5月25日,可口可乐公司对外宣布,在其前员工的个人硬盘中,发现了8000名现有员工的个人数据。据悉,这些数据是该前员工在职期间违规挪用的。
在此之前的5月21日,有外媒报道,美国医疗语音识别软件开发商Nuance的一名前员工,在离职后登陆公司服务器,访问并泄漏了4.5万名客户的信息,包括生日、医保账号、健康状况、治疗情况等。
其实,因为内部人员而导致的信息泄漏事件在全世界范围频频发生,在中国自然也屡见不鲜,最近内鬼窃取、贩卖客户信息的事情就闹得沸沸扬扬。鉴于此类问题层出不穷,我们有必要系统地讨论一下,内部人员对企业信息安全造成的威胁问题。
什么是内部威胁?
不可否认的是,网络安全威胁(比如恶意软件攻击、黑客攻击、DDoS攻击、勒索软件等)要比内部攻击更为频繁。但是在危害性上,它与内部威胁(Insider Threat)不可同日而语。人们普遍会将企业信息安全的内部威胁跟内鬼相关联,然而事实上,其他非恶意员工在无意间泄漏企业数据的情况要更为普遍和严重。
比如,当员工点击垃圾邮件中的链接,或无意中运行受感染的设备时,都很有可能因为钓鱼而丢失凭证,或粗心大意地将恶意软件植入系统。这还不包括员工的某些无心之过,比如把敏感文件发送到错误的地址。其实,员工无意间泄漏企业数据的操作还有很多,以上行为只是九牛一毛。
当把所有内鬼和非恶意员工导致的信息泄漏事件放到一起来看,你会发现,公司面临的任何其他安全威胁与之相比都会相形见绌。根据Ponemon Institute公布的《2018年全球组织内部威胁成本》,在3269起事件中,有2081起(64%)都是由员工或承包商的疏忽导致的,而犯罪分子和内鬼造成的泄漏事件则为748起(23%)。
为什么要把这些集中在一起讨论呢?因为无论他们的动机是否为恶意,归根结底都是由员工或具有合法访问权限的人员,进入公司系统来完成的。也就是说,防范内部威胁,尤其是在账户安全方面的措施,要比对外的措施薄弱得多。
幸好,有专门的策略和工具来防止此类情况的发生。在我们谈论这些措施之前,先来看看内部人员为什么会对企业信息安全造成威胁,以及相关的安全事件究竟有多大危害。
内部威胁的危害
不可否认的是,内部威胁是造成安全漏洞的最大原因,而且补救成本非常高。根据《2017年内部威胁报告》,53%的公司在这方面的补救成本超过10万美元,12%的公司超过100万美元。该报告还显示,74%的公司认为自身很容易受到内部威胁,而7%的公司在这方面的表现则非常脆弱。
Ponemon Institute的报告还指出,在补救数据泄漏方面花费最多的是医疗、教育和金融这三个行业。
那么,为什么内部威胁的补救成本如此高昂呢?有如下几个原因:
- 内部人员的威胁可能多年未被发现。安全事件发现得越晚,补救的成本就越高,而内部威胁通常很难发现,一般都在2个月以上。
- 很难将有害行为与正常工作区分开来。这就是内部威胁难以发现的原因。当员工在使用敏感数据时,几乎不可能知道他们是否在执行恶意操作。
- 员工很容易掩盖自己的行为。不仅在发生恶意行为时很难察觉,事后也几乎不可能检测到。任何稍微懂技术的员工都知道如何通过编辑或删除日志来隐藏恶意行为。
- 很难证明员工有罪。由于缺乏安全审计,即使企业检测到恶意行为,也不能证明是某个具体员工的操作,而内鬼此时可能也已经消失得无影无踪。
内部威胁的原因
通过前面的讲述,我们已经知道内部威胁危害甚大。那么,为什么企业会存在内部威胁呢?企业最应该留意哪些内部人员呢?
