調(diào)研機構(gòu)Forrester Research公司在最近發(fā)布的一份調(diào)查報告中指出，只有18%的企業(yè)優(yōu)先將安全支出用于構(gòu)建專門的內(nèi)部威脅計劃，25%企業(yè)則將支出用于防范外部威脅。

企業(yè)需要擔心的不僅僅是可能心懷不滿意的一些員工，大多數(shù)內(nèi)部威脅事件本質(zhì)上都是非惡意的。Proofpoint公司和波洛蒙研究所在其發(fā)布的“2022年內(nèi)部威脅全球成本報告”中指出，粗心或疏忽行為占所有安全事件的56%，而且這些也往往是成本最高的安全事件，平均修復(fù)成本為660萬美元。

修復(fù)失敗

部分問題在于安全觀念：Forrester Research公司的調(diào)查報告發(fā)現(xiàn)，近三分之一的受訪者并沒有將員工視為一種威脅。但眾所周知，要防止此類事件發(fā)生也非常困難，因為企業(yè)本質(zhì)上是在尋求控制對數(shù)據(jù)的合法訪問。減輕這些威脅不僅是為了提高安全性，而且是為了檢測用戶行為中潛在的危害指標，因此，大多數(shù)企業(yè)依靠培訓(xùn)員工來解決這個問題。然而，僅靠安全培訓(xùn)往往是不夠的。

這份報告還發(fā)現(xiàn)，雖然65%的受訪者表示通過培訓(xùn)員工來確保遵守數(shù)據(jù)保護政策，但55%的受訪者表示他們的員工已經(jīng)找到了規(guī)避這些政策的方法。其他受訪者表示，他們依靠單點解決方案來預(yù)防此類事件，其中43%使用數(shù)據(jù)丟失防護來阻止操作，29%通過SIEM進行監(jiān)控(盡管這些系統(tǒng)仍然可以在不檢測的情況下泄露數(shù)據(jù))。問題是網(wǎng)絡(luò)安全和員工監(jiān)控都沒有考慮到壓力因素，這些壓力因素會促使一些員工采用變通辦法。

預(yù)防總是勝于應(yīng)對，當前應(yīng)該重視應(yīng)對內(nèi)部威脅的方法。如果發(fā)現(xiàn)內(nèi)部威脅(無論是否惡意)，企業(yè)對如何處理的關(guān)注不足夠。雖然培訓(xùn)和網(wǎng)絡(luò)安全控制確實可以發(fā)揮作用，但兩者都需要成為內(nèi)部威脅計劃的一部分。

內(nèi)部威脅計劃協(xié)調(diào)不同業(yè)務(wù)部門的政策、程序和流程，以應(yīng)對內(nèi)部威脅。它被廣泛認為對緩解內(nèi)部威脅至關(guān)重要，但在Forrester公司的調(diào)查中，只有28%的受訪者聲稱擁有一個內(nèi)部威脅計劃。這樣做的原因是許多企業(yè)建立一個內(nèi)部威脅計劃可能令人生畏。除了讓人員參與并制定政策外，企業(yè)還需要清點其數(shù)據(jù)并定位數(shù)據(jù)源，確定如何監(jiān)控行為、調(diào)整安全培訓(xùn)計劃、開展調(diào)查，以及如何定期評估內(nèi)部威脅計劃本身。

如何開始構(gòu)建內(nèi)部威脅計劃

首先，企業(yè)需要專門的工作組來幫助指導(dǎo)內(nèi)部威脅計劃。工作組成員需要有明確的角色和責任，并采用同一套道德準則或簽署保密協(xié)議。這是因為有許多與員工隱私和監(jiān)控相關(guān)的法律，以及在制定和執(zhí)行政策時必須考慮的法律和擔憂。工作組的第一項工作將是制定運營計劃，并制定防范內(nèi)部威脅政策的高級版本。

然后，他們需要考慮如何盤點和訪問內(nèi)部和外部數(shù)據(jù)源。為此，工作組成員需要熟悉特定數(shù)據(jù)集的記錄處理和使用程序。一旦創(chuàng)建了收集、整合和分析數(shù)據(jù)所需的流程和程序，應(yīng)該根據(jù)數(shù)據(jù)的用途對數(shù)據(jù)進行標記，因此可能與隱私調(diào)查有關(guān)(根據(jù)調(diào)查，將近58%的影響敏感數(shù)據(jù)的事件是由內(nèi)部威脅引起的)。

