內(nèi)部威脅風(fēng)險(xiǎn)評(píng)估的5個(gè)關(guān)鍵步驟

內(nèi)部威脅指的是來(lái)自組織內(nèi)部的潛在安全風(fēng)險(xiǎn)和威脅。內(nèi)部威脅對(duì)組織構(gòu)成了重大風(fēng)險(xiǎn),因?yàn)閾碛泻戏ㄔL問(wèn)權(quán)限的個(gè)人可能有意或無(wú)意中損害系統(tǒng)、竊取數(shù)據(jù)或從事間諜活動(dòng)。在2023年,內(nèi)部威脅已經(jīng)成為現(xiàn)代企業(yè)中普遍存在的安全風(fēng)險(xiǎn)。

640 (1).png

本文來(lái)自微信公眾號(hào)“安全牛”。

內(nèi)部威脅指的是來(lái)自組織內(nèi)部的潛在安全風(fēng)險(xiǎn)和威脅。內(nèi)部威脅對(duì)組織構(gòu)成了重大風(fēng)險(xiǎn),因?yàn)閾碛泻戏ㄔL問(wèn)權(quán)限的個(gè)人可能有意或無(wú)意中損害系統(tǒng)、竊取數(shù)據(jù)或從事間諜活動(dòng)。在2023年,內(nèi)部威脅已經(jīng)成為現(xiàn)代企業(yè)中普遍存在的安全風(fēng)險(xiǎn)。為了盡量減少內(nèi)部威脅,組織應(yīng)實(shí)施從內(nèi)部威脅評(píng)估入手的內(nèi)部風(fēng)險(xiǎn)管理(IRM)策略。

內(nèi)部威脅風(fēng)險(xiǎn)評(píng)估的必要性

為什么內(nèi)部威脅和風(fēng)險(xiǎn)評(píng)估應(yīng)該成為組織網(wǎng)絡(luò)安全態(tài)勢(shì)的核心呢?研究人員認(rèn)為,內(nèi)部威脅風(fēng)險(xiǎn)評(píng)估是一種應(yīng)對(duì)內(nèi)部威脅挑戰(zhàn)的最佳實(shí)踐方法,通過(guò)評(píng)估企業(yè)組織數(shù)據(jù)當(dāng)前防范內(nèi)部人員的程度,能夠提前發(fā)現(xiàn)組織可能存在的潛在風(fēng)險(xiǎn),并評(píng)估這些風(fēng)險(xiǎn)的潛在危害性。NIST報(bào)告也指出,執(zhí)行內(nèi)部威脅分析和風(fēng)險(xiǎn)評(píng)估是制定一項(xiàng)有效的內(nèi)部威脅計(jì)劃的必要步驟,內(nèi)部威脅風(fēng)險(xiǎn)評(píng)估應(yīng)該作為企業(yè)總體網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的一部分來(lái)嚴(yán)格執(zhí)行。

特別是對(duì)于那些需要處理敏感數(shù)據(jù)的組織,更應(yīng)該定期評(píng)估并持續(xù)檢測(cè)內(nèi)部威脅風(fēng)險(xiǎn),主要原因如下:

●有利于了解組織的整體網(wǎng)絡(luò)安全態(tài)勢(shì)。當(dāng)組織需要評(píng)估網(wǎng)絡(luò)安全現(xiàn)狀時(shí),應(yīng)該將風(fēng)險(xiǎn)評(píng)估作為風(fēng)險(xiǎn)管理策略的必要組成部分。徹底的內(nèi)部風(fēng)險(xiǎn)評(píng)估可以暴露現(xiàn)有工作流程的漏洞和網(wǎng)絡(luò)安全缺口,避免讓惡意的內(nèi)部人員破壞企業(yè)數(shù)字化系統(tǒng)及應(yīng)用。

●更快檢測(cè)出潛在的內(nèi)部威脅?;趦?nèi)部威脅的風(fēng)險(xiǎn)評(píng)估有助于更快檢測(cè)出由內(nèi)部用戶引發(fā)的不安全、高風(fēng)險(xiǎn)事件,包括檢測(cè)出可疑和惡意的內(nèi)部網(wǎng)絡(luò)活動(dòng)。

●加強(qiáng)組織的數(shù)據(jù)和資產(chǎn)安全。只有知道哪些威脅對(duì)組織最危險(xiǎn),才能夠確定采用最合適的措施和工具來(lái)進(jìn)行保護(hù),并制定相應(yīng)的風(fēng)險(xiǎn)緩解計(jì)劃。

