高效內(nèi)部威脅防護(hù)計(jì)劃構(gòu)建指南

在制定內(nèi)部威脅防護(hù)計(jì)劃時(shí),組織首先需要定義出哪些是需要重點(diǎn)保護(hù)的敏感資產(chǎn)。這些資產(chǎn)可以是物理方式存在的,也可以是虛擬形式的,比如客戶信息、員工數(shù)據(jù)、技術(shù)秘密、知識(shí)產(chǎn)權(quán)等。

360截圖16251112669372.png

本文來自微信公眾號(hào)“安全牛”。

根據(jù)美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)的定義,內(nèi)部威脅防護(hù)計(jì)劃是一種檢測(cè)組織內(nèi)部安全威脅早期指標(biāo)的有效方法,通過集中管理下多種安全能力協(xié)同,旨在提前檢測(cè)和防止違規(guī)敏感信息泄露的發(fā)生。內(nèi)部威脅防護(hù)計(jì)劃也經(jīng)常被稱為內(nèi)部威脅管理框架,主要包括異常行為監(jiān)控、威脅事件檢測(cè)、安全事件響應(yīng)以及內(nèi)部威脅防護(hù)意識(shí)培養(yǎng)等措施。

對(duì)于現(xiàn)代企業(yè)組織而言,創(chuàng)建并應(yīng)用一個(gè)高效的內(nèi)部威脅防護(hù)計(jì)劃具有以下諸多好處:

●減少內(nèi)部攻擊的損失。內(nèi)部威脅防護(hù)計(jì)劃可以最大限度地提高組織快速檢測(cè)和阻止安全攻擊的成功率,減少內(nèi)部人員可能造成的威脅和損害。

●標(biāo)準(zhǔn)、法律和法規(guī)遵從性。隨著網(wǎng)絡(luò)安全成為國(guó)家安全的重要組成部分,各國(guó)監(jiān)管機(jī)構(gòu)都已制定較完善的法律和行業(yè)性IT標(biāo)準(zhǔn)、法規(guī),明確要求企業(yè)組織加強(qiáng)內(nèi)部威脅管理,防止相關(guān)事件發(fā)生;

●提前發(fā)現(xiàn)內(nèi)部威脅。檢測(cè)內(nèi)部威脅比檢測(cè)外部攻擊更具挑戰(zhàn)性,內(nèi)部威脅防護(hù)計(jì)劃有助于組織在威脅隱患演變?yōu)檎嬲舨⒃斐蓪?shí)際傷害之前發(fā)現(xiàn)威脅;

●快速有效地應(yīng)對(duì)內(nèi)部攻擊。內(nèi)部威脅防護(hù)計(jì)劃應(yīng)該準(zhǔn)確描述緩解內(nèi)部威脅的具體流程、工具和人員。通過這些制度和知識(shí),所有員工都可以更有效地處理各種可能發(fā)生的網(wǎng)絡(luò)安全事件。

為了幫助企業(yè)組織更好地制定和應(yīng)用內(nèi)部威脅防護(hù)計(jì)劃,安全研究人員梳理總結(jié)了在構(gòu)建內(nèi)部威脅防護(hù)計(jì)劃時(shí)的重點(diǎn)任務(wù)清單:

01

制定計(jì)劃前的準(zhǔn)備

是否充分做好準(zhǔn)備工作,在內(nèi)部威脅防護(hù)計(jì)劃能否獲得成功的關(guān)鍵,它可以為組織節(jié)省大量的時(shí)間和精力。在進(jìn)行計(jì)劃準(zhǔn)備時(shí),組織需要全面收集并梳理當(dāng)前的網(wǎng)絡(luò)安全措施、需求和涉及人員等信息,并明確定義希望通過該計(jì)劃實(shí)現(xiàn)的任務(wù)目標(biāo)。

以下是組織在計(jì)劃準(zhǔn)備時(shí)應(yīng)該做的主要工作:

●評(píng)估組織當(dāng)前的網(wǎng)絡(luò)安全措施;

●研究組織需要遵守的法律、法規(guī)要求;

●定義內(nèi)部威脅計(jì)劃的預(yù)期目標(biāo);

●列出所有和防護(hù)計(jì)劃有關(guān)系的利益相關(guān)者。

02

開展內(nèi)部風(fēng)險(xiǎn)評(píng)估

在制定內(nèi)部威脅防護(hù)計(jì)劃時(shí),組織首先需要定義出哪些是需要重點(diǎn)保護(hù)的敏感資產(chǎn)。這些資產(chǎn)可以是物理方式存在的,也可以是虛擬形式的,比如客戶信息、員工數(shù)據(jù)、技術(shù)秘密、知識(shí)產(chǎn)權(quán)等。開展內(nèi)部威脅風(fēng)險(xiǎn)評(píng)估是檢測(cè)此類資產(chǎn)及其可能面臨的威脅的最有效方法之一。它可以幫助組織形成網(wǎng)絡(luò)安全態(tài)勢(shì)的全景地圖。在開展內(nèi)部風(fēng)險(xiǎn)評(píng)估時(shí),通常會(huì)包括以下步驟:

