构建内部威胁程序时的关键考虑事项

认识到内部威胁所带来的日益增长的风险，并致力于建立一个专门的内部威胁计划(ITP)，这是一个充满挑战的旅程的开始，但最终将使您的公司更安全，更有弹性。betway88help在设计和构建程序时，目标是使您的团队能够分析、评估并对潜在的内部威胁采取行动。最有效的方案是能够有效实施和持续的方案。当您开始构建或完善内部威胁计划时，请关注组织中独特的机会和挑战。没有适合所有人的完美程序模板。最适合您的方案将基于您的目标，安全优先级和资源。betway365这里有一些关键的考虑可以帮助你在旅途中。

成功的内部威胁项目依赖于不同级别和职能之间的团队合作。事先确保领导权是很重要的。任命一个主管领导支持项目，推动优先级、预算和组织支持。这将有助于从其他职能部门获得对项目的支持，并有助于促进与其他涉众的合作。对于运营管理，可以考虑任命一名ITP高级官员．通过创建一个高级职位来领导战略和管理团队来确定项目的优先级。给这个人一个和同事一起讨论的机会，让他有权就项目目标、流程、人员配备和技术做出决定。最后但同样重要的建立一支具有数据保护、端点和网络安全、事件响应、取证和合规等技能的主题专家团队。betway365你的ITP核心团队将是你计划的战术基础。

人为干预和响应:传统IR或SOC响应与内部威胁之间的区别

内部威胁的表现形式和处理方式与其他传统网络安全威胁不同。betway365事件响应手册、编排和自动化都是解决特定问题的优秀工具。但对于内部威胁，重要的是要了解调查和补救工作流程与其他类型的响应有何不同。由于内部威胁是一个人的问题，由你自己的员工犯下，准备好以人为本的回应。许多调查将涉及与人力资源、法律和其他部门的协调或会议。最终，还得有人和员工谈话。在您的组织中，有谁愿意与故意窃取知识产权的人坐在桌子对面?正确的问题是什么?如果他们说谎，你怎么办?想想“培训和实践”，而不是“自动化和编排”。

选择你的战斗，战胜你的怀疑论者和批评者

内部威胁涵盖了广泛的风险。许多资源或指南可能具有比您的组织所需的更广泛的范围或更复杂的方法。基于你的目标，明确定义你的程序的成熟度或能力的几个阶段。可以从最简单的用例或最基本的用例开始。使用初始阶段来测试和细化流程。并非所有人都同意内部威胁计划的必要性或规模。涉众之间对于工具、过程、角色和责任也会有不同的意见。从小事开始，专注于眼前的价值，展示快速的胜利，然后买进。考虑你的程序如何为组织其他领域(如人力资源、法律)的任务和优先级提供洞察、数据和支持。通过向其他利益相关者展示内部威胁程序的价值，您可以将对ITP的看法从常见的负面刻板印象——昂贵、冗余、老大哥——转变为一个好的ITP可以成为有价值的业务和安全推动者。betway365

清楚地定义您的用例

内部威胁涉及多种风险载体。您打算覆盖的内容越多，您的程序就越复杂，成本也就越高。如果您的资源有限，团队较小，或者安全专业知识有限，请考虑缩小内部威胁用例的范围。betway365情报与国家安全联盟(INSA)将内部威胁定义为:betway365

“由有权或曾经有权进入信息、设施、网络、人员或资源的人构成的威胁;以及有意或无意地实施违反法律或政策的行为，导致或可能导致损害，造成政府或公司信息、资源或能力的损失或退化;betway88help或者做出破坏性行为，包括在工作场所对他人造成身体伤害。”（内部威胁的类别, 2019)

这一定义的制定者由具有数十年经验的公共和私营部门安全专家组成，他们有意为我们提供了一个非常广泛的考虑范围。betway365考虑分阶段启动您的计划，从最紧迫的用例(例如，离职员工、远程工作人员、高风险员工)开始，随着团队的流程和能力的成熟，扩展这些用例的范围和复杂性。

设计和构建内部威胁程序的最有效方法之一是从您试图预防、检测或响应的内部威胁风险故事线开始，并从那里开始工作。把它想象成你在为一个内部威胁间谍电视节目写剧本。每一集都是你的剧本。角色是谁?谁是主角，他们的动机是什么，他们采取了什么行动?为每个风险构建这些叙述有助于定义解决它们所需的政策、流程和技术工具。它还有助于避免范围/规模蔓延，这样你就可以保持ITP精简、专注和深思熟虑。

Pro-tip:为您的任务选择和部署正确的工具。不要“过度工具化”程序。你希望你的分析师花时间调查、识别和降低风险——而不是配置工具、不断更新规则集或修复损坏的端点。

开发你的流程，调查工作流程

当你找到了什么(你会的)，然后呢?这部分经常被忽视和低估。事实上，许多itp最终停滞不前，因为它们缺乏有效的流程来管理产生的警报和调查的数量。首先，确保你已经写了一份全面的剧本，说明你的ITP的日常运营将如何从调查到升级、分类到报告和指标。你们将如何管理调查数量并有效地扩大项目规模?随时准备增加调查和应对能力。试着确定你的员工流动率，为离职员工应用普遍接受的数据泄露行业统计数据，预测你的案例负载，并对你的流程进行压力测试。与所有涉众一起进行实时模拟，以查看可能出现的缺口或瓶颈。鼓励参与者提出“如果”的问题——即使你不能预测每个变量，你在模拟中测试的场景越多，你在现实调查中准备得越充分。

深入挖掘数据

您的内部威胁计划可以在组织的许多领域推动建议和变革。ITP最有价值的方面之一是它提供的可见性:一个优化的ITP是照亮公司黑暗角落的手电筒。betway88help除了配置您的程序以处理特定的用例外，您还可以设置您的程序以更普遍地帮助实现可见性和发现。数据流向何方?员工使用哪些云应用程序?业务的哪些部分访问或使用某些文件?在编译数据和指标时，您可以将它们与现有的政策和流程进行比较，以查看它们的有效性—以及您的员工是否遵循指导方针。

内部威胁程序具有独特的定位，可在以下几个领域识别组织风险:

策略和遵从性违反:内部威胁案件的性质将揭示哪些政策没有被遵守。例如，如果您的公司有一个政策概述了可接受的betway88help备份解决方案，但您发现大量情况下，人们使用个人云存储站点作为工作机器的备份，那么它为您提供了一个起点，以找出公司政策和员工行为之间的脱节。使用未经批准的应用程序，包括我们已经看到的向云协作工具的大规模转变，通常会使组织面临重大风险。然而，这也经常表明企业it系统没有提供正确的工具，以使员工尽可能高效地工作。
betway365安全控制漏洞:在某些情况下，您可能会识别出风险大到需要实施额外安全措施或控制的行为。betway365例如，开发加密和与客户或业务合作伙伴共享敏感信息的方法。
betway365安全培训和意识需求:分析案例的“人口统计数据”将帮助您更好地了解整个组织的培训和教育需求。例如，如果某个特定部门或业务单元的员工不断违反政策或错误处理数据，您可以与人力资源部门、业务领导和其他人合作，针对这些领域进行额外的沟通和培训。

清楚地了解员工如何使用(或滥用)数据有助于推动组织中的行为和文化变革。如果你有一个云协作政策，但你可以用数据和指标证明很大比例的员工没有遵守政策，你可以向高级领导层提出改变的建议(例如，更好的培训和沟通，执行结果，开发更简单、更有用的工具或政策)。除了围绕内部威胁的离散用例外，ITP还可以帮助识别和量化组织风险，并帮助目标领域进行改进。