- 特权用户。他们通常是公司中最值得信赖的员工,但他们也可能有意或无意地误用/泄漏数据。此外,内鬼和黑客都有可能窃取这些特权用户的账号,以获取某些机密信息。
- 第三方。承包商、第三方供应商和合作伙伴等,都可以访问企业的系统,而企业对系统安全性,甚至对那些访问数据的人员都一无所知。
- 离职员工。比如本文开头提到的情况。员工在离职时可以随身携带重要数据。更要命的是,他们甚至还能在离职之后照样访问公司数据。
OK,我们知道了应该留意的内部人员。那么,他们在泄漏数据时在想什么呢?
从前文可知,非恶意员工的疏忽行为才是企业信息泄漏最大的源头。而这些员工进行恶意操作的主要原因,竟然通常是没有意识到正在做的事情会产生严重后果。他们一般不了解应该遵循的网络安全准则,而且即使了解,他们也意识不到究竟违规到什么程度,才会对企业信息安全产生实质性影响。这使得员工不能认真对待网络安全问题,甚至有时为了方便和提高效率而忽视网络安全。
而内鬼窃取信息的动机通常比较明确,比如报复公司的不公正、企业间谍、将公司视为未来竞争对手等。他们除了利用自己已有的访问权限获取数据之外,还会冒用其他同事的身份获取访问权限之外的信息,同时也能推脱责任。
防范内部威胁
防范内部员工威胁可能看起来很难,并且令人难以接受,但它实际上比想象的要简单得多。企业所需要做的就是采取正确的解决方案来武装自己,对员工做背调、注意员工在工作中的某些异常,可以在一定程度上排除潜在的内鬼。而对于非恶意员工,企业则应该在制度、安全教育、以及账户安全方面下功夫。
对员工进行安全教育
如果要减少非恶意员工的失误和疏忽,最佳的方式之一是对他们进行安全教育,确保员工清楚公司面临的安全风险,以及如何处理这些风险。
教育他们为什么要采取某些安全措施,以及不遵守这些措施的后果是什么。告诉他们有关网络钓鱼的风险,以及各种规避和处理方法……
如果这部分员工知道他们的行为会影响公司收入,而这又会影响他们的收入,他们也就会更加重视维护网络安全规范。
使用最小特权原则
特权员工的人数越少,保护企业数据就越容易。这不仅意味着有机会执行恶意操作的员工更少,还意味着黑客/内鬼可以入侵/冒用的账户也变少了。
如果企业尚未有特权用户,则应遵守最小特权原则。这是一个网络安全标准,规定企业中的每个新账户都应当具有尽可能少的特权,并在有必要的时候进行权限升级。
这也适用于第三方访问数据,确保他们具有最少的权限,并且在他们的工作完成时删掉凭证。
保护账户安全
强大的账户保护措施,可以极大程度上抵御外部和内部人员的威胁。保护账户有几条原则:
- 员工应该使用安全性较高的复杂口令,而且不能复用口令。
- 禁止员工之间共享账户,或尽可能限制共享账户的使用。
- 采用能识别操作者真实身份的身份认证技术,防止员工身份被冒用。目前比较流行的是多因素身份认证。更进一步地,还可以采用AI行为识别身份认证技术,它可以基于独一无二、不可复制的用户行为进行身份认证,确保只有用户本人才能登入账户。因此,企业也可以积极拥抱新技术,提升身份验证的便捷性和安全性。
- 安全审计。这不仅包括堡垒机等技术。由于多因素身份认证和AI行为识别身份认证能够匹配到用户本人,所以在登录和敏感操作等环节也能起到审计作用,从而防止相关人员抵赖。
其中,前两条属于制度层面,而后两条则是用技术手段提升账户安全,把最脆弱的“人”的因素放到企业安全管理策略中,这两方面也是锦佰安科技所擅长的。
总而言之,强大的账户保护措施不仅能抵御外部攻击者,而且还能有效防止员工身份被冒用的情况。此外,安全审计功能还可以对内鬼起到极强的威慑作用。
结 语
需要重申的是,内部威胁是网络安全威胁中最重要的一个因素,也是最不容忽视的因素。每家公司迟早都会面临与内部人员有关的信息安全威胁,需要注意的是,最大的威胁并非内鬼,而是非恶意员工的疏忽/失误操作。现在采取必要的安全措施,远远好过事后花费巨额资金进行补救。