研究表明,超过一半的组织很难检测到内部人员窃取数据或发动的恶意网络攻击。
安全智库波耐蒙研究所(Ponemon Institute)和网络安全公司DTEX Systems的研究表明,超过一半的公司很难御防内部攻击。
在许多情况下,准备实施攻击的内部人员会遵循一系列的活动模式,包括侦察、规避、聚集、混淆和外逃,所有这些都可能是内部威胁的迹象。
但由于缺乏有效的监控、控制和实践,企业在每个阶段都很难发现内部威胁的迹象。
波耐蒙研究所(Ponemon Institute)董事长兼创始人拉里•波耐蒙(Larry Ponemon)表示:“绝大多数安全威胁都遵循攻击的活动模式或顺序,内部威胁也不例外。”
许多安全专业人员都已经熟悉了洛克希德·马丁(Lockheed Martin)公司的网络杀伤链和MITRE ATT&CK框架,两者都描述了攻击的不同阶段和外部攻击者所使用的战术。但由于人类行为比机器行为更微妙,所以内部攻击的路径会略有不同。
没有发现内部威胁的一个关键原因是,人们不清楚谁负责控制和降低风险。15%的受访者认为,首席信息官或企业负责人应该对此负责,而15%的受访者认为,在这个领域,没有人应该负责最终的责任——这意味着管理与检测风险和威胁可能会被忽略。
有几个因素使网络安全风险的检测(包括内部威胁)变得困难。超过一半的企业表示缺乏应对内部威胁的专业知识,而不到一半的企业表示缺乏预算,而且向远程工作的转变也加大了降低网络安全风险的难度。
公司检测内部威胁的最好的方法是提高员工的工作能力,并改善企业的安全状况,以及指定一个明确的权限控制。
DTEX Systems首席客户官古睿(Rajan Koo)表示:“我们的研究结果表明,想要充分了解内部事件,了解人们行为的细微差别是至关重要的,因为人的因素是这些风险的核心。”(本文出自SCA安全通信联盟,转载请注明出处。)