1.明確潛在的內(nèi)部威脅來源;

2.發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中已經(jīng)存在的安全隱患和漏洞;

3.創(chuàng)建有關(guān)高危風(fēng)險(xiǎn)和高價(jià)值資產(chǎn)的列表;

4.確定風(fēng)險(xiǎn),并評(píng)估內(nèi)部威脅的可能性和優(yōu)先級(jí);

5.將結(jié)果傳達(dá)給所有利益相關(guān)者,并幫助員工提高風(fēng)險(xiǎn)意識(shí)。

03

評(píng)估創(chuàng)建計(jì)劃所需的資源

要制定一個(gè)高效的內(nèi)部威脅防護(hù)計(jì)劃會(huì)面臨很多挑戰(zhàn),因此在開始之前,要充分認(rèn)識(shí)到實(shí)施這種類型的計(jì)劃不能僅靠網(wǎng)絡(luò)安全部門,還需要多種公司資源的支撐保障:

●管理資源:需要獲得組織各部門的認(rèn)同與支持,并通過管理手段讓其配合、參與制定內(nèi)部威脅防護(hù)計(jì)劃;

●技術(shù)資源:計(jì)劃要靠先進(jìn)的工具來保障落地,因此需要部署專用的內(nèi)部威脅管理軟件,同時(shí)重新調(diào)整現(xiàn)有的網(wǎng)絡(luò)安全解決方案和基礎(chǔ)設(shè)施;

●財(cái)務(wù)資源:組織需要為購(gòu)買網(wǎng)絡(luò)安全軟件和雇傭?qū)B殞<翌A(yù)留充分的資金預(yù)算。

通過準(zhǔn)備一份必要的資源清單,這樣有助于更好地向公司管理層匯報(bào)這個(gè)計(jì)劃,并且得到其認(rèn)可。

04

獲得高級(jí)管理層的支持

在完成以上計(jì)劃準(zhǔn)備和制定工作后,就應(yīng)該通過目前所收集到的各種信息,來獲得公司管理層對(duì)實(shí)施計(jì)劃的支持。計(jì)劃關(guān)鍵利益相關(guān)者的名單通常包括首席執(zhí)行官(CEO)、首席財(cái)務(wù)官(CFO)、首席信息安全官(CISO)和首席人力資源官(CHRO)。

為了獲得他們的認(rèn)可和支持,計(jì)劃制定者應(yīng)該準(zhǔn)備一個(gè)清晰的案例,清楚地表明實(shí)施內(nèi)部威脅防護(hù)計(jì)劃的必要性和價(jià)值,讓其充分了解內(nèi)部威脅防護(hù)計(jì)劃如何有效幫助公司各部門實(shí)現(xiàn)他們的發(fā)展目標(biāo)。

05

創(chuàng)建內(nèi)部威脅響應(yīng)團(tuán)隊(duì)

內(nèi)部威脅響應(yīng)團(tuán)隊(duì)主要由負(fù)責(zé)內(nèi)部威脅管理各個(gè)階段的員工組成。與通常的看法相反,這個(gè)團(tuán)隊(duì)不應(yīng)該只由IT或安全專家組成。它應(yīng)該是跨職能的,并擁有迅速果斷行動(dòng)的權(quán)力和工具。

在創(chuàng)建內(nèi)部威脅響應(yīng)團(tuán)隊(duì)時(shí),需要明確以下工作任務(wù):

●內(nèi)部威脅響應(yīng)小組的任務(wù);

●團(tuán)隊(duì)的領(lǐng)導(dǎo)者和團(tuán)隊(duì)內(nèi)部的管理匯報(bào)制度;

●每個(gè)團(tuán)隊(duì)成員的職責(zé)范圍;

●團(tuán)隊(duì)用于對(duì)抗內(nèi)部威脅的策略、流程和工具。

06

確定內(nèi)部威脅檢測(cè)措施

內(nèi)部威脅的早期檢測(cè)是最重要的保護(hù)手段,因?yàn)樗梢詫?shí)現(xiàn)快速響應(yīng)并降低補(bǔ)救成本。為了有效地檢測(cè)內(nèi)部威脅,組織需要:

●監(jiān)視每個(gè)用戶的活動(dòng)并收集其系統(tǒng)操作的詳細(xì)日志,安全監(jiān)控有助于安全人員實(shí)時(shí)審查可疑會(huì)話、調(diào)查事件,并評(píng)估整體網(wǎng)絡(luò)安全態(tài)勢(shì);

