滥用访问引起的网络攻击可能会损害公司、员工和客户的利益。根据 “2020 年 IBM X-Force® 威胁情报指数”,2019 年的数据泄露量比 2018 年高出 200%,主要原因是因疏忽造成的内部威胁。内部人员通常知道企业敏感数据所在的位置,并具备较高的访问权限,无论他们是否怀有恶意都会存在威胁。
内部攻击对组织来说代价也非常高昂。在波耐蒙研究所 (Ponemon Institute) 开展的 “2020 年内部威胁成本调研”中,研究人员发现,内部数据泄露的年平均成本为 1,145 万美元,其中 63% 的事件都是由疏忽造成。
无论有意还是无意,内部人员都可能暴露或促成暴露机密的客户信息、知识产权和资金。
现有员工、前员工、承包商、业务合作伙伴或业务伙伴都是可能构成威胁的内部人员。但是,任何拥有公司计算机 系统和数据访问权限的人员(包括提供商或供应商)也可能会对组织造成威胁。
内部人员的动机、意识、权限级别和意图各有不同。波耐蒙研究所将其分为疏忽大意、涉及犯罪和充当“凭证”三大类。同时,Gartner 将内部威胁分为四类:小卒、呆瓜、勾结者和单独行动者。备注:波耐蒙研究所 (Ponemon Institute) 与 Gartner 编写并向企业和政府机构发布独立调研、咨询和教育报告。
小卒是指在不知情的情况下被操纵执行恶意活动的员工。无论是下载恶意软件,还是通过鱼叉式网络钓鱼或社交工程向欺诈者泄露凭证,小卒都会给组织带来不少危害。
呆瓜是指认为自己不受安全政策约束的无知或傲慢用户。他们出于方便或不称职,主动尝试绕过安全控制。他们还违反安全政策,让易受攻击的数据和资源处于不安全的状态,让攻击者能够轻松访问网络。根据Gartner的"“高级内部人员威胁检测策略”"报告,"“90% 的内部事件由呆瓜造成的”。"
勾结者与外部人员(如公司的竞争对手或竞争国家/地区)串通合谋进行犯罪。他们通常利用自己的访问权限,窃取知识产权和客户信息或造成企业运营中断,往往是为了获得经济或个人收益。
此外还有单独行动者,他们通常在没有外部影响或操纵的情况下,为了获取经济收益,像孤狼一样单独开展恶意活动。权限较高的单独行动者尤其危险,例如系统管理员或数据库管理员。
如果欺诈者的目标在受保护的系统内部,他们的重点是获得员工的访问特权。欺诈者欺骗“小卒”和“呆瓜”来进行网络犯罪。他们使用许多策略和技术来获取凭证,例如:网络钓鱼电子邮件、水坑式攻击和武器化恶意软件。有了这些凭证,欺诈者可以在系统内横行、提升权限、进行更改并访问敏感数据或资金。欺诈者可以在出站通信期间使用命令与控制 (C2) 服务器从不安全的位置访问数据或信息。他们可以进行出站尝试更改或执行批量出站转移。
欺诈者如何攻击:
寻找漏洞
- 部署 网络钓鱼电子邮件或恶意软件
- 识别 流氓用户
- 获取 被泄露的凭证
利用漏洞进行访问
- 横向移动至所需目标
- 根据需要提升权限
- 访问资产
滥用访问权限
- 混淆网络活动
- 更改数据
- 泄露数据
组织可以采用不同的技术和非技术控制措施来改进对每种内部威胁类型的检测和预防。
每种类型的内部威胁都呈现出不同的症状,以供安全团队进行诊断。但是,通过了解攻击者的动机,安全团队可以主动开展内部威胁防御。成功的组织采用综合方法来减轻内部威胁。他们可能使用具有以下功能的安全软件:
- 映射可访问数据
- 建立信任机制——授予访问权限、撤销访问权限并实施多因子身份验证 (MFA)
- 定义有关设备和数据存储的策略
- 监控潜在威胁和危险行为
- 在需要时采取行动
SANS 2019 年高级威胁报告指出,安全从业者发现内部威胁防御存在重大缺口。该报告发现,以下两个方面的可视化不足会导致出现这种缺口:正常用户行为的基线和特权用户帐户管理。这些缺口成为网络钓鱼策略和凭证窃取的重点目标。
- 谁有权访问敏感数据?
- 谁应该有权访问?
- 最终用户如何处理数据?
- 管理员如何处理数据?
- 哪些数据属于敏感数据?
- 敏感信息是否泄露?
- 敏感数据存在哪些相关风险?
- 管理员能否控制特权用户对敏感数据的访问?
