无论企业是刚刚开始制定计划来缓解内部威胁风险,还是已经部署了这样的计划,如果没有可靠的内部威胁检测工具,企业的内部威胁缓解计划将很难取得成功。
这是Raytheon Oakley Systems公司防御计划主管Daniel Velez传达的主要信息,他在RSA 2014大会上谈到了成功的内部威胁管理计划的基础。
Velez表示,内部威胁检测工具通常属于数据丢失防护或端点监控产品的类别,这是部署在端点监控用户如何与数据进行交互的工具;它们采用基于政策的技术控制来防止用户的某些行为,例如转发敏感电子邮件到个人账户或者复制专有数据到U盘。
Velez谈到,在通常情况下,企业会被具有强大端点检测代理的华而不实的工具所吸引,但他警告企业不要仅依据工具在端点可以检测的内容来选择工具。他建议,根据企业特有的情况来选择产品,包括企业运行着什么端点平台、端点平台是否易于部署和管理、它提供怎样的政策灵活性,以及事件响应和管理功能是否能顺利整合到企业现有流程。
在产品选择过程中,还有一些常常被忽视的标准。例如,Velez表示,很多大型企业或者具有成熟管理结构的企业在内部威胁管理过程中通常会牵扯很多利益相关者,包括审计委员会成员、合规利益相关者,以及人力资源和法律代表,所有这些利益相关者可能需要访问内部威胁产品。
“我选择的工具是否允许我有多个利益相关者?”Velez问道,“如果总法律顾问想要一个账户,或者人力资源想要一个账户,我能否满足他们的要求?”
Velez表示,良好的内部威胁检测工具还将帮助管理员正确地判断事件,提供足够的信息来帮助判断员工是恶意试图感染网络或者只是简单地插入他或她的U盘到电脑而不知道其中包含病毒。
“我从事反间谍威胁调查者工作长达8年,98%出现在我办公桌上的事件是别人的问题,通常只是员工为了完成工作而违反规则,”Velez表示,“我们需要内容来帮助我们对员工进行培训。”
他指出,一个产品应该要能够对内部威胁检测计划中的变更迅速调整政策,特别是用户和利益相关者如何反应。
“相信我,如果你隐蔽地进行部署,消息肯定会不胫而走,”Velez说道,“当你推出这个工具时,你会因为很多事情受到很多责备,请做好准备,并不断审核你的政策。”
Velez还强调了必须确保内部威胁检测工具可以提供让人易懂的输出结果。他表示,虽然对于某些人来说,关于单个事件的20页纸的报告很有用,但好的工具应该能够总结事件的关键点,让***信息官或者其他高管及非技术型利益相关者可以快速轻松地了解发生了什么,并做出正确的决策来响应。
选择合适内部威胁检测工具的挑战还包括,商业产品的成熟度千差万别。Velez表示,企业不能根据研究公司推荐的一组产品列表来开始产品选择过程,而是应该根据企业的审计需求。
“从提出基本问题开始,‘我想要这个工具做什么?’,然后再深入一点,”Velez表示,“与其他正在选择产品的企业沟通,并探讨他们的能力是什么。并且,你需要找已经从事这个行业一段时间而且不担心你与现有客户联系的供应商。”
即使考虑了所有的因素,在实际部署工具前,我们不可能完全知道一个工具可以和不可以做什么,这也是Velez强烈建议在购买产品前进行试点部署的原因。他补充说,企业必须确保供应商不仅有坚实的部署计划,而且还能够支持企业的特定业务需求。
CareerBuilder.com信息安全和合规团队位于亚特兰大的成员Jim Butler表示,他的企业正在评估内部威胁检测工具。
Butler表示,其企业在审计过程涉及广泛的利益相关者群体,他们需要一个产品能够帮助已经很忙碌的工作人员持续审计潜在内部威胁,而不是成为一个巨大的负担。
他还指出,为高度协作网络环境选择合适的工具是很艰巨的挑战,因为这些环境不断会推出新产品和程序。
“我们很难说什么工具适合在什么环境运作,”Butler表示,“我们选择产品的重点是,所选产品不能打扰或者减缓员工的工作,同时还为我们提供一定的可视性。”