●管控用戶對(duì)敏感資源的訪問。這樣可以幫助組織防止未經(jīng)授權(quán)的訪問并檢測(cè)可疑的訪問嘗試;

●分析用戶行為,發(fā)現(xiàn)威脅的早期跡象。用戶和實(shí)體行為分析(UEBA)是一款有效的工具,通常使用人工智能算法來分析正常的用戶活動(dòng),為每個(gè)用戶創(chuàng)建行為基線,并在發(fā)現(xiàn)異常行為時(shí)通知內(nèi)部威脅響應(yīng)團(tuán)隊(duì)。

07

優(yōu)化事件響應(yīng)策略

為了對(duì)檢測(cè)到的內(nèi)部威脅快速采取行動(dòng),應(yīng)急響應(yīng)團(tuán)隊(duì)必須找出常見的內(nèi)部威脅攻擊場(chǎng)景。關(guān)于內(nèi)部威脅響應(yīng)計(jì)劃,最重要的是它應(yīng)該是現(xiàn)實(shí)的,并且易于執(zhí)行。不要試圖用一個(gè)單獨(dú)的計(jì)劃來涵蓋所有可能的情況,而是應(yīng)該制定幾個(gè)具體的計(jì)劃,涵蓋最可能發(fā)生的事件。一個(gè)內(nèi)部威脅事件的響應(yīng)過程應(yīng)該包括:

●威脅事件分析和描述;

●技術(shù)性和非技術(shù)性的威脅指標(biāo)分析;

●威脅行為者分析;

●事件緩解策略和流程;

●事件分析文檔和說明。

08

事故調(diào)查和補(bǔ)救措施

為了有效地管理內(nèi)部威脅,計(jì)劃中需要明確規(guī)定好調(diào)查內(nèi)部安全威脅事件的程序以及可能的補(bǔ)救活動(dòng)。事故調(diào)查通常包括以下行動(dòng):

●全面收集和事件相關(guān)的各種數(shù)據(jù),比如審閱由UAM記錄的用戶會(huì)話,以及采訪證人等;

●評(píng)估事故造成的傷害;

●為相關(guān)的溯源和取證活動(dòng)充分收集相關(guān)證據(jù);

●在必要的時(shí)候,盡快向上級(jí)官員和監(jiān)管機(jī)構(gòu)報(bào)告事件,并獲得更多幫助。

09

員工安全意識(shí)培養(yǎng)

要讓內(nèi)部威脅防護(hù)計(jì)劃真正落地,必須確保組織的所有員工都能充分了解該計(jì)劃的關(guān)鍵規(guī)則,并提高其整體網(wǎng)絡(luò)安全意識(shí)。盡管安全意識(shí)培訓(xùn)課程的內(nèi)容取決于不同組織中使用的安全風(fēng)險(xiǎn)、工具和方法,但是在任何培訓(xùn)期間都應(yīng)該確保:

●清楚解釋實(shí)施內(nèi)部威脅計(jì)劃的原因,并涵蓋最近的內(nèi)部攻擊案例及其后果;

●分享常見的員工內(nèi)部威脅活動(dòng),提請(qǐng)大家注意可能的疏忽和惡意行為,并了解社會(huì)工程攻擊的示例;

●要讓員工知道,如果他們發(fā)現(xiàn)內(nèi)部威脅線索或遇到內(nèi)部威脅損害時(shí),應(yīng)該首先聯(lián)系誰(shuí)?

需要強(qiáng)調(diào)的是,企業(yè)要充分了解內(nèi)部威脅意識(shí)培訓(xùn)的有效性。為此,組織可以采訪員工、準(zhǔn)備測(cè)試或模擬內(nèi)部攻擊,以了解員工在培訓(xùn)中學(xué)到了什么,以及在未來的培訓(xùn)課程中應(yīng)該注意和改進(jìn)什么。

10

定期檢查并更新計(jì)劃

創(chuàng)建一個(gè)高效的內(nèi)部威脅防護(hù)計(jì)劃并不是一勞永逸的活動(dòng)。內(nèi)部威脅是在不斷變化,其復(fù)雜性和危害性也會(huì)不斷增加,因此,內(nèi)部威脅防護(hù)計(jì)劃也應(yīng)該不斷優(yōu)化以保持效率。確保至少在下述情況下檢查您的計(jì)劃:

●當(dāng)發(fā)生內(nèi)部威脅事件時(shí);

●出現(xiàn)新的合規(guī)性要求或網(wǎng)絡(luò)安全技術(shù);

●內(nèi)部威脅響應(yīng)團(tuán)隊(duì)發(fā)生變動(dòng);

●計(jì)劃中明確要求的時(shí)間點(diǎn)。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無(wú)評(píng)論