●更好滿足合規(guī)要求。開(kāi)展統(tǒng)一的安全性和內(nèi)部風(fēng)險(xiǎn)評(píng)估是確保組織內(nèi)部信息資產(chǎn)安全的最佳實(shí)踐之一。這種做法一直被NIST和ISO等權(quán)威組織強(qiáng)制要求并推薦,有利于更好地遵守HIPAA和PCI DSS等法律和標(biāo)準(zhǔn)。

內(nèi)部威脅風(fēng)險(xiǎn)評(píng)估的關(guān)鍵步驟

對(duì)于現(xiàn)代企業(yè)組織而言,開(kāi)展并應(yīng)用一個(gè)高效的內(nèi)部威脅風(fēng)險(xiǎn)評(píng)估能夠提前發(fā)現(xiàn)內(nèi)部威脅,從而快速有效地應(yīng)對(duì)內(nèi)部攻擊。在實(shí)際應(yīng)用中,有多種不同的方法來(lái)評(píng)估企業(yè)內(nèi)部安全風(fēng)險(xiǎn),這會(huì)因組織類型、規(guī)模、業(yè)務(wù)范圍和相關(guān)的網(wǎng)絡(luò)安全要求而異。企業(yè)在深入地執(zhí)行內(nèi)部威脅風(fēng)險(xiǎn)評(píng)估時(shí),可以參考以下的關(guān)鍵步驟建議:

1.識(shí)別并確定組織的關(guān)鍵IT資產(chǎn)

內(nèi)部威脅風(fēng)險(xiǎn)評(píng)估工作取得成功的關(guān)鍵,就是要首先確定企業(yè)組織中最可能被內(nèi)部人員破壞的所有寶貴資產(chǎn),并針對(duì)這些資產(chǎn)重點(diǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估。一旦組織確定了關(guān)鍵性資產(chǎn),就應(yīng)該根據(jù)它們的重要程度進(jìn)行分類分級(jí)。在這個(gè)環(huán)節(jié),企業(yè)可以把注意力集中在以下方面:

●對(duì)服務(wù)器和云服務(wù)管理面板的訪問(wèn);

●客戶的敏感信息(信用卡數(shù)據(jù)、地址、電話號(hào)碼和健康記錄等);

●員工的個(gè)人身份信息;

●關(guān)鍵數(shù)字化業(yè)務(wù)系統(tǒng)和服務(wù)(組織網(wǎng)絡(luò)、管理面板和組織內(nèi)使用的關(guān)鍵應(yīng)用程序);

●有關(guān)合作伙伴和經(jīng)銷商的上年數(shù)據(jù)(文件、協(xié)議和聯(lián)系信息);

●商業(yè)秘密及其他機(jī)密信息。

2.界定可能存在的內(nèi)部威脅

并非所有內(nèi)部威脅都來(lái)自惡意活動(dòng)或受攻擊賬戶,大多數(shù)的內(nèi)部威脅是由組織中存在以下行為的合法用戶構(gòu)成的,包括:因?yàn)槭韬鲂孤睹舾袛?shù)據(jù);無(wú)意中共享對(duì)組織系統(tǒng)的訪問(wèn)權(quán)限,錯(cuò)誤刪除、更改或?yàn)E用數(shù)據(jù),以及將惡意軟件無(wú)意中上傳到組織系統(tǒng)。

因此,要識(shí)別企業(yè)內(nèi)部潛在的威脅風(fēng)險(xiǎn),可以通過(guò)以下問(wèn)題來(lái)思考和發(fā)現(xiàn):

●哪些員工擁有經(jīng)過(guò)提升的訪問(wèn)權(quán)限?他們使用這些權(quán)限做什么?

●員工訪問(wèn)組織系統(tǒng)和敏感數(shù)據(jù)的頻次如何?目的是什么?

●員工如何存儲(chǔ)和處理其密碼?

●員工是否了解最新的網(wǎng)絡(luò)安全實(shí)踐?

●員工如何共享其密碼(如果他們使用共享的賬戶)?

●系統(tǒng)是否允許員工從不尋常的位置或設(shè)備登錄?

●員工可以將數(shù)據(jù)復(fù)制到來(lái)歷不明的USB設(shè)備嗎?

