Nick Lewis(CISSP,GCWN))是一名信息安全分析师。他主要负责风险管理项目,并支持该项目的技术PCI法规遵从计划。2002年,Nick获得密歇根州立大学的电信理学硕士学位;2005年,又获得Norwich大学的信息安全保障理学硕士学位。在他09年加入目前的组织之前,Nick曾在波士顿儿童医院、哈佛医学院初级儿科教学医院,以及Internet2和密歇根州立大学工作。
怎样区分内部人员和非内部人员编写的恶意软件?是否有软件产品可以将由企业内部人员编写的恶意软件检测出来?
Nick Lewis:可信内部人员发起的攻击是最常见和最古老的威胁之一。这些人可能已经拥有访问权限来发起恶意攻击,或者他们可以通过本地权限提升攻击来容易地访问敏感数据。
虽然区分内部人员和非内部人员攻击很困难,但更困难的是检测内部人员编写的恶意软件。外部恶意软件编程者编写的有针对性攻击可能会伪装成来自内部的攻击,因为这个攻击中可能利用了内部账户。
另外,数据泄露也可能是内部人员攻击。
与内部恶意软件相比,非内部人员和非定制化恶意软件更容易检测,因为来自其他网络的其他系统可能会向反恶意软件供应商提交相同的可疑文件;供应商的安全情报也有助于对这种威胁的检测。
然而,现在没有软件产品可以发现企业内部人员编写的恶意软件。你可以确定恶意软件是否使用了内部命令和控制系统,或者文件是否是从合法系统下载。在发现恶意软件文件后,应该检查其共享库或编码风格,并与企业内部风格进行对比,查看是否有任何共同之处。
企业可以通过监控系统和审查日志中的可疑活动来检查内部攻击(无论是否使用自定义开发的恶意软件),例如检查身份验证在何时何地发生,以及在这些系统哪些文件被访问。CERT也在专注于内部威胁,并提供了内部威胁最佳做法列表来帮助防止和检测内部威胁。
