內部威脅指的是來自組織內部的潛在安全風險和威脅。內部威脅對組織構成了重大風險,因為擁有合法訪問權限的個人可能有意或無意中損害系統、竊取數據或從事間諜活動。在2023年,內部威脅已經成為現代企業中普遍存在的安全風險。為了盡量減少內部威脅,組織應實施從內部威脅評估入手的內部風險管理(IRM)策略。
內部威脅風險評估的必要性
為什么內部威脅和風險評估應該成為組織網絡安全態勢的核心呢?研究人員認為,內部威脅風險評估是一種應對內部威脅挑戰的最佳實踐方法,通過評估企業組織數據當前防范內部人員的程度,能夠提前發現組織可能存在的潛在風險,并評估這些風險的潛在危害性。NIST報告也指出,執行內部威脅分析和風險評估是制定一項有效的內部威脅計劃的必要步驟,內部威脅風險評估應該作為企業總體網絡安全風險評估的一部分來嚴格執行。
特別是對于那些需要處理敏感數據的組織,更應該定期評估并持續檢測內部威脅風險,主要原因如下:
- 有利于了解組織的整體網絡安全態勢。當組織需要評估網絡安全現狀時,應該將風險評估作為風險管理策略的必要組成部分。徹底的內部風險評估可以暴露現有工作流程的漏洞和網絡安全缺口,避免讓惡意的內部人員破壞企業數字化系統及應用。
- 更快檢測出潛在的內部威脅。基于內部威脅的風險評估有助于更快檢測出由內部用戶引發的不安全、高風險事件,包括檢測出可疑和惡意的內部網絡活動。
- 加強組織的數據和資產安全。只有知道哪些威脅對組織最危險,才能夠確定采用最合適的措施和工具來進行保護,并制定相應的風險緩解計劃。
- 更好滿足合規要求。開展統一的安全性和內部風險評估是確保組織內部信息資產安全的最佳實踐之一。這種做法一直被NIST和ISO等權威組織強制要求并推薦,有利于更好地遵守HIPAA和PCI DSS等法律和標準。
內部威脅風險評估的關鍵步驟
對于現代企業組織而言,開展并應用一個高效的內部威脅風險評估能夠提前發現內部威脅,從而快速有效地應對內部攻擊。在實際應用中,有多種不同的方法來評估企業內部安全風險,這會因組織類型、規模、業務范圍和相關的網絡安全要求而異。企業在深入地執行內部威脅風險評估時,可以參考以下的關鍵步驟建議:
1、識別并確定組織的關鍵IT資產
內部威脅風險評估工作取得成功的關鍵,就是要首先確定企業組織中最可能被內部人員破壞的所有寶貴資產,并針對這些資產重點進行風險評估。一旦組織確定了關鍵性資產,就應該根據它們的重要程度進行分類分級。在這個環節,企業可以把注意力集中在以下方面:
- 對服務器和云服務管理面板的訪問。
- 客戶的敏感信息(信用卡數據、地址、電話號碼和健康記錄等)。
- 員工的個人身份信息。
- 關鍵數字化業務系統和服務(組織網絡、管理面板和組織內使用的關鍵應用程序)。
- 有關合作伙伴和經銷商的上年數據(文件、協議和聯系信息)。
- 商業秘密及其他機密信息。
2、界定可能存在的內部威脅
并非所有內部威脅都來自惡意活動或受攻擊賬戶,大多數的內部威脅是由組織中存在以下行為的合法用戶構成的,包括:因為疏忽泄露敏感數據;無意中共享對組織系統的訪問權限,錯誤刪除、更改或濫用數據,以及將惡意軟件無意中上傳到組織系統。
因此,要識別企業內部潛在的威脅風險,可以通過以下問題來思考和發現:
- 哪些員工擁有經過提升的訪問權限?他們使用這些權限做什么?
- 員工訪問組織系統和敏感數據的頻次如何?目的是什么?
- 員工如何存儲和處理其密碼?
- 員工是否了解最新的網絡安全實踐?
- 員工如何共享其密碼(如果他們使用共享的賬戶)?
- 系統是否允許員工從不尋常的位置或設備登錄?
- 員工可以將數據復制到來歷不明的USB設備嗎?
3、確定內部威脅風險的優先級
為了確定風險的優先級,組織需要評估這些風險,并確定哪些風險可能對組織構成的威脅最大,并可能造成巨大損失。組織可以使用風險矩陣來定義每個風險的級別。
企業在評估內部威脅風險,應該優先分析以下四個因素:
- 面臨風險的資產具有的重要性。
- 威脅的嚴重程度。
- 系統受某個威脅攻擊的脆弱性。
- 威脅發生的可能性。
企業還應該考慮當前哪些安全措施可以保護系統遠離某種場景的影響。如果出現潛在威脅,發生實際數據泄露或其他事件的可能性又有多大?通過確定最危險、最可能發生的威脅,可以確保組織首先遠離這些高等級的威脅。
4、創建風險評估報告
在內部威脅風險評估的過程中,需要將發現的評估結果匯整成詳細報告,才可以在風險管理策略的后續階段幫助簡化決策。此外,企業也需要利用風險評估報告向所有員工分享相關的內部風險信息,提醒員工更加留意與風險相關的行為。
內部威脅風險評估報告應全面概述評估過程、已識別風險、風險優先級和可能的后果。同時,企業可以結合以下有效的網絡安全最佳實踐以降低上述風險:
- 增強授權和身份驗證機制。
- 執行定期數據備份。
- 部署數據丟失預防工具。
- 實施威脅監測和響應機制。
- 更新網絡安全策略和指導方針。
- 采用用戶活動監控解決方案。
5、要持續評估內部威脅風險
開展內部威脅風險評估并不是一勞永逸的活動。由于企業組織的內部威脅是在不斷變化,其復雜性和危害性也會不斷增加,因此,內部威脅風險評估也應該不斷優化并持續開展。特別是在以下情況出現時,應該進行相應的風險評估工作:
- 當內部威脅事件真實發生時。
- 當組織的IT基礎設施發生變化,也可能會出現新的安全缺口。
- 出現新的合規性要求或網絡安全技術。
- 內部威脅響應團隊發生變動。
- 評估計劃中明確要求的時間點。
參考鏈接:https://www.ekransystem.com/en/blog/insider-threat-risk-assessment。
