国外VPS主机测评
根据美国国家标准与技术研究所(NIST)的定义,内部威胁防护计划是一种有效的方法,可以发现组织内部安全威胁的早期迹象。通过集中管理下的多种安全能力的协调,旨在提前检测和防止敏感信息的违规泄露。内部威胁防护计划也常被称为内部威胁管理框架,主要包括异常行为监控、威胁事件检测、安全事件响应和内部威胁防护意识培训等措施。
对于现代企业组织来说,创建和应用高效的内部威胁防护计划具有以下优势:
减少内部攻击的损失。内部威胁防护计划可以最大限度地提高组织快速检测和阻止安全攻击的成功率,减少内部人员可能造成的威胁和损害。符合标准、法律和法规。随着网络安全成为国家安全的重要组成部分,各国监管机构制定了相对完善的法律、行业IT标准和法规,明确要求企业加强内部威胁管理,防止相关事件发生。提前发现内部威胁。检测内部威胁比检测外部攻击更具挑战性,内部威胁保护计划有助于组织在威胁转化为真正的攻击并造成实际伤害之前发现它们。快速有效地应对内部攻击。内部威胁保护计划应准确描述缓解内部威胁的具体流程、工具和人员。通过这些系统和知识,所有员工可以更有效地应对各种可能的网络安全事件。
为了帮助企业更好地制定和应用内部威胁防护计划,安全研究人员梳理和总结了构建内部威胁防护计划时的重点任务列表:
01制定计划前的准备
内部威胁防护计划成功的关键在于是否做好了充分的准备,这可以为组织节省大量的时间和精力。在编制计划时,组织需要全面收集和整理当前的网络安全措施、要求和涉及的人员,明确定义希望通过计划实现的任务和目标。
以下是组织在计划和准备时应该完成的主要任务:
评估组织当前的网络安全措施;研究机构需要遵守的法律法规要求;定义内部威胁计划的预期目标;列出与保护计划相关的所有利益相关者。
02进行内部风险评估
在制定内部威胁保护计划时,组织首先需要定义哪些敏感资产需要保护。这些资产可以以实物形式存在,也可以以虚拟形式存在,比如客户信息、员工数据、技术秘密、知识产权等。内部威胁风险评估是检测此类资产及其可能面临的威胁的最有效方法之一。它可以帮助组织形成网络安全状况的全景图。进行内部风险评估时,通常包括以下步骤:
识别潜在内部威胁的来源;发现网络系统存在的安全隐患和漏洞;创建高风险、高价值资产清单;识别风险,评估内部威胁的可能性和优先级;将结果传达给所有利益相关方,并帮助员工提高风险意识。
评估制定计划所需的资源
制定一个高效的内部威胁防护计划会面临很多挑战,所以在开始之前,需要充分认识到这类计划的实施不仅可以得到网络安全部门的支持,还需要公司各种资源的支持:
管理资源:需要获得组织各部门的认可和支持,通过管理手段让他们配合并参与内部威胁防护计划的制定;技术资源:该计划依靠先进的工具来保证落地,因此需要部署专门的内部威胁管理软件,并重新调整现有的网络安全解决方案和基础设施;财务资源:组织需要为购买网络安全软件和聘请全职专家预留足够的资金预算。
通过准备必要资源的清单,这将有助于更好地向公司管理层报告计划并获得其批准。
得到高层的支持。
完成上述计划的准备和制定后,要通过目前收集的各种信息,取得公司管理层对实施计划的支持。计划中的关键利益相关者通常包括首席执行官、首席财务官、CISO和CHRO。
为了获得他们的认可和支持,计划者应该准备一个清晰的案例,清楚地展示实施内部威胁保护计划的必要性和价值,使他们充分了解内部威胁保护计划如何有效地帮助公司的所有部门实现其发展目标。
创建内部威胁响应团队。
内部威胁响应团队主要由负责内部威胁管理所有阶段的员工组成。与普遍的看法相反,这个团队不应该只由IT或安全专家组成。它应该是跨职能的,并拥有迅速果断行动的权力和工具。
创建内部威胁响应团队时,需要明确以下任务:
内部威胁响应团队的任务;团队领导和团队内部的管理报告系统;每个团队成员的职责;团队用来应对内部威胁的策略、流程和工具。
06确定内部威胁检测措施
内部威胁的早期检测是最重要的保护手段,因为它可以实现快速响应并降低补救成本。为了有效地检测内部威胁,组织需要:
监控每个用户的活动,并收集其系统操作的详细日志。安全监控有助于安全人员审查可疑对话、调查事件并实时评估整体网络安全状况。控制用户对敏感资源的访问。这可以帮助组织防止未经授权的访问,并检测可疑的访问尝试;分析用户行为并发现威胁的早期迹象。用户和实体行为分析(UEBA)是一个有效的工具。通常,人工智能算法用于分析正常的用户活动,为每个用户创建行为基线,并在发现异常行为时通知内部威胁响应团队。
07优化事件响应策略
为了对检测到的内部威胁迅速采取行动,应急响应团队必须找出常见的内部威胁攻击场景。关于内部威胁应对计划,最重要的是该计划应切合实际且易于实施。不要试图用一个计划涵盖所有可能的情况,而是制定几个具体的计划来涵盖最有可能发生的事件。内部威胁事件的响应流程应包括:
威胁事件的分析和描述;技术和非技术威胁指标分析;威胁因素分析;事件缓解策略和流程;事件分析文档和描述。
08事故调查和补救措施
为了有效管理内部威胁,该计划需要明确定义调查内部安全威胁的程序和可能的补救活动。事故调查通常包括以下行动:
收集与事件相关的各种数据,如查阅UAM记录的用户对话,采访目击者;评估事故造成的伤害;充分收集相关追溯和取证活动的相关证据;必要时,尽快向上级官员和监管机构报告事件,获得更多帮助。
09员工安全意识培训
为了真正实施内部威胁防护计划,需要确保组织的所有员工都能充分理解该计划的关键规则,并提高他们对网络安全的整体意识。尽管安全意识培训课程的内容取决于不同组织中使用的安全风险、工具和方法,但在任何培训期间,您都应该确保:
明确解释实施内部威胁计划的原因,并涵盖最近的内部攻击案例及其后果;分享常见的员工内部威胁活动,引起对可能的疏忽和恶意行为的注意,并了解社会工程攻击的示例;让员工知道,如果他们发现线索或遇到来自内部威胁的损害,他们应该首先联系谁。
需要强调的是,企业应该充分认识内部威胁意识培训的有效性。为此,组织可以对员工进行面试,准备测试或模拟内部攻击,了解员工在培训中学到了什么,以及在以后的培训课程中应该注意和改进的地方。
定期检查和更新计划。
创建高效的内部威胁防护计划不是一劳永逸的事情。内部威胁是不断变化的,其复杂性和危害性也会不断增加。因此,内部威胁防护计划也应不断优化,以保持效率。确保至少在以下情况下检查您的计划:
内部威胁事件发生时;有新的合规要求或网络安全技术;内部威胁响应团队已经变更;计划中明确要求的时间点。
参考链接:
https://www.ekransystem.com/en/blog/insider-threat-program/
评论前必须登录!
注册