企业可以花所有的钱购买技术解决方案来保护其网络边界,但仍然无法阻止来自内部的攻击。毫无疑问,每个信息安全从业人员都听过网络边界被攻破的事件。但新的攻击方式是攻破“人类防线”,即企业内部威胁。现在越来越多的攻击者利用社会工程学来瞄准最易受攻击的资产:人。然后从内而外攻击系统并完全掌控该公司。
前段时间,网上银行和支付账单公司WHMCS遭遇攻击,攻击者使用真实内部访问凭证假装成内部人士。结果发现,该公司的数据库管理员在社交媒体非常活跃。从分析其公开资料,攻击者就能够获取其安全问题的大难。在快速电话和密码重置后,攻击者能够下载1.1G信用卡号码,并随后删除了服务器。五分钟的电话呼叫让攻击者完全掌控了该公司。
这只是外部人员假装成内部人员。那么,对于来者不善的内部人员呢?
据了解,65%的所有IT破坏攻击都是非技术性的,84%针对经济利益的攻击也是非技术性的。只需要一个电话,仅此而已。如果企业不能保护自己数据的安全性,我们作为客户如何相信他们能够保护我们的数据?
这突出了我们每天在为客户做的工作。在打给企业连锁店的10分钟的电话中,非技术员工都可以提供足够的数据来执行虚拟攻击或现场模拟。总是能够行得通的一个攻击向量是另一个内部人员,同事。内部人员通常会自动受到信任,并自动得到外部人员永远不会得到的答案。这正是内部攻击的危险所在。这种信任可能被利用,自动身份验证可以用来攻击。
现在我们已经讨论了一些来自内部威胁造成的危害范围,企业需要清楚了解这些威胁是如何表现。AT&T近日透露,员工能够访问和渗出机密及个人用户信息,包括数千客户的社会安全号码和驾驶证号码。这是恶意内部攻击的例子,其中员工故意暴露数据。#p#
愤怒和不满
在恶意内部人员的情况中,这些员工很愤怒或者不满,他们可能准备离职或者已经被解雇,并仍然可以访问企业系统。这些攻击者非常危险,因为他们已经知道如何访问网络,并能轻松地访问大量信息,而不需要费力。虽然对于这种内部攻击似乎无计可施,2014年Verizon数据泄露报告指出,85%的内部特权滥用攻击使用了企业LAN。通过部署和执行访问控制、网络行为分析和安全意识培训,鼓励员工报告可疑活动,这些类型的攻击可以得到控制。
第二种类型的内部威胁源于偶然的数据上传、未能安全地处理文件,以及具有意想不到后果的复杂的交互。无论它是如何发生,当员工意外暴露数据时,都可能发生内部攻击。
内部攻击也可能通过合作伙伴或者第三方的形式,这些第三方被授予访问权限,并可能意外暴露数据。我们看到过多少因为笔记本、U盘或文件处理不当(其中可能包含数以千计敏感数据)而造成的数据泄露事故?这些泄露事故并不是恶意的内部人士,而是没有受过教育和轻率的内部人员给企业和企业客户造成的损害。
企业成功防止内部攻击的唯一方式是不要只是认为IT负责所有信息安全问题。在上述的每种情况,用户教育以及适当的技术解决方案都可以帮助减少内部威胁造成的影响。
你可以先问自己以下问题:
·政策是否部署到位?
·是否有法律和高级管理支持IT做法?
·这些类型的计划是奖励员工而不是吓唬他们?
·我们是否进行定期审核?
虽然这种方法起初看似不切实际,但笔者已经看到全球性企业如何通过简单地调整程序和员工意识培训来减少恶意软件相关事件的数量,以及阻止内部和外部威胁。企业的安全取决于其最薄弱环节—人类。只要简单的事实仍然是正确的,攻击者总是能够唾手可得企业的数据。让你的企业和你的员工不再那么唾手可得,从而避免沦为下一个攻击受害者。