企業(yè)考慮是否會使用技術(shù)來監(jiān)控最終用戶設(shè)備、登錄等，并通過簽署的信息系統(tǒng)安全確認協(xié)議記錄這一點。潛在的危害指標可能包括數(shù)據(jù)庫篡改、企業(yè)機密信息的不當共享、文件刪除或查看不當內(nèi)容。當此類行為曝光時，自由裁量權(quán)至關(guān)重要，任何調(diào)查都需要無懈可擊且可辯護，因為它可能會導(dǎo)致法律訴訟案件。

可防御性的數(shù)字取證

內(nèi)部威脅計劃還應(yīng)詳細說明企業(yè)如何響應(yīng)和調(diào)查事件。考慮調(diào)查是否是內(nèi)部的?在什么時候需要讓外部代理人參與進來?以及需要通知誰?用于調(diào)查的數(shù)據(jù)將保存在哪里?信息將保留多長時間?雖然保留相關(guān)信息很重要，但不希望陷入保留過多信息的陷阱，因為這會增加風險，這意味著內(nèi)部威脅計劃還應(yīng)該考慮數(shù)據(jù)最小化策略。

企業(yè)應(yīng)該使用數(shù)字取證工具來執(zhí)行內(nèi)部威脅計劃。需要決定如何主動管理內(nèi)部威脅，以及這些工具是僅用于分析后還是秘密使用。例如，一些擁有高價值資產(chǎn)的企業(yè)會進行掃描，以確定員工離職時數(shù)據(jù)是否被泄露。企業(yè)還應(yīng)該確保這些工具能夠遠程定位端點和云源，即使它們沒有連接，并且應(yīng)該與操作系統(tǒng)無關(guān)，以便可以在各種設(shè)備上捕獲數(shù)據(jù)。

數(shù)字取證確保企業(yè)可以快速捕獲和調(diào)查任何不當行為。例如，它可以確定用于將數(shù)據(jù)從企業(yè)信息資產(chǎn)中泄露到任何設(shè)備、端點、在線存儲服務(wù)(如Google Drive或Dropbox)甚至通過社交媒體平臺發(fā)布的日期、時間和路徑。在追蹤數(shù)據(jù)之后，就可以縮小可能的嫌疑人范圍，直到團隊獲得無可爭議的確切證據(jù)。

無論是調(diào)查方式還是證據(jù)本身都必須無可非議，并且在法律上是可以辯護的，因為此類事件可能導(dǎo)致解雇甚至起訴。如果在法庭上受到質(zhì)疑，企業(yè)將需要證明盡職調(diào)查，因此在保護證據(jù)的處理時，必須有一個可靠且可重復(fù)的司法程序和適當?shù)谋O(jiān)管鏈。

得到員工的支持

員工的支持也是成功的關(guān)鍵。該政策應(yīng)在隱私、財務(wù)甚至物理影響方面?zhèn)鬟_安全威脅的風險，以便員工了解所涉及的風險，但也應(yīng)該有適當?shù)牧鞒淌褂脩裟軌驁蟾嫘袨槲：χ笜?。指南?yīng)規(guī)定如何以及何時通過特定渠道報告危害指標，即通過電話、電子郵件、DropBox等，還應(yīng)記錄培訓(xùn)的完成情況。

內(nèi)部威脅計劃將需要接受測試，但最好不要與實際事件一起進行測試。與其相反，應(yīng)該執(zhí)行內(nèi)部威脅風險評估，以確定安全控制和業(yè)務(wù)流程中的差距，或評估數(shù)據(jù)泄露的難易程度以及數(shù)字取證流程的執(zhí)行情況?？紤]如何將內(nèi)部威脅管理引入其他安全策略，例如涵蓋BYOD的安全策略，并確保受信任的業(yè)務(wù)合作伙伴和分包商也接受內(nèi)部威脅風險評估。

最后，需要記住的是，隨著新流程的上線和數(shù)據(jù)源的添加，該策略將需要適應(yīng)和改變。這樣做的關(guān)鍵是保持準確的數(shù)據(jù)庫存，并確保企業(yè)數(shù)字取證工具為其提供足夠的范圍來處理新技術(shù)或滲透途徑，但企業(yè)也可以將其計劃與所在行業(yè)的其他業(yè)務(wù)進行基準測試。

實施內(nèi)部威脅計劃的目的是確保不僅業(yè)務(wù)、數(shù)據(jù)或流程受到保護，而且員工也受到保護。通過秘密監(jiān)控工作流，可以更準確地標記危害指標，幫助防止事件升級。但是，當不可想象的事情發(fā)生時，如果毫無戒心的員工泄露了敏感數(shù)據(jù)，那么擁有強大的可防御流程(這些流程已經(jīng)記錄了事件)，就可以更輕松地進行數(shù)字取證調(diào)查，并迅速解決問題。