跳到主要内容

3种应对内部威胁的常见方法以及它们是如何失败的

内部威胁还在继续

多年来,缓解内部威胁一直是大多数安全团队的优先事项。betway365但随着顶级企业领导人认识到,想出如何阻止内部威胁对保护和实现业务增长至关重要,这种做法越来越多地进入了高管层。尽管人们的意识有所提高,但可怕的现实是,内部威胁的问题并没有减缓。内部威胁事件越来越多,而且成本越来越高供公司处理。每周都有一个新的引人注目的案件登上头条,涉及各个行业:美国最知名的两个名字,好时而且可口可乐这些公司正在对窃取商业机密的前雇员进行反击。一名心怀不满的第一资本金融公司工程师将数百万客户记录置于危险之中。苹果深陷与前雇员的各种知识产权盗窃诉讼。即使是数据丢失保护(DLP)领域最知名的公司,迈克菲该公司无法阻止即将离职的员工带着宝贵的商业机密走出公司大门。

内部威胁正越来越频繁地让公司尴尬,并以可衡量的方式损害他们的业务。那么,大多数安全团队都在做些什么呢?betway365

主要的反应是:预防

自然,面对威胁的第一反应是试图阻止它。大多数公司仍处于内部威胁计划的这一阶段——全力防范。传统的DLP是最常见的工具,但由于人工智能驱动的模式识别的令人兴奋的前景,用户行为分析(UBA)等新工具正在得到广泛采用。所有这些预防工具在保护您的数据和业务方面都有价值。但如果单独用于阻止内部威胁,它们最终会失败。让我们来看看三种最常见的内部威胁预防方法,以及它们在现实世界中是如何失败的:

1.全力预防(DLP)

传统DLP的本质是识别正在做错误或有风险的事情的用户,并停止该活动。开门见山:在当今的协作企业工作环境中,你根本无法阻止所有事情。我们鼓励员工创造性地寻找解决工作障碍的方法——他们也创造性地找到了解决DLP规则的方法。技术发展得太快了,这意味着总是有DLP规则没有考虑到的移动数据的新方法。

像DLP这样的预防工具只能查找您告诉它们查找的内容。简而言之,在数据可移植性和用户创造力之间,安全团队无法想到他们需要注意的所有东西。betway365因此,风险从单独预防的方法中溜走了。因为DLP工具不知道自己什么时候被打败了,所以提醒公司数据丢失的不是安全团队,而是法律团队,或者是一个令人尴尬的标题,或者是一年后,当竞争对手推betway365出山寨产品时。betway88help

雪上加霜的是,传统的预防工具不仅不能阻止每一种危险的行为,而且往往还会阻止大量合法的行为。过度补偿严格的DLP政策最终会扼杀用户的生产力、协作和创新——这些影响会对业务造成损害。由于DLP在没有完整上下文的情况下阻塞或标记操作的方式,它通常最终会将授权用户的非恶意操作定义为具有危险意图的用户的恶意操作。这不仅是对安全和用户时间的浪费,还会严重破坏工作场所的betway365文化和信任。

Code42观点:仅仅预防是不够的。

DLP、CASB等防范工具是安全栈的重要组成部分。betway365他们在保护受监管的结构化数据方面做得很好。它们确实阻止了一些最明显和偶然的危险用户操作。但他们不能阻止一切——当一个危险的行动出现漏洞时,仅靠预防的方法会让安全团队盲目行动——无法在损害发生之前发现、调查和应对。betway365

2.关注用户而不是数据

随着安betway365全团队越来越多地认识到严格的DLP策略无法处理不断变化的非结构化数据和动态的创造性用户,以用户为中心的工具(例如UAM、UEBA)越来越受欢迎。这是有道理的:是你的用户实施了内部盗窃;数据不会自动窃取。

问题是用户每天都要做这么多事情,而99%的事情都是完全合法无害的。用户行为工具试图使用人工智能来区分正常和异常行为——理论上听起来很棒。但是这些工具在很大程度上还没有得到验证,而且管理起来和传统的DLP一样复杂。最终,他们让安全团队处理太多的噪音。betway365即使他们正确地区分了正常和不正常的行为,不正常也不是危险的同义词。所以,安betway365全团队仍然被误报负担过重。

