對于公司來說���,最大的威脅之一是泄漏敏感數(shù)據(jù)----如客戶或雇員的支付卡或個人身份信息等,這些數(shù)據(jù)有時會被公司內(nèi)部雇員所竊取�。這種情況下,遭到系統(tǒng)或網(wǎng)絡(luò)管理員竊取的威脅最為嚴重���,因為他們有權(quán)訪問大量的公司數(shù)據(jù)�,可以看到公司內(nèi)部最為敏感的記錄����。
Fordham 大學(xué)首席信息安全官Jason Benedict稱:“如今,比起黑客來���,我更擔(dān)心來自內(nèi)部的威脅�,因為在內(nèi)部威脅面前我們不堪一擊。我們有防火墻�。我們有入侵保護系統(tǒng)。我們有防病毒軟件���。對于防范外部風(fēng)險�,我們已經(jīng)取得了相當(dāng)大的成功�。但是對于內(nèi)部威脅,我們卻漏洞百出��。我從來都沒有想過我們內(nèi)部會有心懷鬼胎�,處心積慮的竊取并出售信息的人。但是我們卻經(jīng)���?吹接腥嗽跒g覽他們根本無權(quán)查看的信息�。我們還發(fā)現(xiàn)一些擁有高級權(quán)限的人濫用他們的權(quán)限瀏覽雇員的薪金表����。”
BITS金融服務(wù)總會打擊詐騙項目副總裁Heather Wyson稱����,美國金融服務(wù)公司發(fā)生內(nèi)部安全事件的數(shù)量正在增長�。
Wyson稱:“我們一直將注意力放在了內(nèi)部人員故意外泄行為上�����,如竊取金融和專利信息��、放置邏輯炸彈���、安裝惡意軟件����。與此同時��,我們還應(yīng)當(dāng)關(guān)注一些無意的外泄行為上��,如雇員無意中打開了染毒文件�、安裝了未授權(quán)的軟件或是來自社交媒體的威脅����。我們發(fā)現(xiàn)與內(nèi)部人員有關(guān)的故意與非故意數(shù)據(jù)外泄事件的數(shù)量正呈上升趨勢���!
對此����,首席信息安全官和IT安全專家指出IT部門需要采取以下措施以降低內(nèi)部安全威脅。以下是他們的建議:
1�、限制并監(jiān)視擁有特權(quán)的用戶
據(jù)Verizon公布的2010年數(shù)據(jù)外泄調(diào)查報告顯示,在所有的數(shù)據(jù)外泄事件中�����,48%的事件是由內(nèi)部人員造成的�。我們需要密切監(jiān)視的內(nèi)部人員是那些擁有特權(quán)的人。Verizon建議首席信息官在雇前進行篩選���,以清除那些在過去曾經(jīng)違反過使用規(guī)定的應(yīng)聘者�����。BITS會向他們的會員提供預(yù)防詐騙服務(wù)���。通過該服務(wù),會員能夠分享那些被認為定有罪但并沒有被起訴的前雇員信息��。
此外����,不能給予雇員超過他們工作需要的權(quán)限��。職責(zé)應(yīng)當(dāng)被分散�,以防止某一雇員擁有過大的權(quán)限���。Verizon稱:“特權(quán)的使用應(yīng)當(dāng)被記錄�����,并形成管理信息����。無計劃的特權(quán)使用應(yīng)當(dāng)發(fā)出警告����,并接受調(diào)查�!
