Verizon《數據失竊調查報告 2018》指出,百分之二十的網絡安全事故及百分之十五的數據失竊成因皆源於企業內部人為因素,當中經濟得益 (47.8%) 和單純作弄 (23.4%) 是主要誘因。這些網絡攻擊涉及內部數據和系統訪問權限等,往往於事故發生數月甚至一年後才被發現,對公司業務運作構成嚴重隱患。
然而,不少企業視內部威脅為禁忌,不願承認、舉報或對公司構成威脅的人員採取行動,認為這將有損公司的管理程序和威信。Verizon《內部威脅報告》提供以數據為基礎的視角,協助企業在員工社群和真實情景中辨認風險,並制訂全面有效的內部威脅應對方案。
Verizon 環球安全服務行政總監 Bryan Sartin 表示:「數據洩露和網絡安全事故中的內部人為因素長期被企業忽視,認為會有損企業形象或視作人力資源部的個別問題,但這個觀念必須改變。網絡威脅不只源於外來因素,我們必須同時關注企業內部存在的風險,來全面打擊網絡罪行。」
如何定義內部威脅特徵
Verizon 投放不少時間於研究各種企業可能面臨的內部威脅類型。透過分析 Verizon 調查的真實案例,從事件偵測 (和驗證) 、回應及調查至過往經驗 (對策),Verizon 概括以下五種構成內部威脋的員工類型。
- 員工輕率大意:包括不適當地挪用資源、違反使用守則、錯誤處理資料、安裝未經授權的應用程序或使用未經批准的捷徑之員工或合作伙伴。有別於惡意行為,這些不當行為往往容易墮入科技陷阱 (如缺乏 IT 知識和管理)。
- 內部間諜:受僱於外部、被勒索或賄賂而盜取數據的內部人員。
- 員工心懷不滿:企圖破壞公司數據庫或妨礙商業活動來損害公司利益的內部人士。
- 員工蓄意破壞:藉著擁有公司系統權限而盜取公司資料以獲取個人利益的員工或合作伙伴。
- 第三方無責任感:因疏忽、濫用或惡意查看和使用資料來破壞網絡安全的商業合作伙伴。
11 個有效制定內部威脅計劃的對策
是次報告提供具體建議及應對措施,協助機構部署內部威脅應對方案,確保公司各個部門如資訊科技安全、法律、人力資源等均能夠保持緊密協調,迅速回應事故並進行數碼搜証。其中兩個主要因素對決定方案成敗至關重要,包括了解公司自身資產和持有系統訪問權限的使用者。
Sartin 補充:「與尋找外部威脅相比,偵查和緩解內部威脅需要採用不同的方法。我們旨在為這些公司提供一個框架,讓他們能夠在過程中採取更積極主動的態度,消除過去對內部人為威脅所引起的網絡犯罪的恐懼、不確定性和蒙羞感。Verizon 日常處理網絡罪犯和受害者之間的對弈,透過分享我們所收集的真實案例,讓企業能學習和採用我們提供的對策,加以實行。」
以下 11 項對策有助降低風險和加強事件應對成效:
- 整合安全策略及政策:透過整合以下 10 項對策或制訂一份全面有效的內部威脅應對計劃,配合其他現有策略如風險管理架構、人力資源管理及知識產權管理,可提高處理內部威脅的效率、凝聚力和及時性。
- 進行威脅搜索行動:優化威脅搜索功能如威脅情報、暗網監控、行為分析、以及端點偵測和回應 (Endpoint Detection and Response;EDR) 來搜索、監控、檢測和調查企業內外的可疑使用者和使用者帳戶活動。
- 實施漏洞掃描和滲透測試:利用漏洞評估和滲透測試尋找安全措施中的漏洞, 如模擬內部威脅人員潛入的方式。
- 實施人員安全措施:實施人力資源控制 (如員工離職流程)、安全訪問原則和安全意識培訓等可以減少因未經授權的系統訪問以引起的網絡安全事故。
- 採用實質保安措施:採用證件、安全門和警衛等實質保安措施來限制未經許可人士以實質或數碼方式取得企業資產,包括刷卡、安裝活動探測器和攝影機等,以便監測、警報和記錄使用者訪問模式和期間活動。
- 實施網絡安全解決方案:實施網路周邊和分段式安全方案,如防火牆、入侵偵測或預防系統、閘道設備和資料外洩防護 (DLP)解決方案,以便偵測、收集和分析可能與內部威脅活動相關的可疑流量數據。這將更有效地監察任何不尋常的非辦公活動、出境活動的數量以及遠端連線的使用。
- 採用端點安全解決方案:採用已建立的端點安全解決方案,如關鍵資產庫存、卸除式媒體策略、裝置加密和檔案完整性監視 (FIM) 工具,以便阻止、監視、跟蹤、收集和分析與使用者相關的活動。
- 應用數據保安措施:應用資料擁有權、分類、保護及處理措施以管理資料的生命週期,並在處理內部威脅的情況下依然保持資料的機密性、完整性和可用性。
- 採用身份及訪問管理 (IAM):使用身份、訪問和認證管理措施以限制和保護對企業資產的訪問。使用特權訪問管理 (PAM) 方案以授權訪問將更有效達至目的。
- 建立事故管理能力:建立事故管理過程守則,包括內部威脅處理手冊 (當中須包含經驗證且有效的事件處理常式)。這將使網路安全應對措施在應對內部威脅活動方面更具效率及效用。
- 保留數位取證服務:保留足夠資源以進行調查行動,實行全方位的深入調查,包括日誌、文件、端點和網絡流量分析,以處理一般較棘手及與人類有關的(或與用戶帳戶有關的)網絡安全事件。