有效的内部威胁程序的非人类路径

Charisa Orwig
作者: Charisa Orwig,首席网络安全架构师,西方银行副总裁
发表日期: 8月18日

内部威胁程序可能看起来像菲利普K. 迪克的故事《澳门赌场官方软件》,“三个预知者(预知者)在罪犯犯罪之前识别出罪犯,而预防犯罪的警察部队将识别出的罪犯逮捕以防止犯罪发生。. 在我们的内部威胁程序中, 而不是预言家, 我们有机器学习, 而不是预防犯罪, 我们有安全控制和用户行为分析. 就像这个故事, 内部威胁程序可以识别高风险用户并密切关注他们,并在他们周围添加额外的安全控制以帮助防止事件发生, 但不可避免地还是会发生一些意想不到的事情. 我们有安全控制措施, 但也许有人不小心打错了一封包含敏感数据的电子邮件,或者对网络进行了更改,导致网络中断. 漏洞被无意或有意地利用,尽管有适当的监控和控制来防止,但还是造成了伤害.

可以预见的是,在任何降低风险的努力中,人类通常是最薄弱的环节. 人是容易犯错的, 罪行, 或者是更邪恶的动机, 大多数内部威胁程序都侧重于某种用户行为分析工具,这些工具可以对人类用户进行风险评估,以确定哪些地方需要额外的安全控制和监控. 在这种情况下,关注人是有意义的,因为用户通常是造成损失或伤害的人.

然而,只关注人类用户可能有点短视.

对重大漏洞的事后分析几乎总是会发现导致损失的多个控制故障, 即使是相对较小的事件也可能显示出失败的模式,尽管有一个应该防止它的过程. 如果某些过程或程序已经定义,但没有被遵循, 也许降低风险的一个更好的目标是调查导致不遵守这些标准的原因.

内部威胁计划的非人类威胁
在《澳门赌场官方软件》中,当主角约翰·安德顿被标记为威胁时, 他开始质疑整个预测系统,并发现了一个缺陷,突出了整个犯罪预防系统的主要漏洞. 类似的, 在我们的内部威胁计划中, 在我们的程序和系统中可能存在严重的缺陷,直到整个系统被视为一个整体才会被发现. 当我们开始将人类视为催化剂而不是内部威胁项目中损失的根本原因时, 我们可以开始检查和挑战整个系统,以确定可能需要改进的地方,以更有效地降低风险. 通过将内部威胁视为系统整体的一部分,而不是专注于个人, 我们还可以建立一个更全面的项目,更有弹性,更有效地应对一些新的内部威胁.

另一个超越以人为中心的威胁的原因是:最近的内部威胁依赖于供应链攻击,这种攻击更难以预测或识别. 这些新的威胁和漏洞并不完全符合典型的以人为中心的内部威胁范式. 因为供应链攻击发生在第三方供应商或托管服务提供商身上, 这些攻击通常不涉及受影响澳门赌场官方下载中的内部人员催化剂. 另外, 这些攻击不仅绕过以人为中心的监控,而且还可能利用我们用来识别和监控有风险的内部人员的工具.

例如, SolarWinds和Kaseya的攻击不仅证明了最近的内部威胁不是以人为中心的, 但它们甚至可能不在我们自己的组织或技术边界之内. 这种新型的内部威胁需要更灵活的内部威胁程序, 除了关注事件的系统性原因, 现在还得看守望者吗.

扩大内部威胁计划
我们正在进行一场持续的战斗,通过限制对敏感系统的访问来保护人类用户, 阻止文档或文件的泄露, 并且在发送电子邮件之前需要确认. 所有这些控制都有助于抵御恶意或恶性的人类内部威胁. 虽然这些控制是程序的重要组成部分,但它们可能已经不够了.

考虑到所有这些因素, 内部威胁程序的更新方法应包括:

  1. 从尽可能保护人的因素开始. 通过理解技术控制通常比过程控制更有效,创建一个减少损失机会的用户环境. 通过自动化和实现诸如访问限制和所需验证之类的控制,为人类提供保护,并在可能的情况下消除内部人员造成损害的能力.
  2. 将焦点从人扩展到环境, 在评估改善内部威胁计划的方法时,要有文化和规范. 当涉及到确定损失的原因和相关的缓解措施时,“谁”和“为什么”不如“什么”和“如何”重要.
  3. 开始观察观察者. 如果可能的话, 包括对高风险和安全系统上的非人类帐户的行为监控, 并部署一个经过优化的网络行为监控系统,以识别异常或可疑的网络流量.

乍一看,这似乎有悖直觉, 但是组织中的人可能不是组织中的真正威胁. 从以人为中心的内部威胁计划转变为包括程序和第三方威胁的扩展,可能只是建立一个有弹性和可扩展的内部威胁计划的事情.

编者按: 有关此主题的其他资源,请下载ISACA的免费白皮书, 减轻内部威胁危害的整体方法.