信息化觀察網(wǎng)

本文來自微信公眾號(hào)“安全牛”。

根據(jù)美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）的定義，內(nèi)部威脅防護(hù)計(jì)劃是一種檢測(cè)組織內(nèi)部安全威脅早期指標(biāo)的有效方法，通過集中管理下多種安全能力協(xié)同，旨在提前檢測(cè)和防止違規(guī)敏感信息泄露的發(fā)生。內(nèi)部威脅防護(hù)計(jì)劃也經(jīng)常被稱為內(nèi)部威脅管理框架，主要包括異常行為監(jiān)控、威脅事件檢測(cè)、安全事件響應(yīng)以及內(nèi)部威脅防護(hù)意識(shí)培養(yǎng)等措施。

對(duì)于現(xiàn)代企業(yè)組織而言，創(chuàng)建并應(yīng)用一個(gè)高效的內(nèi)部威脅防護(hù)計(jì)劃具有以下諸多好處：

●減少內(nèi)部攻擊的損失。內(nèi)部威脅防護(hù)計(jì)劃可以最大限度地提高組織快速檢測(cè)和阻止安全攻擊的成功率，減少內(nèi)部人員可能造成的威脅和損害。

●標(biāo)準(zhǔn)、法律和法規(guī)遵從性。隨著網(wǎng)絡(luò)安全成為國(guó)家安全的重要組成部分，各國(guó)監(jiān)管機(jī)構(gòu)都已制定較完善的法律和行業(yè)性IT標(biāo)準(zhǔn)、法規(guī)，明確要求企業(yè)組織加強(qiáng)內(nèi)部威脅管理，防止相關(guān)事件發(fā)生；

●提前發(fā)現(xiàn)內(nèi)部威脅。檢測(cè)內(nèi)部威脅比檢測(cè)外部攻擊更具挑戰(zhàn)性，內(nèi)部威脅防護(hù)計(jì)劃有助于組織在威脅隱患演變?yōu)檎嬲舨⒃斐蓪?shí)際傷害之前發(fā)現(xiàn)威脅；

●快速有效地應(yīng)對(duì)內(nèi)部攻擊。內(nèi)部威脅防護(hù)計(jì)劃應(yīng)該準(zhǔn)確描述緩解內(nèi)部威脅的具體流程、工具和人員。通過這些制度和知識(shí)，所有員工都可以更有效地處理各種可能發(fā)生的網(wǎng)絡(luò)安全事件。

為了幫助企業(yè)組織更好地制定和應(yīng)用內(nèi)部威脅防護(hù)計(jì)劃，安全研究人員梳理總結(jié)了在構(gòu)建內(nèi)部威脅防護(hù)計(jì)劃時(shí)的重點(diǎn)任務(wù)清單：

01

制定計(jì)劃前的準(zhǔn)備

是否充分做好準(zhǔn)備工作，在內(nèi)部威脅防護(hù)計(jì)劃能否獲得成功的關(guān)鍵，它可以為組織節(jié)省大量的時(shí)間和精力。在進(jìn)行計(jì)劃準(zhǔn)備時(shí)，組織需要全面收集并梳理當(dāng)前的網(wǎng)絡(luò)安全措施、需求和涉及人員等信息，并明確定義希望通過該計(jì)劃實(shí)現(xiàn)的任務(wù)目標(biāo)。

以下是組織在計(jì)劃準(zhǔn)備時(shí)應(yīng)該做的主要工作：

●評(píng)估組織當(dāng)前的網(wǎng)絡(luò)安全措施；

●研究組織需要遵守的法律、法規(guī)要求；

●定義內(nèi)部威脅計(jì)劃的預(yù)期目標(biāo)；

●列出所有和防護(hù)計(jì)劃有關(guān)系的利益相關(guān)者。

02

開展內(nèi)部風(fēng)險(xiǎn)評(píng)估

在制定內(nèi)部威脅防護(hù)計(jì)劃時(shí)，組織首先需要定義出哪些是需要重點(diǎn)保護(hù)的敏感資產(chǎn)。這些資產(chǎn)可以是物理方式存在的，也可以是虛擬形式的，比如客戶信息、員工數(shù)據(jù)、技術(shù)秘密、知識(shí)產(chǎn)權(quán)等。開展內(nèi)部威脅風(fēng)險(xiǎn)評(píng)估是檢測(cè)此類資產(chǎn)及其可能面臨的威脅的最有效方法之一。它可以幫助組織形成網(wǎng)絡(luò)安全態(tài)勢(shì)的全景地圖。在開展內(nèi)部風(fēng)險(xiǎn)評(píng)估時(shí)，通常會(huì)包括以下步驟：

