì)內(nèi)部威脅的風(fēng)險(xiǎn)和后果的普遍認(rèn)知。

對(duì)很多企業(yè)而言，對(duì)抗內(nèi)部人威脅是個(gè)令人困惑和充滿(mǎn)挑戰(zhàn)的領(lǐng)域，需要采取一些步驟來(lái)更有效地預(yù)防、阻止、檢測(cè)和響應(yīng)這些威脅。上面列出的內(nèi)容不過(guò)是個(gè)起點(diǎn)，既不全面，也不是指定性的。黃金標(biāo)準(zhǔn)ITP是動(dòng)態(tài)而復(fù)雜的，需要符合公司企業(yè)特定的需求。所以，想要設(shè)立自有ITP的公司企業(yè)最好是與可信第三方合作，獲取ITP設(shè)立過(guò)程中所需的專(zhuān)業(yè)知識(shí)和支持。目前一些大型安全企業(yè)如Symantec、ForcePoint、RSA等都在這個(gè)領(lǐng)域里積極的進(jìn)行探索，而以天空衛(wèi)士為代表的中國(guó)數(shù)據(jù)安全廠(chǎng)商也正通過(guò)將深度內(nèi)容分析和用戶(hù)行為分析智能融合，在ITP這個(gè)領(lǐng)域開(kāi)展技術(shù)創(chuàng)新。

【本文是51CTO專(zhuān)欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文