2017年,我们见证了数起最具破坏性的网络攻击。内部威胁继续领跑大型数据泄露主要原因排行榜。
随着恶意软件即服务的兴起,内部人员如今更能破坏公司的运营,更易于盗取公司数据到暗网售卖。如果缺乏管理层的正确支持,我们几乎不可能预防重大数据泄露。恶意内部人员与危险恶意软件的组合,意味着管理层需要更积极地参与进安全工作中来。
管理层倾向于认为网络安全最好交给IT部门或内部网络安全团队来做。然而,这种思维与当今良好网络安全操作相去甚远。之所以会有这种错误的观念,很大程度上是由于网络安全固有的技术本质;而有关人员和过程的其他方面却被忽略掉了。
本文专注于可改善网络安全中人员与过程方面的最佳管理操作,讨论公司企业可采取何种措施来确保其网络安全始终保持优质水平。
数字资产识别
我们采用的资产概念来自于 ISO 55000 标准。
根据ISO标准,资产就是对企业而言具有当前或潜在价值,且处于企业管理范畴之内的东西。
虽然 ISO 55000 对资产的定义偏重于物理资产管理,但这一定义同样适用于包括数据在内的数字资产。“关键资产”则不仅仅取决于其价值,关键资产是一旦受损就可能会严重损害企业持续运营能力的东西。
当今世界,对任何企业而言最重要的资产就是数据了。
然而,并非所有的数据都同等重要。每家公司都对其客户、合作伙伴、仓储、供应商的数据及其自身运营数据负有责任。流经企业的数据流通常包括金融数据、运营数据、客户个人可识别数据,有时候还会有机密数据。
预防数据泄露的第一步,就是识别并分类这些数据。虽然IT部门了解公司各类系统的运行状况,但他们往往不清楚整体业务运营过程。作为管理人员,这就是你可以发挥作用的地方。
数据往往可被分为如下几类:公共数据、内部数据、机密数据和监管所需数据。必须标明哪类数据与公司哪个过程相关。网络罪犯通常不会试图获取所有类型的数据。有时候他们只想要内部数据,其他时候也可能针对内部数据、机密数据或监管所需数据。但是网络罪犯和内部人员一般都有试图获取的某类特定数据。
内部威胁解决方案
内部威胁是每一家公司企业都面临的一类非常独特的安全问题,需要特定的资源来加以解决。
内部威胁解决方案就是为此而设的。解决方案是全公司范围内施行的一个计划,具备统一的愿景和使命,有各自的角色、职能,还有针对性培训。理想情况下,该方案应纳入人力资源、法务、IT、工程、数据拥有者和各部门主管。但最重要的是,该方案应仅涵盖公司中最可信的个人。
内部威胁解决方案是要建立起相关信息的来源、一系列协议和机制,用以检测、预防和响应内部威胁。其中应包含有方案的使命、详细的预算、监管结构和一个共享的平台。
以上这些还仅仅是方案的构成,方案的执行需要:
1. 合规与过程监管理事会
该组织的存在是要审查公司现有过程并提出修改建议以预防内部威胁。
2. 报告机制
办公室政治、抱团行为和其他很多因素都会阻碍员工报告可疑行为。因此,对可疑内部人员的报告机制应是保密的,以防揭发者会受到报复。
3. 事件响应计划
已发现内部威胁,甚至都有证据证明内部人员导致了数据泄露,此时难道仅仅是炒了他们并向官方举报吗?如果有个内部事件响应计划的话,这些问题就可以有个更为明晰的答案了。响应计划会详细阐明警报的触发、管理和升级步骤。而即便有了这么详尽的步骤,每一步行动和流程仍需引入时间框架。
4. 针对性培训
内部威胁培训是对公司内所有人员的意识培训项目。不过,直接涉及内部威胁方案的人员会接受更有针对性培训,以更好地检测并缓解内部威胁。
5. 基础设施
这一组件很直观,就是用来检测、预防和响应内部威胁的基础设施;支持管理层达成其使命的技术。部署的技术应定期审查,优中择优。
一个典型的内部威胁方案共包含13个部分。上面没列出的还有:言论自由保护、通信框架、内部威胁方案支持策略、数据收集工具、供应商管理和风险管理集成。
安全审查与监视(HR)
招聘员工时,有助防护公司安全的一个预防性措施,就是对应聘者进行背景调查。有些公司常出于节约成本的目的而做此类审查,但在网络安全领域,招聘过程只是人事部门的第一步。
需要特别注意的是应聘者的犯罪前科和来应聘的真实原因。恶意内部人员有时候会是间谍,会表现得像是公司最适合的人选一样,而一旦成功进入公司,就不定会干出什么事来了。
NIST网络安全框架建议,公司企业应为每个职位都赋予一个风险等级。
