2014年,Morrisons遭遇了一起严重的数据泄露事件,致使大约10万名员工的工资账户泄露,其中包括员工的姓名、家庭住址以及银行账户和工资细节等。经调查发现,造成此次事件的罪魁祸首是Morrisons总部的高级内部审计员Andrew Skelton。他不仅通过滥用职权绕过Morrisons的安全保护盗取到了这些资料,还将部分资料发布在了网上,并刻成光盘送至了报社,引起舆论一片哗然。
Andrew Skelton
最终,Andrew Skelton被控“未经授权擅自使用计算机资料和泄露个人资料”而遭到了警方的逮捕。在2015年,布拉德福德皇家法庭宣判Andrew Skelton罪名成立,被判入狱8年。
但是,此次泄漏事件并没有就此结束。受到影响的5518名Morrisons员工认为,Morrisons公司有必要为此次泄漏事件负责,并联名向法院提起了集体诉讼。
那么现在,其他公司又能够从Morrisons所面临的集体诉讼事件中学到什么呢?
WM Morrison公司最近得到的判决结果可谓具有里程碑意义,且对各种形式和规模的企业都起到了警醒作用,警告其重视内部威胁的重要性。员工因数据泄漏伤害自身利益而将自己的公司告上法庭,这不仅代表人们安全意识方面的进步,也代表对于数据泄漏案件的处理方式发生了巨大的变化,因为这是同类案件中的首起集体诉讼事件。
WM Morrison公司现在必须向数千名工作人员支付赔偿金,因为法官已经裁定该公司对于员工的工资和银行业务细节等信息泄漏的行为负有“替代责任”(指由于存在监督管理方与下属职员之间的关系,监督管理方与下属职员的可追溯行为承担的责任)。尽管Morrison对此判决提出了质疑,但这无疑为拥有员工数据的企业敲响了警钟:一个人造成的安全问题可能会在全公司范围内造成严重影响。
因此,现在对于企业而言有些事情开始变得异常重要:那就是如何锁定数据并以主动的方式搜寻威胁,而不是坐等攻击发生,然后再争先恐后的修复它们。公司习惯将注意力放在外部威胁上,殊不知内部威胁也同样重要,同样会造成灾难性的后果。
当然,内部威胁并不是都像上述案件一样是有目的和恶意的。它可能意味着秘密的间谍活动,也可能意味着更多,因为“内部威胁”涵盖太多企业内部的不确定因素。
例如,恶意行为者进行的社会工程活动就意味着企业内部的所有人都可能成为有针对性的网络攻击的受害者。这可能是呼叫中心的某位工作人员为一位声称自己不记得银行密码的人提供了一些有用的信息,又或者是员工可能会在一封伪装成公司CEO的钓鱼邮件中回复一些企业数据等等。
提到社会工程技术,无疑,企业内部的所有员工都可能成为最薄弱的攻击入口,其中首席财务官可能是黑客最青睐的目标。但是他们也可能会挑毫无戒心的实习生或初级团队成员入手,来获取想要得到的信息;所有这些都无疑为攻击者打开了一扇门,使其能够威胁建筑物内部的其他部分。Morrisons案件证明,无论是恶意的还是意外行为,内部威胁已经越来越严重,造成的后果也越来越严重。
所以,我们应该如何解决这个问题呢?首先,企业需要洞察数据是如何在网络中传输的,以建立一个强有力的防御机制,能够积极地保护所有利益相关者免受可疑活动侵扰。在任何组织中,建立关于所有员工的“正常”人类行为的清晰模式至关重要,以便之后能够识别这些模式中的异常行为。例如,在建立“正常”行为模式后,如果有员工在“不正常”的时间或地点登录到公司服务器,或有员工正在访问正常范围之外的文件(如营销部门的人员访问人力资源的数据),系统就会自动对这些异常行为进行标注并响起警报。
当然,应对这些问题的话,IT部门通常会人手不足且工作量过大,这也是由机器学习驱动的现代技术的价值体现最为明显的地方。将人力解放出来的统计分析工作尤为重要。这种具有网络监控能力的技术能够使公司数据的完整可见性得到保证,从而使IT人员和C级高管层能够更为直观地了解公司内部和外部网络上的数据。此外,作为远程工作者,其工作时间的不确定性和实践的变化性都可能会增加数据的威胁点。
为了解决这个问题,在人力方面进行定期和真实地互动训练是至关重要的——所以,绝对不要只是通过几十张幻灯片就简单地结束了员工培训环节。公司需要定期对员工进行社会工程测试,并对获胜者进行奖励;进行渗透测试;甚至只是简单地印出一些招贴画贴在墙上都会有所帮助——肯定比隐藏在共享驱动器上的员工手册有用的多。
这些都能帮助企业促成一个更为开放的安全文化环境,鼓励整个企业的员工都能成为安全传播者,而不是仅仅依靠企业的IT团队。此外,需要特别提醒的是,如果企业内部有人成为社会工程的受害者,避免愤怒,反过来为其提供充分的理解和支持是非常重要的;毕竟,这些攻击只会变得日益复杂。
最后,安全密码的基础知识(即经常更换密码,理想状态下将其存储在一个强大的密码管理器中)不能被夸大,企业需要教育员工通过纸笔记录这些信息会使企业置于危险之中。
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。