和我们所想的相反,目前大多数破坏性的安全威胁都不是来自外部,而是来自内部,包括心怀不轨者和被忽视的内部人员。

全球企业逐渐建立威胁管理项目来解决内部威胁要素。Cybersecurity Insiders所做的《2018年内部威胁》报告可看出,有86%的组织已经或正在设立内部威胁管理项目,36%的组织已经正式部署项目响应内部攻击,同时有50%的组织正致力于开发这样的项目。他们正在使用数据防泄漏(DLP)、加密以及身份和访问管理方案。为了更好地检测内部威胁,公司还应部署入侵检测防御方案(IDPS)、日志管理和安全信息与事件管理(SIEM)平台。 

此外,用户行为监测在增加。94%的组织部署了一些监测用户的方法,93%的监控都可以访问敏感数据。

波音为何要做内部威胁管理

在内部威胁面前,波音公司也不例外。波音公司前工程师钟东藩(Greg Chung)在2009年被判15年监禁,原因是收集美国航天飞机的敏感信息并意图分享给中国。在其审讯期间,他告诉法庭曾把波音公司的文件带回家并写了一本书。

波音公司的安全部门要努力确保钟东藩事件不再发生。自2014年以来,波音公司在整个公司部署了内部威胁项目,公司副主席兼首席安全官戴夫(Dave Komendat)称,公司高级领导层担心每年丢失的产权信息,因而2013年就在筹备这个项目。

戴夫透露,波音公司与其他公司无异,也在丢失重要信息。公司曾有两名高层探讨过保护产权信息的重要性。

筹备项目

戴夫与波音公司CIO、CTO、法律总顾问、人力部高级副总、内部管理办公室负责人共同制订了这个项目的内容及其部署和管理的方式。

他解释称,项目的制订虽获得了高级管理层的支持,但是仍然需要有一支团队开发整套指导准则。任何公司要部署一个项目都需要如此,制订项目需要了解公司文化,安全姿态是否太激进或太保守?公司与员工如何顺畅沟通?这些对于项目的考量都很重要,因为如果公司文化不能与你的目标一致,项目就会失败。

戴夫和一个专家团队创建了一个试验项目,此项目利用现有波音公司技术捕捉和了解的企业中已有威胁类型。他解释道,波音公司和其他公司一样。内部也有人可能收集信息。第一种可能,因为自己是资料的贡献者,就觉得自己拥有一些资料,即便所有员工都签署过产权信息协议;第二种,误传文件,虽然他们不是技术人员,但却能通过U盘带走技术资料;第三种,新员工入职是获取资料的好时机,或者可以把资料卖个好价钱。即便这次试验规模小,也可以测试一下波音公司内部的这三种情况。

有了数据,戴夫才能向高管们递交申请,然后获批部署一个内部威胁管理项目。他说,领导层经常对一些员工的行为表示惊讶。他们最惊讶的是人们对这种取走信息行为的态度以及这种行为的持续时间,最不解的是为何这种行为会发生在公司内部。 

随后,戴夫的内部威胁团队就开始逐步实施这个项目,而当时大多数公司还没有意识到要做这件事情。他解释说:“我们只是先走一步,但并未打算秘密行事。我们愿意与员工们分享该项目,包括调查支出的费用,就是希望从内部改变公司文化。我们希望员工们知道,不可以带走信息,公司对此有严格的规定且有能力发现私带信息的行为。通过沟通,人们会意识到信息属于公司,而不是员工;所有员工都有责任和义务保护信息,如果有人带走信息,就会被抓。”

戴夫强调了由顶尖人才运行内部威胁项目的重要性。除了组建有美国海军罪案调查处和军事情报背景的管理团队,他任命曾效力CIA的凯里(Rowan Kelly)为项目经理管理此项目。

凯里说:“我们2013年开发自己的内部威胁项目时,正值斯诺登事件发生。这对我们而言是个转折点,它突显出我们工作的重要性。还让高层对这个项目另眼相看。” 

初见成效

凯里的波音内部威胁团队使用的特殊工具之一是波音开发的自主产权软件,收集数据并将数据切分成小块,使用预先定义的查询帮助团队确定是否有嫌疑对象改变自己惯常的工作行为。机器只给出数据,由团队负责研究,然后再对网络行为异常的人士进行深挖。在把数据生成引导信息转变为结论时,一个有天赋和经验的调查团队是无价之宝。

团队使用的另一个工具是培训业务领导人。与波音公司的通信团队合作,可以让人们理解什么是内部威胁。利用公司自有文化和工具创建综合解决方案。戴夫称和CEO在内的公司执行委员会沟通过项目的运行问题。公司内部对于此项目给予极大支持,因为他们在数据离开公司前看到了凯里团队恢复的数据。而员工则不得不去了解什么样的东西可以带回家。

戴夫补充称,如果你公司有调查团队或调查能力,可以与IT团队合力确定参数,用于识别行为变更,看数据是用于网络,打印还是别的什么。参数不需要特别准确,但至少能让你察觉某人的行为是否异常,是否需要检查。

总而言之,戴夫的目的是要改变公司在数据,网络使用和保护方面的文化。他说:“上世纪90年代,我们允许员工上网的时候,就发现有一些员工访问不良网站。我们公司的调查团队不但在发现这些人后采取了措施,还把这些案例的后果告诉了所有员工。结果就是,公司整体的文化发生了变化,没人再访问那些不良网站。而这就是我们试图通过目前这个项目解决的问题。我的目标是改变人们的行为,这样有不轨意图的人终会被发现。”

戴夫说:“我们调查的成功率以及我们恢复的数据大于预期。该项目的投入产出比超出想象:凯里的团队用不到一周的时间就收回了内部威胁管理项目的年度成本。足以说明该项目的成功。”

如何创建一个内部威胁项目

按照戴夫的说法,十步就能创建一个成功的内部威胁管理项目:

1.了解公司文化。企业内部威胁项目的成功要取决于企业文化。

2.项目需获得领导层的支持。不论你如何努力,如果高层不买账,项目就无法成功。

3.开发一套指导准则,并遵守该准则。指导性的准则可以表明企业做内部威胁检测要达到什么目的。项目实施的每个决定都以此为基准。

4.确定负责人。慎重选择项目负责人,否则事倍功半。

5.组建合适的团队。项目团队的成员应包括多个部门的员工,以便他们分享技术和意见,从而减少风险。要找最好的,最聪明的人才。

6.找训练有素的人做项目改进。如果调查团队没有一些了解人性的人,项目不会获得成功。技术是工具,训练有素的专业人才是关键。

7.遵守法规。法律部门在项目的实施中起到重要作用,戴夫称,项目实施初期,法律部门带来很大挑战,但现在已经成为最大的支持者之一,而且还能带来建设性意见帮助其完善项目。

8.执行常规项目审计。用数据说话,才能体现项目价值。

9.投入项目必需的时间和资源。前期投入是必要的,随着时间推移,其投入产出比还是可观的。

10.推动公司文化的改变。一个成功的内部威胁项目不是一天就能完成。而注重向员工灌输内部威胁意识的公司才能推动公司文化的改变。

本文翻译自SecurityMagazine

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。