內(nèi)部風險不僅僅與惡意行為者有關(guān)，在大多數(shù)情況下，它是由失誤引起的，有人將敏感文件發(fā)送到錯誤的地址，或?qū)⑽臋n上傳到個人云以便在家工作，在許多情況下，這并非出于惡意，因為許多內(nèi)部事件是由疏忽而非惡意造成的。

盡管如此，惡意的內(nèi)部人員可能會造成毀滅性后果，有些人竊取知識產(chǎn)權(quán)，有些人則被外部團體賄賂或施壓，要求他們植入勒索軟件、竊取商業(yè)機密或關(guān)閉運營。

內(nèi)部風險的影響已波及整個企業(yè)，不再局限于網(wǎng)絡安全團隊，據(jù)Code42稱，86%的人表示，內(nèi)部事件會影響公司文化。

僅檢測是不夠的

據(jù)Capterra的高級安全分析師Zach Capers稱，適當限制數(shù)據(jù)的企業(yè)遭受內(nèi)部攻擊的可能性降低一半，企業(yè)應遵循最小權(quán)限原則，確保員工只能訪問其工作所需的數(shù)據(jù)，應密切監(jiān)控高權(quán)限用戶，并將管理權(quán)限的使用降至最低。

依賴工具是很誘人的，現(xiàn)代平臺可以標記異常行為、跟蹤文件移動并向安全團隊發(fā)出警報，但檢測并不能解決更深層次的問題。

對內(nèi)部風險的純技術(shù)回應可能會偏離目標，我們需要理解人性的一面，這意味著要關(guān)注模式、動機和文化，過度監(jiān)控而不考慮上下文可能會趕走優(yōu)秀員工，反而增加風險而非降低風險。

在工作場所監(jiān)控方面，清晰和開放至關(guān)重要?！巴该魇加谟幸獾臏贤?，”MIND的首席技術(shù)官Itai Schwartz說，這意味著要向員工坦誠相告，不僅要告知他們正在進行監(jiān)控，還要說明監(jiān)控的內(nèi)容、原因以及它如何有助于保護公司和員工。

Schwartz表示，當企業(yè)明確將監(jiān)控與安全聯(lián)系起來而非監(jiān)視時，通常會獲得員工的支持?！皢T工應該知道監(jiān)控是為了保護數(shù)據(jù)——而不是監(jiān)視個人，”他說。如果人們能看到這對他們和業(yè)務有何益處，他們就更有可能支持監(jiān)控。

具體性是關(guān)鍵，Schwartz建議明確概述哪些活動、數(shù)據(jù)或系統(tǒng)正在被監(jiān)控，并解釋警報是如何觸發(fā)的。“文檔應該易于查找、易于理解，并在入職和培訓期間得到強化?！彼f。

道德監(jiān)控也意味著劃定界限，Schwartz強調(diào)了比例原則的重要性：只收集相關(guān)和必要的信息。“讓員工了解他們的行為如何影響風險，并利用這些信息來指導而非懲罰他們，”他說。如果你的監(jiān)控方法無法舒適地與團隊分享?“它很可能需要改進。”

最終，Schwartz表示，目標是“構(gòu)建既尊重用戶隱私又保護企業(yè)數(shù)據(jù)的系統(tǒng)”。

簡單政策，智能訪問控制

通常，員工并不知道他們正在制造風險，令人困惑的政策會使情況變得更糟，安全團隊應制定簡短且與特定職位相關(guān)的政策。

不要將期望埋藏在無人閱讀的PDF中，使用真實案例對人員進行培訓，并向他們展示在日常任務中如何表現(xiàn)安全。

最小權(quán)限仍然是最重要的控制措施，將員工訪問權(quán)限限制為他們所需的文件和系統(tǒng)，但不要設置后就忘記，當人們換工作、承擔新項目或調(diào)換團隊時，權(quán)限會發(fā)生變化。

定期審查訪問權(quán)限，身份治理工具提供自動化工作流程來管理和審計訪問權(quán)限。

據(jù)Ivanti稱，僵化的安全協(xié)議(如復雜的身份驗證過程和高度限制性的訪問控制)可能會讓員工感到沮喪，降低生產(chǎn)力并導致不安全的工作方式。

在制定有效的安全政策時，簡單性和可用性應放在首位?！白詈玫陌踩呤菍嵱?、具有上下文意識和人性化的，”MIND的CEO Eran Barak說。Barak主張采用能引導員工行為的政策，而不是依賴懲罰失誤的僵化規(guī)則。

這始于觀察，Barak建議不要憑空制定政策，而是要研究工作流程并圍繞這些模式制定規(guī)則?！笆紫纫私鈫T工的工作方式，然后圍繞這些模式制定政策?！彼f。模糊的指示幫助不大，因此最好包含具體細節(jié)——在Slack中分享什么是可以的，什么不能粘貼到AI聊天機器人中，以及何時應標記可疑內(nèi)容。

