内部威胁是由雇员、前雇员、承包商或供应商造成的安全风险。内部威胁可能会导致罚款、声誉受损和知识产权的损失。
阅读本文后,您将能够:
复制文章链接
内部威胁是指与组织相关的人员(如雇员、前雇员、承包商、顾问、董事会成员或供应商)给组织带来的安全风险。
这些威胁可能是恶意的或意外的。例如,Verizon 对 3,950 起数据泄露事件的分析显示,30%“涉及内部参与者”。
内部人员可能通过多种方式造成损害:
恶意内部人员可能出于多种原因损害组织的数据,包括想要出售数据的欲望、报复、无聊、意识形态和政治效忠。
内部人员无意中造成安全风险或导致漏洞时并没有什么动机。内部人员可能犯了一个错误导致了问题的发生、丢失了一件公司设备,或者因为网络钓鱼之类的社会工程学攻击而被骗泄露了数据。
行为的改变可能是麻烦的征兆。恶意内部人员可能:
这些迹象本身并不坏。许多人都有完全合理的解释,尤其是对于 IT 专业人士而言。
防止内部威胁的一个基本方面是访问控制,或设置决定谁可以访问受限地点、信息和系统的规则和政策。一种方法是基于角色的访问控制,每个人的权限取决于其部门和工作职责。
网络安全中的最小权限访问原则意味着只允许员工和其他内部人员访问他们履行职责所需的权限——仅此而已。例如,人力资源专业人员可能需要查看员工工资信息,而程序员可能需要更改代码库,但两者都不需要访问对方的文件。
这是使零信任安全成为有效 IT 安全模型的部分原因。其实施方式为要求对每个寻求访问公司资源的人和设备进行严格的身份验证,即使他们(它们)已经在网络内。通过限制用户和设备访问,可以减少各种内部威胁的潜在后果——就像丢失一张信用卡和丢失整个钱包在损害方面的差异很大一样。
在微调内部威胁计划时,必须注意动机以及它们如何影响威胁格局。对于恶意和意外的内部人员,严格遵守访问控制最佳实践可以极大地帮助防止数据丢失。
战略包括:
除了使用访问管理来保护数据和系统外,IT 部门还可以对公司拥有或管理的设备设置限制,如锁定数据传输选项和需要许可才能下载新软件。
通过日志记录和分析功能,可以对内部威胁常见的行为设置警报,以便及早发现潜在问题。警报类型包括:
了解 Cloudflare Zero Trust 如何简化基于角色的访问控制的设置过程并加快远程访问。