风险等级越高,对该职位求职者的信任和安全要求就越高。新人员进驻高风险职位时,应有主管人员更紧密地监视其有无高风险行为。另外,任何事件都应被记录在案,并进行行为趋势分析。该过程中可利用行为分析和风险分析技术加以辅助。
HR还应准备好劳动终止协议,以备必须让员工离职时所需。
该协议应要求主管人员进行离职会谈,给出最后的绩效考评,并商讨最后一笔工资数额。IT部门应删除拟离职员工的所有账户。
如果拟离职员工是特权用户,IT部门还要修改所有共享口令。HR需向该拟离职员工再次确认知识产权协议。
健康的工作文化和最小化的压力
主管人员面临着平衡员工压力和生产力的挑战。
通常情况下,经理们会选择生产力;也就意味着会让员工以承受高压为代价来达成业绩目标。而人们承受压力时,各种各样的负面影响开始显现,比如出现更多的失误,接二连三地病倒,还会产生一种被忽视的感觉。
以上点出的这些还仅仅是负面影响的一小部分,而仅仅是这一小部分,已经具备了让玩忽职守问题和恶意内部人员威胁滋生的沃土。为避免这些让威胁滋生的条件,公司企业有必要了解创建健康的工作文化需要先解决哪些紧迫问题。
其中一个问题在上文中已提到:管理生产力与压力水平。其他挑战还包括为员工生产力水平建立基线,理解降低压力的成本和收益。识别这些问题对自家公司的影响,有助于管理层看清可进行哪方面的运营过程改进。
减小压力可能意味着需要实现一种新的管理风格,比如面向工程的任务管理。另一种减小压力的方法或许是理解公司衡量成功的方式,了解关键绩效指标(KPI),并弄清这些因素都是如何影响工作文化的。
不良KPI的例子可以参考帮助中心以接电话数量而不是有无实际帮助到客户作为KPI。如果以电话数量为KPI,那么数量的压力必然驱使员工为达成特定目标而降低客户服务质量,增加不必要的竞争,同时催生更多的错误。
只需简单地将KPI改为实际帮助到的客户,就能改变员工的压力点。员工就可以与客户进行更有意义的互动,也会更愿意小心谨慎些以确保少出错。
上述例子的重点在于采用符合公司环境的KPI。三思而后行,应先确认自身工作文化中的问题的根源,再试图解决之。
供应商管理计划&策略
公司自身或许在努力避免来自员工的内部威胁,但供应商和业务合作伙伴就未必那么尽职了。
于是,你需要一个供应商管理计划,也就是明确自家公司与合作供应商之间责权利的一系列协议。供应商管理计划属于公司管理层的责任。IT部门就那么点儿人手和资源,如果管理层没有在引入供应商之前就设立某些标准,那IT将不得不从有限的资源中再分出一部分来缓解各种漏洞。
此类计划由4个阶段组成:定义、规范、控制,以及集成。
定义阶段涉及确认对公司运营而言最关键的供应商都有哪几家,也就是识别出哪些供应商是公司赖以成功的基石。如果没处理好与这些任务关键型供应商之间的问题,公司的运营可能无以为继,盈利也会受到影响。
规范阶段主要涉及为每家合作供应商制定一个安全联络员。该联络员的职责是维护合规信息,进行审计,协调安全通信,提供培训,记录所有合同和文档,并实施全面监督。
上面两个阶段都履行之后,管理层的重头戏就来了——制定供应商策略和控制措施。
起草供应商策略时,文档中应囊括进审计安全控制的权力,并制定出对供应商在监视、安全性能报告和数据泄露及时通告方面的合规要求。
通过制定这些策略,安全联络员旅行自己职责的时候就有了有力的依据。不过,联络员的成功很大程度上有赖于管理层对供应商的要求,并将这些要求在此一阶段设置为供应商控制措施。
最后的阶段就是集成,主要关注数据收集、分析和验证。
公司应能获取供应链的相关信息。如果缺乏此类数据,公司将无法了解自身整体安全状况。收集来的信息需要集成进公司现有安全操作和审计流程当中。若没有完全集成,供应商管理计划就会流于形式,这可不是想要在网络安全时代取得成功的企业想要的状态。
管理层关键角色
防止内部威胁不仅仅是IT这一个部门的工作。只有管理层对此加以大力支持,公司企业才能更好地防止内部威胁。
管理层可以用来帮助防止内部威胁的方法还有很多,上面提到的一些建议仅仅是其中一小部分。企业中的领导层对过程开发、人员招聘、业务关系和工作文化都具有深远的影响。
这些领域中的任何一个出现了漏洞,公司都将处于内部相关数据泄露的高风险之下。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】