建立威胁模型后,组织将专注于检测和修复内部威胁和安全漏洞。
安全团队必须区分用户的常规活动和潜在的恶意活动,以检测内部威胁。为了区分这些活动,组织首先必须弥补可视化缺口。然后,他们应将安全数据聚合至集中监控解决方案中,无论是 安全信息和事件管理 (SIEM) 平台 的一部分,还是独立的用户和实体行为分析 (UEBA) 解决方案。许多团队从访问、认证和帐户更改日志开始。然后,随着内部威胁用例的成熟,他们将范围扩大到其他数据源,例如虚拟专用网络 (VPN) 和端点日志等。
组织必须采用特权访问管理 (PAM) 解决方案,并将有关该解决方案访问特权帐户的数据输入至 SIEM。组织集中信息后,就可以对用户行为进行建模并分配风险分数。风险分数与特定的风险事件相关,例如用户地域更改或下载至可移动介质。分配风险分数机制还可支持安全运营中心 (SOC) 团队监控整个企业的风险,无论是创建监控列表还是突出组织中风险最高的用户。
有了足够的历史数据,安全模型可为每个用户创建正常行为的基线。该基线说明用户或机器的正常运行状态,以便系统标记偏差。应跟踪个别用户的偏差,并与同一位置、同一职位或工作职能的其他用户进行比较。
采用以用户为中心的视图,安全团队能够快速发现内部威胁活动,并从一个集中位置管理用户风险。例如,用户行为分析可以在一天中异常时间、从异常位置或发生多次密码尝试失败时检测异常登录尝试,并适时生成警报,以供分析人员进行验证。换句话说,任何行为异常都有助于识别用户何时转化成为恶意的内部人员,或者外部攻击者是否已窃取相关内部凭证。
验证之后,安全编排、自动化与响应 (SOAR) 系统会创建内部威胁补救工作流程。然后,行动手册会指定需要哪些补救措施。潜在的补救措施包括使用 MFA 质询内部人员身份或撤销访问权限,其中任何一个补救措施都可以在身份访问管理 (IAM) 解决方案中自动完成。
随着居家工作和远程工作范围的扩大,安全 威胁也不断增加,变得更加复杂。因此,远程工作从根本上改变了安全优先级和安全措施。这种安全上的改变给安全团队带来了新的挑战:
- 总体安全事件随行为变化和攻击面增加而增多
- 网络钓鱼攻击增多
- 未连接到 VPN 的端点和服务器缺乏可视化管理
- 工作时间不规律、地点不同以及 Web 浏览行为变化导致员工行为出现变化
- SaaS 应用程序使用增加以及缺乏可视化管理
IT 安全问题延伸至公司内网之外,首席信息安全官 (CISO) 必须应对 IT 安全的快速转变。CISO 的团队必须更好地了解远程员工独有的标识行为以及远程工作对内部威胁检测的影响,才能有效保护公司的资产。为了应对远程员工队伍的挑战,CISO 必须回答以下问题:
- 我们如何验证登录公司虚拟专用网络 (VPN) 的人是员工,而不是使用被盗凭证的攻击者?
- 我们如何验证员工的反常行为不是远程工作导致的?
- 我们如何帮助确保连接至开放且不安全的互联网位置(如咖啡店)的员工安全?
通过了解远程员工的行为,安全团队可以检测到可能表明凭证泄露或恶意意图的异常行为。他们通常可以在员工造成潜在损害之前在 VPN 边界检测到这些行为。在边界上,CISO 应确定当前的内部威胁能力是否可支持:
- 针对访问、认证和 VPN 日志,部署适当的可视化管理。
- 确定员工凭证是同时在两个地方使用,还是来自异常的地理位置。
- 确定员工是否在其所在城市的正常工作时间之外使用凭证,或者连接时间是否比平时更长
- 终止连接、阻止设备并通过 IAM 撤销凭证。
假设攻击者设法在周边逃避检测,并且位于组织内网。在这种情况下,安全团队应通过查找泄露的凭证或滥用指标来检验威胁攻击的源头。
安全团队可以通过许多方法获得内部威胁指标,通常由机器学习辅助。这些方法可以帮助确定访问是否来自合法员工,或是窃取凭证的人员。在组织网络中,CISO 应评估当前的内部威胁能力是否可支持他们:
- 对独特的标准活动模式和频率建模,以检测基线偏差。偏差说明存在有意或无意的滥用情况。
- 通过某天出站通信尝试或连接次数来监控数据渗透尝试。如果员工的出站通信数量激增,可能会建议密切监控该用户的凭证。
- 识别某位员工的大量异常数据传输。监控聚合数据传输可以提供简单但有效的早期泄露迹象。
- 检查可疑应用程序的端点完整性,这可能表明有恶意软件活动。通过识别新流程或应用程序执行,您可以阻止恶意软件,降低组织的安全风险。
通过主动调整计划来应对员工行为转变,以及最大限度增加现有工具投资资产,安全团队即可更好保护企业网络安全。
信息盗窃、IT 破坏和欺诈活动正越来越多地出自技术娴熟而且了解情况的内部人员之手。他们能够轻松访问最有价值的信息,利用安全缺陷,对企业造成无法弥补的损害。
IBM® QRadar® User Behavior Analytics (UBA) 可分析用户活动以检测可疑的内部人员,确定用户凭证是否被窃。安全分析人员可以轻松查看存在风险的用户,检查其异常活动,深入研究与用户风险分数有关的底层日志和流数据。
授予访问权限、从任意设备提供单点登录、通过多因子身份验证增强安全性、启用用户生命周期管理、保护特权帐户等。
从孤立的安全数据获取切实可行的洞察,快速识别最关键的威胁,并减少警报总量。通过在本地和云端环境部署更广泛的可视化管理,团队可采用 AI 技术加速调查,并实现自动响应和补救。
威胁检测只完成了安全保护的一半。您还需要对持续增长的警报、多种工具和人员短缺等问题做出明智的事件响应。成熟的组织采用一站式安全编排与自动化响应 (SOAR) 平台,并结合使用咨询与管理服务,改进其安全运营中心的效率。