内部威胁指的是来自组织内部的潜在安全风险和威胁。内部威胁对组织构成了重大风险,因为拥有合法访问权限的个人可能有意或无意中损害系统、窃取数据或从事间谍活动。在2023年,内部威胁已经成为现代企业中普遍存在的安全风险。为了尽量减少内部威胁,组织应实施从内部威胁评估入手的内部风险管理(IRM)策略。

内部威胁风险评估的必要性

为什么内部威胁和风险评估应该成为组织网络安全态势的核心呢?研究人员认为,内部威胁风险评估是一种应对内部威胁挑战的最佳实践方法,通过评估企业组织数据当前防范内部人员的程度,能够提前发现组织可能存在的潜在风险,并评估这些风险的潜在危害性。NIST报告也指出,执行内部威胁分析和风险评估是制定一项有效的内部威胁计划的必要步骤,内部威胁风险评估应该作为企业总体网络安全风险评估的一部分来严格执行。

特别是对于那些需要处理敏感数据的组织,更应该定期评估并持续检测内部威胁风险,主要原因如下:

  • 有利于了解组织的整体网络安全态势。当组织需要评估网络安全现状时,应该将风险评估作为风险管理策略的必要组成部分。彻底的内部风险评估可以暴露现有工作流程的漏洞和网络安全缺口,避免让恶意的内部人员破坏企业数字化系统及应用。
  • 更快检测出潜在的内部威胁。基于内部威胁的风险评估有助于更快检测出由内部用户引发的不安全、高风险事件,包括检测出可疑和恶意的内部网络活动。
  • 加强组织的数据和资产安全。只有知道哪些威胁对组织最危险,才能够确定采用最合适的措施和工具来进行保护,并制定相应的风险缓解计划。
  • 更好满足合规要求。开展统一的安全性和内部风险评估是确保组织内部信息资产安全的最佳实践之一。这种做法一直被NIST和ISO等权威组织强制要求并推荐,有利于更好地遵守HIPAA和PCI DSS等法律和标准。

内部威胁风险评估的关键步骤

对于现代企业组织而言,开展并应用一个高效的内部威胁风险评估能够提前发现内部威胁,从而快速有效地应对内部攻击。在实际应用中,有多种不同的方法来评估企业内部安全风险,这会因组织类型、规模、业务范围和相关的网络安全要求而异。企业在深入地执行内部威胁风险评估时,可以参考以下的关键步骤建议:

1、识别并确定组织的关键IT资产

内部威胁风险评估工作取得成功的关键,就是要首先确定企业组织中最可能被内部人员破坏的所有宝贵资产,并针对这些资产重点进行风险评估。一旦组织确定了关键性资产,就应该根据它们的重要程度进行分类分级。在这个环节,企业可以把注意力集中在以下方面:

  • 对服务器和云服务管理面板的访问。
  • 客户的敏感信息(信用卡数据、地址、电话号码和健康记录等)。
  • 员工的个人身份信息。
  • 关键数字化业务系统和服务(组织网络、管理面板和组织内使用的关键应用程序)。
  • 有关合作伙伴和经销商的上年数据(文件、协议和联系信息)。
  • 商业秘密及其他机密信息。

2、界定可能存在的内部威胁

并非所有内部威胁都来自恶意活动或受攻击账户,大多数的内部威胁是由组织中存在以下行为的合法用户构成的,包括:因为疏忽泄露敏感数据;无意中共享对组织系统的访问权限,错误删除、更改或滥用数据,以及将恶意软件无意中上传到组织系统。

因此,要识别企业内部潜在的威胁风险,可以通过以下问题来思考和发现:

  • 哪些员工拥有经过提升的访问权限?他们使用这些权限做什么?
  • 员工访问组织系统和敏感数据的频次如何?目的是什么?
  • 员工如何存储和处理其密码?
  • 员工是否了解最新的网络安全实践?
  • 员工如何共享其密码(如果他们使用共享的账户)?
  • 系统是否允许员工从不寻常的位置或设备登录?
  • 员工可以将数据复制到来历不明的USB设备吗?

3、确定内部威胁风险的优先级

为了确定风险的优先级,组织需要评估这些风险,并确定哪些风险可能对组织构成的威胁最大,并可能造成巨大损失。组织可以使用风险矩阵来定义每个风险的级别。

企业在评估内部威胁风险,应该优先分析以下四个因素:

  • 面临风险的资产具有的重要性。
  • 威胁的严重程度。
  • 系统受某个威胁攻击的脆弱性。
  • 威胁发生的可能性。

企业还应该考虑当前哪些安全措施可以保护系统远离某种场景的影响。如果出现潜在威胁,发生实际数据泄露或其他事件的可能性又有多大?通过确定最危险、最可能发生的威胁,可以确保组织首先远离这些高等级的威胁。

4、创建风险评估报告

在内部威胁风险评估的过程中,需要将发现的评估结果汇整成详细报告,才可以在风险管理策略的后续阶段帮助简化决策。此外,企业也需要利用风险评估报告向所有员工分享相关的内部风险信息,提醒员工更加留意与风险相关的行为。

内部威胁风险评估报告应全面概述评估过程、已识别风险、风险优先级和可能的后果。同时,企业可以结合以下有效的网络安全最佳实践以降低上述风险:

  • 增强授权和身份验证机制。
  • 执行定期数据备份。
  • 部署数据丢失预防工具。
  • 实施威胁监测和响应机制。
  • 更新网络安全策略和指导方针。
  • 采用用户活动监控解决方案。

5、要持续评估内部威胁风险

开展内部威胁风险评估并不是一劳永逸的活动。由于企业组织的内部威胁是在不断变化,其复杂性和危害性也会不断增加,因此,内部威胁风险评估也应该不断优化并持续开展。特别是在以下情况出现时,应该进行相应的风险评估工作: 

  • 当内部威胁事件真实发生时。
  • 当组织的IT基础设施发生变化,也可能会出现新的安全缺口。
  • 出现新的合规性要求或网络安全技术。
  • 内部威胁响应团队发生变动。
  • 评估计划中明确要求的时间点。

参考链接:https://www.ekransystem.com/en/blog/insider-threat-risk-assessment。