1.明確潛在的內(nèi)部威脅來源；

2.發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中已經(jīng)存在的安全隱患和漏洞；

3.創(chuàng)建有關(guān)高危風(fēng)險(xiǎn)和高價(jià)值資產(chǎn)的列表；

4.確定風(fēng)險(xiǎn)，并評(píng)估內(nèi)部威脅的可能性和優(yōu)先級(jí)；

5.將結(jié)果傳達(dá)給所有利益相關(guān)者，并幫助員工提高風(fēng)險(xiǎn)意識(shí)。

03

評(píng)估創(chuàng)建計(jì)劃所需的資源

要制定一個(gè)高效的內(nèi)部威脅防護(hù)計(jì)劃會(huì)面臨很多挑戰(zhàn)，因此在開始之前，要充分認(rèn)識(shí)到實(shí)施這種類型的計(jì)劃不能僅靠網(wǎng)絡(luò)安全部門，還需要多種公司資源的支撐保障：

●管理資源：需要獲得組織各部門的認(rèn)同與支持，并通過管理手段讓其配合、參與制定內(nèi)部威脅防護(hù)計(jì)劃；

●技術(shù)資源：計(jì)劃要靠先進(jìn)的工具來保障落地，因此需要部署專用的內(nèi)部威脅管理軟件，同時(shí)重新調(diào)整現(xiàn)有的網(wǎng)絡(luò)安全解決方案和基礎(chǔ)設(shè)施；

●財(cái)務(wù)資源：組織需要為購(gòu)買網(wǎng)絡(luò)安全軟件和雇傭?qū)Ｂ殞＜翌A(yù)留充分的資金預(yù)算。

通過準(zhǔn)備一份必要的資源清單，這樣有助于更好地向公司管理層匯報(bào)這個(gè)計(jì)劃，并且得到其認(rèn)可。

04

獲得高級(jí)管理層的支持

在完成以上計(jì)劃準(zhǔn)備和制定工作后，就應(yīng)該通過目前所收集到的各種信息，來獲得公司管理層對(duì)實(shí)施計(jì)劃的支持。計(jì)劃關(guān)鍵利益相關(guān)者的名單通常包括首席執(zhí)行官（CEO）、首席財(cái)務(wù)官（CFO）、首席信息安全官（CISO）和首席人力資源官（CHRO）。

為了獲得他們的認(rèn)可和支持，計(jì)劃制定者應(yīng)該準(zhǔn)備一個(gè)清晰的案例，清楚地表明實(shí)施內(nèi)部威脅防護(hù)計(jì)劃的必要性和價(jià)值，讓其充分了解內(nèi)部威脅防護(hù)計(jì)劃如何有效幫助公司各部門實(shí)現(xiàn)他們的發(fā)展目標(biāo)。

05

創(chuàng)建內(nèi)部威脅響應(yīng)團(tuán)隊(duì)

內(nèi)部威脅響應(yīng)團(tuán)隊(duì)主要由負(fù)責(zé)內(nèi)部威脅管理各個(gè)階段的員工組成。與通常的看法相反，這個(gè)團(tuán)隊(duì)不應(yīng)該只由IT或安全專家組成。它應(yīng)該是跨職能的，并擁有迅速果斷行動(dòng)的權(quán)力和工具。

在創(chuàng)建內(nèi)部威脅響應(yīng)團(tuán)隊(duì)時(shí)，需要明確以下工作任務(wù)：

●內(nèi)部威脅響應(yīng)小組的任務(wù)；

●團(tuán)隊(duì)的領(lǐng)導(dǎo)者和團(tuán)隊(duì)內(nèi)部的管理匯報(bào)制度；

●每個(gè)團(tuán)隊(duì)成員的職責(zé)范圍；

●團(tuán)隊(duì)用于對(duì)抗內(nèi)部威脅的策略、流程和工具。

06

確定內(nèi)部威脅檢測(cè)措施

內(nèi)部威脅的早期檢測(cè)是最重要的保護(hù)手段，因?yàn)樗梢詫?shí)現(xiàn)快速響應(yīng)并降低補(bǔ)救成本。為了有效地檢測(cè)內(nèi)部威脅，組織需要：

●監(jiān)視每個(gè)用戶的活動(dòng)并收集其系統(tǒng)操作的詳細(xì)日志，安全監(jiān)控有助于安全人員實(shí)時(shí)審查可疑會(huì)話、調(diào)查事件，并評(píng)估整體網(wǎng)絡(luò)安全態(tài)勢(shì)；

