为了防御外部攻击者,各类组织都花费了大量的人力物力,但很多时候,大家都忽视了一个最大的问题,那就是如何化解内部威胁。这种对于内部威胁的失察,在很大程度上反映了一些组织对自己的员工过于相信,认为他们会尊重组织的知识产权、敏感信息等等这些组织信息。
这种心态当然无可厚非,然而,却歪曲了数据安全的真实性。最近由全球网络安全创新企业及数据损失预防提供商Clearswift,通过某科技与B2B市场研究公司Loudhouse,发布了一项关于企业安全行为的独立调查,揭示了企业应该如何小心地保护自己的数据免受内部威胁。
来自美国、欧洲、澳大利亚等不同国家的500名互联网技术决策者和4000名员工参与了此项调查,其中35%的受访者表示,会在价格合适的情况下出售公司的敏感信息,或存储在受保护的公司服务器上的客户数据。
35%的员工会以合适的价格出售公司信息
根据Clearswift的图表显示,内部人士会搞出各种各样的信息,包括财务报表、产品规格、客户和员工数据、供应链信息和交易记录等等。
企业员工会出售的商业数据类型
不同类型的信息目标匹配的是一个同样多样化的攻击者动机。一些内部人士可能会为了自己的一己私利决定窃取信息,比如为了从公司银行账户取款或为了窃取知识产权出售给竞争对手。其他人则可能怀着破坏自己公司的明确目的,尤其是攻击者表现为破坏合同、勒索高管、或在某些方面对公司进行抹黑时,这种倾向则更为明显。
下图展示了内部人士愿意出售公司信息的各种价位:
出售财务数据的人会接受的价位
区区千元,就有百分之三的员工会出售私人信息,相当于一家高档餐厅的双人套餐的价格。
要是出价万元,就会有将近五分之一(18%)的受访者表示会接受,大约相当于一台高端笔记本电脑的价格。
出价五万元,就会有四分之一的员工会冒着失业和犯罪的风险出售公司数据。
出价达到五十万,35%的员工都会缴械投降,大约相当于一次家庭欧洲度假的费用。
还好多数(65%)的员工表示,他们不会以任何价格出售公司的数据。
这并非骇人听闻,如果你考虑到下面这引起事实,你就会知道这些数据随时都将化为真实存在的威胁:
容易接触到公司关键数据的员工百分比
61%的受访者拥有公司客户数据的访问权限。
51%的参与此项调查者拥有公司财务数据的访问权限。
49%的参与此项调查者拥有公司产品信息的访问权限。
可以肯定的是,虽然我们可喜地看到,有65%的员工不会考虑出售公司信息,但事实上却是超过三分之一的员工随时随地都会对组织构成非常现实的威胁。
“虽然各类机构的人们一向将单位的信息安全视为头等大事,但仍然有相当一部分人图谋利用出售本不属于自己的东西而从中牟取利益。而这些被出售的信息说不定就是单位的命根子。”
内部威胁是组织必须面对的问题,特别是当员工对数据安全持有不同的意见时。根据Clearswift的调查显示,29%的受访者认为,帮助保护自己公司的敏感信息是自己的个人责任,而与此同时,有超过五分之一(22%)的受访者并不认为他们有义务帮助保护企业数据。
职业态度与数据安全
与此同时,另外还有62%的参与调查者称,他们对安全漏洞对行为改变的影响程度重视不够。由于缺乏这种共识,要找出可能意味着内部人士要进行内部攻击的诸多先兆,完全取决于组织。而为了检测这种类型的攻击,防患于未然,组织还应该考虑结合主动威胁情报和日志管理实施一系列的解决方案。
62%的信息安全专业人士认为员工对安全不够重视
“活在对员工的恐惧之中可不是什么好事,尤其是在大多数员工都还可信的情况下。要在其中找到恰当的平衡从来都没那么容易。不过真正理解了问题的根源,加上技术的进步可以对不同威胁采取不同的应对措施,相信一切都可以得到圆满的解决。”