為了保持政策的相關(guān)性，Barak建議建立反饋循環(huán)。政策不應隨著風險格局的變化而停滯不前?！八鼈儜摪l(fā)展，而不是停滯不前，”他說。重要的是，它們不應自上而下地頒布而沒有輸入?！芭c團隊共同制定政策，”他說?！皩Π踩珱Q策有歸屬感的人更有可能采納它們?！?/p>

當需要執(zhí)行時，不必嚴厲，Barak建議使用自動化工具在實時中提供溫和的提醒——想想教育信息或要求用戶解釋其行為的提示，必要時再升級?！皬臏睾偷臏p速帶和教育信息開始，在政策違規(guī)時近乎實時地提示，并允許用戶提供理由?！彼f。

最重要的是，保持簡單。“如果一個政策不能用幾個要點或在Slack消息中解釋清楚，那么它就太復雜了?！盉arak說。

行為比活動更重要

即使在最安全的環(huán)境中，人類行為仍然是一個重大漏洞。因此，網(wǎng)絡安全領(lǐng)導者必須采取積極主動、以人為本的方法來管理風險，Mimecast表示。

記錄每次點擊并無幫助，相反，要尋找變化的跡象，用戶是否開始在奇怪的時間登錄?他們在辭職前是否下載了大量數(shù)據(jù)?

行為分析工具可以揭示這些趨勢，但人們?nèi)匀粦撌菍彶檫^程的一部分，算法可以標記，但人類必須決定什么是危險的。

據(jù)Protasec的首席安全官Josh Harr稱，獲得高層的支持并建立廣泛的意識至關(guān)重要?！拔蚁嘈艑︼L險本身的認識和支持是首要任務，”Harr說?！拔蚁蚋吖軅兲峁┝瞬皇褂闷髽I(yè)中數(shù)據(jù)可能帶來的成本，以確保我們不會面臨更高的內(nèi)部威脅風險?！?/p>

這種意識不應僅停留在高層?！皩φ麄€企業(yè)而言，意識也很實際，”他補充道。Harr主張對所有層級進行增量培訓，特別是對董事和管理層，以幫助他們識別行為中的潛在紅旗?！皩Χ?、經(jīng)理和其他人進行增量培訓，教他們?nèi)绾巫R別行為，這大有幫助?！?/p>

為了將這種意識付諸實踐，Harr已在企業(yè)中實施了內(nèi)部風險評分卡，這些工具在個人層面分析網(wǎng)絡釣魚模擬結(jié)果、終端活動和惡意軟件風險評分等信號?！斑@些評分卡使企業(yè)能夠采用基于風險的方法進行調(diào)查和威脅搜尋，”他解釋道?！巴ㄟ^為系統(tǒng)上的個人行為建立基準，領(lǐng)導者可以全面了解風險所在，從而保持充分了解?！?/p>

在減少內(nèi)部風險方面，另一個未被充分利用的工具是許多行業(yè)已經(jīng)常見的做法：訪問認證。“年度訪問審查有助于防止訪問范圍的擴大，”Harr指出——但前提是與行為監(jiān)控和培訓相結(jié)合?！爸挥袌?zhí)行了上述措施?！彼娴?。

鼓勵報告錯誤

安全取決于文化，員工必須感到安全，才能報告錯誤或可疑行為，如果他們害怕受到懲罰，就會保持沉默，風險也會增加。

“定期認可和表揚團隊中的網(wǎng)絡安全行為，不僅能提升那些勤奮工作的人，還能激勵其他人參與進來，這可能包括表彰遵循最佳實踐、識別潛在安全威脅或為改進安全做出貢獻的個人?！監(jiān)ptiv的網(wǎng)絡安全教育專家Emily Wienhold解釋道。

匿名報告工具、開放政策以及人力資源部門的支持都有助于此，提醒人們目標是保護而非懲罰也是如此。

文化在預防內(nèi)部事件方面發(fā)揮著重要作用，同理心和培訓與技術(shù)同樣重要。

“通過培訓和清晰溝通，在整個企業(yè)中樹立安全第一的心態(tài)，確保風險管理適應新威脅，支持創(chuàng)新和合規(guī)?！盫eracode的首席安全倡導者Chris Wysopal說。

與人力資源和法律部門合作

CISO無法獨自完成這項工作，人力資源團隊可以檢測員工的不投入并標記出問題的早期跡象，法律部門則有助于應對隱私和合規(guī)規(guī)則。

組建一個小型跨職能團隊來管理內(nèi)部風險，該團隊應審查監(jiān)控決策、指導調(diào)查并保護員工權(quán)利。

“真正的疏忽或故意行為應得到妥善處理，但分配責任和實施懲罰必須是在客觀、合理的調(diào)查之后的最后一步，它絕不應是默認反應?！盤raxis Security Labs的CEO Kai Roer指出。