●管控用戶對(duì)敏感資源的訪問。這樣可以幫助組織防止未經(jīng)授權(quán)的訪問并檢測(cè)可疑的訪問嘗試；

●分析用戶行為，發(fā)現(xiàn)威脅的早期跡象。用戶和實(shí)體行為分析（UEBA）是一款有效的工具，通常使用人工智能算法來分析正常的用戶活動(dòng)，為每個(gè)用戶創(chuàng)建行為基線，并在發(fā)現(xiàn)異常行為時(shí)通知內(nèi)部威脅響應(yīng)團(tuán)隊(duì)。

07

優(yōu)化事件響應(yīng)策略

為了對(duì)檢測(cè)到的內(nèi)部威脅快速采取行動(dòng)，應(yīng)急響應(yīng)團(tuán)隊(duì)必須找出常見的內(nèi)部威脅攻擊場(chǎng)景。關(guān)于內(nèi)部威脅響應(yīng)計(jì)劃，最重要的是它應(yīng)該是現(xiàn)實(shí)的，并且易于執(zhí)行。不要試圖用一個(gè)單獨(dú)的計(jì)劃來涵蓋所有可能的情況，而是應(yīng)該制定幾個(gè)具體的計(jì)劃，涵蓋最可能發(fā)生的事件。一個(gè)內(nèi)部威脅事件的響應(yīng)過程應(yīng)該包括：

●威脅事件分析和描述；

●技術(shù)性和非技術(shù)性的威脅指標(biāo)分析；

●威脅行為者分析；

●事件緩解策略和流程；

●事件分析文檔和說明。

08

事故調(diào)查和補(bǔ)救措施

為了有效地管理內(nèi)部威脅，計(jì)劃中需要明確規(guī)定好調(diào)查內(nèi)部安全威脅事件的程序以及可能的補(bǔ)救活動(dòng)。事故調(diào)查通常包括以下行動(dòng)：

●全面收集和事件相關(guān)的各種數(shù)據(jù)，比如審閱由UAM記錄的用戶會(huì)話，以及采訪證人等；

●評(píng)估事故造成的傷害；

●為相關(guān)的溯源和取證活動(dòng)充分收集相關(guān)證據(jù)；

●在必要的時(shí)候，盡快向上級(jí)官員和監(jiān)管機(jī)構(gòu)報(bào)告事件，并獲得更多幫助。

09

員工安全意識(shí)培養(yǎng)

要讓內(nèi)部威脅防護(hù)計(jì)劃真正落地，必須確保組織的所有員工都能充分了解該計(jì)劃的關(guān)鍵規(guī)則，并提高其整體網(wǎng)絡(luò)安全意識(shí)。盡管安全意識(shí)培訓(xùn)課程的內(nèi)容取決于不同組織中使用的安全風(fēng)險(xiǎn)、工具和方法，但是在任何培訓(xùn)期間都應(yīng)該確保：

●清楚解釋實(shí)施內(nèi)部威脅計(jì)劃的原因，并涵蓋最近的內(nèi)部攻擊案例及其后果；

●分享常見的員工內(nèi)部威脅活動(dòng)，提請(qǐng)大家注意可能的疏忽和惡意行為，并了解社會(huì)工程攻擊的示例；

●要讓員工知道，如果他們發(fā)現(xiàn)內(nèi)部威脅線索或遇到內(nèi)部威脅損害時(shí)，應(yīng)該首先聯(lián)系誰？

需要強(qiáng)調(diào)的是，企業(yè)要充分了解內(nèi)部威脅意識(shí)培訓(xùn)的有效性。為此，組織可以采訪員工、準(zhǔn)備測(cè)試或模擬內(nèi)部攻擊，以了解員工在培訓(xùn)中學(xué)到了什么，以及在未來的培訓(xùn)課程中應(yīng)該注意和改進(jìn)什么。

10

定期檢查并更新計(jì)劃

創(chuàng)建一個(gè)高效的內(nèi)部威脅防護(hù)計(jì)劃并不是一勞永逸的活動(dòng)。內(nèi)部威脅是在不斷變化，其復(fù)雜性和危害性也會(huì)不斷增加，因此，內(nèi)部威脅防護(hù)計(jì)劃也應(yīng)該不斷優(yōu)化以保持效率。確保至少在下述情況下檢查您的計(jì)劃：

●當(dāng)發(fā)生內(nèi)部威脅事件時(shí)；

●出現(xiàn)新的合規(guī)性要求或網(wǎng)絡(luò)安全技術(shù)；

●內(nèi)部威脅響應(yīng)團(tuán)隊(duì)發(fā)生變動(dòng)；

●計(jì)劃中明確要求的時(shí)間點(diǎn)。