2���、限制用戶訪問和特權(quán)��,特別是在工作調(diào)整或裁員期間
Verizon發(fā)現(xiàn)��,大約有24%的內(nèi)部安全事件發(fā)生在剛剛調(diào)整工作的雇員身上�����。其中一半的雇員是被解雇����,另一些雇員則是辭職或是在公司內(nèi)部被分配至新的工作崗位。如果不及時注銷這些雇員的帳戶���,或是在命令宣布后雇員依然被允許完成當(dāng)天的工作時����,極容易發(fā)生外泄事件��。這也是Verizon推薦公司制訂一個“及時的����、并且涵蓋所有的訪問區(qū)域的中止計劃”的原因。
Benedict稱��,F(xiàn)ordham可以在五個小時內(nèi)凍結(jié)用戶���,收回他們的所有訪問權(quán)限���。
3�����、監(jiān)控那些在網(wǎng)絡(luò)上擁有細微不良行為的雇員
Verizon發(fā)現(xiàn)“那些在網(wǎng)絡(luò)上擁有細微不良行為的雇員往往會犯下嚴重罪行���,如侵占或盜竊知識產(chǎn)權(quán)���!笔紫畔⒐賾(yīng)當(dāng)注意那些違反網(wǎng)絡(luò)規(guī)定的雇員和行為不當(dāng)?shù)墓蛦T�,如在系統(tǒng)中保存有色情或非法內(nèi)容��。因為這些都是他們未來引發(fā)內(nèi)部安全事件的前兆��。Verizon在調(diào)查中發(fā)現(xiàn)�����,那些承認盜竊數(shù)據(jù)的雇員常常將他們的行為歸結(jié)于過去一些細微的濫用操作上�����。這被稱為“網(wǎng)絡(luò)犯罪中的破窗理論”(注:一個房子如果窗戶破了����,沒有人去修補,隔不久�,其它的窗戶也會莫名其妙地被人打破;一面墻,如果出現(xiàn)一些涂鴉沒有被清洗掉�����,很快的��,墻上就布滿了亂七八糟�����、不堪入目的東西;一個很干凈的地方����,人們不好意思丟垃圾,但是一旦地上有垃圾出現(xiàn)之后�����,人就會毫不猶疑地拋���,絲毫不覺羞愧)��。
4���、使用軟件分析你的記錄文件�,當(dāng)出現(xiàn)異常時及時提醒你
當(dāng)在調(diào)查內(nèi)部安全事件時�����,Verizon發(fā)現(xiàn)在86%的事件中��,證據(jù)會在日志文件中被發(fā)現(xiàn)����。他們稱在日志數(shù)據(jù)中會有三明顯的異常:日志數(shù)據(jù)出現(xiàn)不正常的增加、在日志中出現(xiàn)不正常的長線�、日志數(shù)據(jù)會出現(xiàn)不正常的減少或缺失。
Verizon稱在出現(xiàn)內(nèi)部安全事件后日志會增加5倍��,在攻擊者破壞日志功能后�����,日志會出現(xiàn)缺失��。SQL注入攻擊和其它的攻擊方式會在日志中留下長線��。雖然許多IT部門安裝了監(jiān)控和分析工具,但是他們忘記了使用這些工具���。取而代之的是,這些IT人員只是定期監(jiān)控一些這些工具顯示的結(jié)果�����。Verizon建議通過配置這些工具發(fā)現(xiàn)明顯的問題�。Benedict稱,為了發(fā)現(xiàn)異常情況�����,F(xiàn)ordham的安全人員會定期手工檢查日志�。
5、考慮部署數(shù)據(jù)外泄的防護技術(shù)
目前越來越多的首席信息官擔(dān)心知識產(chǎn)權(quán)會從通過公司的網(wǎng)絡(luò)泄露�����。為此���,他們開始安裝能夠監(jiān)控軟件�����,這些軟件能夠監(jiān)控并過濾流出公司的網(wǎng)絡(luò)信息����。 Unisys公司首席信息安全官Patricia Titus稱,他們正在測試一種防止數(shù)據(jù)外泄的技術(shù)��,以保護公司的知識產(chǎn)權(quán)���。
Benedict稱���,F(xiàn)ordham正計劃在防止數(shù)據(jù)外泄軟件上投資50萬美元。Verizon建議公司應(yīng)當(dāng)對流出和流入公司的網(wǎng)絡(luò)數(shù)據(jù)進行過濾����。Verizon強調(diào)稱:“通過監(jiān)測、分析和控制流出公司的網(wǎng)絡(luò)數(shù)據(jù)����,公司可以降低惡意行為的發(fā)生率����!
6、就內(nèi)部威脅對雇員進行培訓(xùn)
首席信息安全官們推薦公司要以安全威脅和如何識別內(nèi)部雇員盜竊有價值數(shù)據(jù)的惡意行為為內(nèi)容定期對雇員進行培訓(xùn)����,特別是對IT人員進行培訓(xùn)��。Titus稱����,在打擊內(nèi)部蓄意盜竊數(shù)據(jù)的戰(zhàn)斗中��,公司的雇員是首席信息安全官的最大同盟軍��。
Wyson建議公司應(yīng)當(dāng)設(shè)立一條熱線�����,雇員可以通過這條熱線匿名舉報他們發(fā)現(xiàn)或懷疑是欺詐的行為�����。Benedict不僅每年都會為雇員們舉辦安全意識培訓(xùn)����,同時還會向雇員們提供關(guān)于最新IT安全威脅的宣傳手冊�����。Fordham還通過臉譜、推特和博客等社交媒體就安全威脅對大學(xué)內(nèi)的人員進行教育�。
相關(guān)推薦:
考試吧策劃:2010年軟件水平考試完全指南 2010年11月計算機軟件水平考試備考寶典匯總 
