数据结构
网络
关系数据库管理系统 (RDBMS)
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C语言编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
服装设计
法学什么是内部威胁?(类型、如何检测)
什么是内部威胁?
内部威胁是一种网络攻击形式,由公司员工或被允许访问公司网络或系统的人员实施。内部威胁可能是现任或前任员工、顾问、董事会成员或业务合作伙伴,它们可能是蓄意的或无意的。
在网络安全领域,内部威胁是指某人拥有公司数据和资源的授权访问权限,并利用该权限损害公司的设备、信息、网络和系统。腐败、间谍活动、资源耗尽、破坏活动、恐怖主义和非法信息泄露都是示例。它也可以被网络犯罪分子用作病毒或勒索软件攻击的跳板。
内部威胁的类型
现任和前任员工、承包商、业务合作伙伴和合伙人都是可能构成威胁的内部人员。但是,任何拥有公司计算机系统和数据适当访问权限的人员,例如供应商或经销商,都可能造成损害。
内部人员在动机、意识、访问量和意图方面有所不同。Ponemon 研究所将内部人员分类为疏忽、犯罪或凭证。Gartner 将内部风险分为四种类型:棋子、笨蛋、合作者和独狼。注意:Ponemon 研究所和 Gartner 为企业和政府提供独立的研究、咨询和教学研究。
棋子
员工被棋子诱导执行邪恶行为,而他们对此完全不知情。无论是安装恶意软件,还是通过鱼叉式网络钓鱼或社会工程将个人信息交给骗子,棋子都会对公司造成损害。
笨蛋
笨蛋是不了解或对安全措施漠不关心的用户。他们出于方便或愚蠢而故意试图绕过安全限制。此外,笨蛋违反安全规定,使易受攻击的数据和资源暴露在外,使攻击者可以轻松访问。根据 Gartner 的论文“高级内部威胁检测的上市策略”,“90% 的内部事件是由笨蛋造成的”。
合作者
合作者与外部人员(例如竞争对手或国家)合作实施犯罪。他们利用自己的访问权限窃取知识产权和客户信息,并扰乱公司运营以谋取经济或个人利益。
独狼
独狼也独立且恶意地行事,无需外部影响或劝说,通常是为了经济利益。当独狼拥有更高的权限级别(例如系统管理员或数据库管理员)时,它们就更加危险。
骗子如何利用薄弱的内部人员?
如果骗子的目标是受保护的系统,他们会专注于获取员工权限的访问权限。对于他们的网络犯罪,骗子会利用棋子和笨蛋。为了获取凭据,他们会采用多种策略和技术,包括网络钓鱼邮件、钓鱼网站和武器化的恶意软件,仅举几例。
骗子可以使用这些凭据在系统中横向移动,提升其权限,进行修改并访问敏感数据或资金。使用命令和控制 (C2) 服务器,骗子可以在出站传输期间从不安全的地方访问数据或信息。他们能够调整出站尝试或进行批量出站传输。
骗子的攻击方式如下:
- 寻找薄弱环节
- 使用网络钓鱼邮件或病毒欺骗他人
- 寻找恶意用户
- 获取被盗的凭据
- 充分利用访问权限
- 横向移动以到达目标
- 根据需要提升权限
- 访问资产
- 滥用访问权限
- 混淆网络活动
- 更改数据
- 窃取信息
如何保护自己免受内部威胁?
可以通过持续监控用户行为、实时洞察网络活动以及在发生安全漏洞时迅速采取行动来避免内部攻击。
以下**四步安全事件方法**用于避免内部威胁:
检测
企业必须能够在其网络上识别有害、可疑或意外的活动。实时了解用户登录情况(例如用户何时何地以及从何处登录公司网络)对于威胁检测至关重要。组织可以使用安全解决方案和快速威胁检测来提高网络可见性、跟踪员工行为并接收有关异常活动的通知。
调查
一旦发现可疑行为,组织必须能够立即调查。发现可疑行为却等待几天再进行调查毫无意义,因为攻击者很可能已经提升了其权限并执行了攻击。
预防
当怀疑的行为被证实为有害或未经授权时,公司必须采取措施阻止人员访问其网络和系统。他们需要一个威胁预防系统,以防止攻击者访问数据并窃听用户行为。
虚拟专用网络 (VPN) 可以加密数据并允许用户在其 VPN 解决方案后面隐藏其浏览行为,这也可以帮助组织防范内部威胁。
保护
组织必须通过实施安全规则来保护其数据并保护其用户和设备。必须始终通过使用适当的访问权限和特权来保护关键资产,包括设施、人员、技术、知识产权和客户数据。
所有人员都必须了解他们必须遵守的安全措施,以及他们的数据权限和知识产权,这些都必须正确记录。对于遵守日益严格的数据保护要求,此最后一步至关重要。
245 次查看