但你不能忽视用户监控工具的另一个主要问题:员工隐私。GDPR和CCA等隐私法规的演变使许多用户监控做法受到质疑。然后是老大哥的暗示。毫无疑问,用户监控会损害公司和工作场所文化,破坏员工的信任和授权,而拥抱和支持betway88help新的工作方式可以为企业提供强大的竞争优势。它还在安全团队和用户之间制造了一种有问题的、敌对的关系,危及任何内部威胁程序中最关键的因素——员工的接受和遵守。betway365

Code42观点:重要的是数据,因为最终都是关于环境的

归根结底,以用户为中心的方法之所以失败,是因为一个简单的事实:以用户为中心的工具看错了方向。betway365安全团队并不真正关心员工在网上做什么;他们关心公司数据的作用。betway88help重要的是数据——内部威胁解决方案需要关注数据。

3.剔除数据

对付内部威胁的第三种最常见的方法——也是对“噪音太多”问题的直接回应——是剔除或过滤掉“不重要”的数据。这需要所有人都害怕的数据分类练习——痛苦、耗时和昂贵。但正如前面所讨论的,现实是安全团队不能考虑到所有事情。betway365在这种情况下,实时解释所有有价值和易受攻击的数据越来越不可能。这是因为数据不是静态的——作为现代协作文化的一部分,它在不断发展、移动、共享和迭代。价值和脆弱性随着数据的变化而变化。

当然,公司可以尝betway88help试通过常规数据分类来解释数据的动态性质。但大多数安全负责人betway365在一次数据分类工作的时间和成本上都感到害怕。此外,无论您最近对数据进行了怎样的分类,有价值的非结构化数据的动态性质都使您有明显的可能性,即您被忽略为“不重要”的东西最终对您的业务变得非常有价值。通常情况下,安全团队第一次意识到疏忽是在他们得知有价值的、被betway365忽视的数据被窃取时。到那时,一切都太晚了——他们已经被内部威胁打了个措手不及。

Code42视图:所有数据都很重要。

非结构化数据的快速发展推动了协作文化的发展。企业不再能够区分“重要”和“不重要”数据。他们需要捕捉和监控所有数据,以确保企业最有价值的资产得到持续保护。此外,考虑到我们已经进入了一个真正无限存储的时代,现在剔除分类数据背后的逻辑是有缺陷的。调查和响应的速度基本上是相同的,如果不是更快的话,那么为什么要过滤掉以后可能成为关键数据证据的数据呢?

处理不可避免的内部威胁

如今,各行各业的公司都在努力实现一种充满活力、敏捷、灵活的文化,这种文化鼓励、支持和赋予新的工作方式,并开启强大的创新。在这种环境下,认为不断增加的内部威胁是一个可以完全消除的问题是错误的。事实上,内部威胁是成功合作文化的自然副产品。它对业务构成了严重的威胁——必须积极、勤奋地监控和缓解这种威胁。

预防无疑是内部威胁预防计划的第一步。如果没有某种形式的墙来保护有价值和易受攻击的数据,您的组织将完全暴露在来自内部或外部的攻击之下。但是仅仅预防是不够的。把所有的钱都花在预防上,在安全堆栈上留下了一个巨大的缺口——让你在损害发生之前盲目地调查和响应。betway365

您需要专门构建的数据风险检测和响应

有效的预防工具需要与专门构建的检测和响应解决方案相辅相成,该解决方案旨在提供最重要的东西。你需要一个为合作文化而构建的工具——拥抱并保护它。这意味着工具要专注于真正重要的东西——数据活动,而不是用户的活动。你需要专注于可靠的风险信号,排除杂音。这意味着一种工具可以将你的数据置于上下文中,让你专注于最大的内部威胁风险,比如离职员工和高价值数据。而且因为风险没有降低,你没有时间进行冗长而复杂的推广。您需要一个在几天内部署的工具,并在几秒钟内为您提供所需的可见性。