3.確定內(nèi)部威脅風(fēng)險(xiǎn)的優(yōu)先級(jí)

為了確定風(fēng)險(xiǎn)的優(yōu)先級(jí),組織需要評(píng)估這些風(fēng)險(xiǎn),并確定哪些風(fēng)險(xiǎn)可能對(duì)組織構(gòu)成的威脅最大,并可能造成巨大損失。組織可以使用風(fēng)險(xiǎn)矩陣來(lái)定義每個(gè)風(fēng)險(xiǎn)的級(jí)別。

企業(yè)在評(píng)估內(nèi)部威脅風(fēng)險(xiǎn),應(yīng)該優(yōu)先分析以下四個(gè)因素:

●面臨風(fēng)險(xiǎn)的資產(chǎn)具有的重要性;

●威脅的嚴(yán)重程度;

●系統(tǒng)受某個(gè)威脅攻擊的脆弱性;

●威脅發(fā)生的可能性。

企業(yè)還應(yīng)該考慮當(dāng)前哪些安全措施可以保護(hù)系統(tǒng)遠(yuǎn)離某種場(chǎng)景的影響。如果出現(xiàn)潛在威脅,發(fā)生實(shí)際數(shù)據(jù)泄露或其他事件的可能性又有多大?通過(guò)確定最危險(xiǎn)、最可能發(fā)生的威脅,可以確保組織首先遠(yuǎn)離這些高等級(jí)的威脅。

4.創(chuàng)建風(fēng)險(xiǎn)評(píng)估報(bào)告

在內(nèi)部威脅風(fēng)險(xiǎn)評(píng)估的過(guò)程中,需要將發(fā)現(xiàn)的評(píng)估結(jié)果匯整成詳細(xì)報(bào)告,才可以在風(fēng)險(xiǎn)管理策略的后續(xù)階段幫助簡(jiǎn)化決策。此外,企業(yè)也需要利用風(fēng)險(xiǎn)評(píng)估報(bào)告向所有員工分享相關(guān)的內(nèi)部風(fēng)險(xiǎn)信息,提醒員工更加留意與風(fēng)險(xiǎn)相關(guān)的行為。

內(nèi)部威脅風(fēng)險(xiǎn)評(píng)估報(bào)告應(yīng)全面概述評(píng)估過(guò)程、已識(shí)別風(fēng)險(xiǎn)、風(fēng)險(xiǎn)優(yōu)先級(jí)和可能的后果。同時(shí),企業(yè)可以結(jié)合以下有效的網(wǎng)絡(luò)安全最佳實(shí)踐以降低上述風(fēng)險(xiǎn):

●增強(qiáng)授權(quán)和身份驗(yàn)證機(jī)制;

●執(zhí)行定期數(shù)據(jù)備份;

●部署數(shù)據(jù)丟失預(yù)防工具;

●實(shí)施威脅監(jiān)測(cè)和響應(yīng)機(jī)制;

●更新網(wǎng)絡(luò)安全策略和指導(dǎo)方針;

●采用用戶活動(dòng)監(jiān)控解決方案。

5.要持續(xù)評(píng)估內(nèi)部威脅風(fēng)險(xiǎn)

開(kāi)展內(nèi)部威脅風(fēng)險(xiǎn)評(píng)估并不是一勞永逸的活動(dòng)。由于企業(yè)組織的內(nèi)部威脅是在不斷變化,其復(fù)雜性和危害性也會(huì)不斷增加,因此,內(nèi)部威脅風(fēng)險(xiǎn)評(píng)估也應(yīng)該不斷優(yōu)化并持續(xù)開(kāi)展。特別是在以下情況出現(xiàn)時(shí),應(yīng)該進(jìn)行相應(yīng)的風(fēng)險(xiǎn)評(píng)估工作:

●當(dāng)內(nèi)部威脅事件真實(shí)發(fā)生時(shí);

●當(dāng)組織的IT基礎(chǔ)設(shè)施發(fā)生變化,也可能會(huì)出現(xiàn)新的安全缺口;

●出現(xiàn)新的合規(guī)性要求或網(wǎng)絡(luò)安全技術(shù);

●內(nèi)部威脅響應(yīng)團(tuán)隊(duì)發(fā)生變動(dòng);

●評(píng)估計(jì)劃中明確要求的時(shí)間點(diǎn)。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無(wú)評(píng)論