网安 - 专业的网络安全产业、社区、知识平台

内部威胁风险评估的五个关键步骤

VSole2023-12-21 14:54:19

内部威胁指的是来自组织内部的潜在安全风险和威胁。内部威胁对组织构成了重大风险,因为拥有合法访问权限的个人可能有意或无意中损害系统、窃取数据或从事间谍活动。在2023年,内部威胁已经成为现代企业中普遍存在的安全风险。为了尽量减少内部威胁,组织应实施从内部威胁评估入手的内部风险管理(IRM)策略。

内部威胁风险评估的必要性

为什么内部威胁和风险评估应该成为组织网络安全态势的核心呢?研究人员认为,内部威胁风险评估是一种应对内部威胁挑战的最佳实践方法,通过评估企业组织数据当前防范内部人员的程度,能够提前发现组织可能存在的潜在风险,并评估这些风险的潜在危害性。NIST报告也指出,执行内部威胁分析和风险评估是制定一项有效的内部威胁计划的必要步骤,内部威胁风险评估应该作为企业总体网络安全风险评估的一部分来严格执行。

特别是对于那些需要处理敏感数据的组织,更应该定期评估并持续检测内部威胁风险,主要原因如下:

  • 有利于了解组织的整体网络安全态势。当组织需要评估网络安全现状时,应该将风险评估作为风险管理策略的必要组成部分。彻底的内部风险评估可以暴露现有工作流程的漏洞和网络安全缺口,避免让恶意的内部人员破坏企业数字化系统及应用。
  • 更快检测出潜在的内部威胁。基于内部威胁的风险评估有助于更快检测出由内部用户引发的不安全、高风险事件,包括检测出可疑和恶意的内部网络活动。
  • 加强组织的数据和资产安全。只有知道哪些威胁对组织最危险,才能够确定采用最合适的措施和工具来进行保护,并制定相应的风险缓解计划。
  • 更好满足合规要求。开展统一的安全性和内部风险评估是确保组织内部信息资产安全的最佳实践之一。这种做法一直被NIST和ISO等权威组织强制要求并推荐,有利于更好地遵守HIPAA和PCI DSS等法律和标准。

内部威胁风险评估的关键步骤

对于现代企业组织而言,开展并应用一个高效的内部威胁风险评估能够提前发现内部威胁,从而快速有效地应对内部攻击。在实际应用中,有多种不同的方法来评估企业内部安全风险,这会因组织类型、规模、业务范围和相关的网络安全要求而异。企业在深入地执行内部威胁风险评估时,可以参考以下的关键步骤建议:

1、识别并确定组织的关键IT资产

内部威胁风险评估工作取得成功的关键,就是要首先确定企业组织中最可能被内部人员破坏的所有宝贵资产,并针对这些资产重点进行风险评估。一旦组织确定了关键性资产,就应该根据它们的重要程度进行分类分级。在这个环节,企业可以把注意力集中在以下方面:

  • 对服务器和云服务管理面板的访问。
  • 客户的敏感信息(信用卡数据、地址、电话号码和健康记录等)。
  • 员工的个人身份信息。
  • 关键数字化业务系统和服务(组织网络、管理面板和组织内使用的关键应用程序)。
  • 有关合作伙伴和经销商的上年数据(文件、协议和联系信息)。
  • 商业秘密及其他机密信息。

2、界定可能存在的内部威胁

并非所有内部威胁都来自恶意活动或受攻击账户,大多数的内部威胁是由组织中存在以下行为的合法用户构成的,包括:因为疏忽泄露敏感数据;无意中共享对组织系统的访问权限,错误删除、更改或滥用数据,以及将恶意软件无意中上传到组织系统。

因此,要识别企业内部潜在的威胁风险,可以通过以下问题来思考和发现:

  • 哪些员工拥有经过提升的访问权限?他们使用这些权限做什么?
  • 员工访问组织系统和敏感数据的频次如何?目的是什么?
  • 员工如何存储和处理其密码?
  • 员工是否了解最新的网络安全实践?
  • 员工如何共享其密码(如果他们使用共享的账户)?
  • 系统是否允许员工从不寻常的位置或设备登录?
  • 员工可以将数据复制到来历不明的USB设备吗?

3、确定内部威胁风险的优先级

为了确定风险的优先级,组织需要评估这些风险,并确定哪些风险可能对组织构成的威胁最大,并可能造成巨大损失。组织可以使用风险矩阵来定义每个风险的级别。

企业在评估内部威胁风险,应该优先分析以下四个因素:

  • 面临风险的资产具有的重要性。
  • 威胁的严重程度。
  • 系统受某个威胁攻击的脆弱性。
  • 威胁发生的可能性。

企业还应该考虑当前哪些安全措施可以保护系统远离某种场景的影响。如果出现潜在威胁,发生实际数据泄露或其他事件的可能性又有多大?通过确定最危险、最可能发生的威胁,可以确保组织首先远离这些高等级的威胁。

4、创建风险评估报告

在内部威胁风险评估的过程中,需要将发现的评估结果汇整成详细报告,才可以在风险管理策略的后续阶段帮助简化决策。此外,企业也需要利用风险评估报告向所有员工分享相关的内部风险信息,提醒员工更加留意与风险相关的行为。

内部威胁风险评估报告应全面概述评估过程、已识别风险、风险优先级和可能的后果。同时,企业可以结合以下有效的网络安全最佳实践以降低上述风险:

  • 增强授权和身份验证机制。
  • 执行定期数据备份。
  • 部署数据丢失预防工具。
  • 实施威胁监测和响应机制。
  • 更新网络安全策略和指导方针。
  • 采用用户活动监控解决方案。

5、要持续评估内部威胁风险

开展内部威胁风险评估并不是一劳永逸的活动。由于企业组织的内部威胁是在不断变化,其复杂性和危害性也会不断增加,因此,内部威胁风险评估也应该不断优化并持续开展。特别是在以下情况出现时,应该进行相应的风险评估工作: 

  • 当内部威胁事件真实发生时。
  • 当组织的IT基础设施发生变化,也可能会出现新的安全缺口。
  • 出现新的合规性要求或网络安全技术。
  • 内部威胁响应团队发生变动。
  • 评估计划中明确要求的时间点。

参考链接:https://www.ekransystem.com/en/blog/insider-threat-risk-assessment。

网络安全风险评估
本作品采用《CC 协议》,转载必须注明作者和本文链接
电子政务网络安全风险评估问题发现及保障建议
2019-04-21 07:02:02
近些年,随着统筹协调机制、“互联网+政务服务”、信息资源整合共享等概念的出现和逐步落地,以及数字化、网络化、智能化为特质的新一代信息通信技术(ICT)加快驱动,政府再次转型驶入新型电子政务建设快车道。电子政务领域信息系统也从早期的门户网站、邮件系统、办公系统不断得到创新和运用,网上办公、数据集中、各种业务支撑系统层出不穷。
高效开展网络安全风险评估的六要素
2022-09-30 10:32:15
通过开展风险评估工作,企业组织可以对重要信息系统所面临的信息安全风险进行发现识别和定性评估。企业在开展网络安全风险评估时,必须坚持综合考虑安全事件的后果影响及其可利用性的评价原则。要素1:确定评估范围风险评估应先确定评估的范围。在风险评估工作开始前,需要尽可能全面地了解业务部门的需求和意见,这有助于了解各种网络资产和流程的重要性、风险隐患、评估影响以及对风险的承受程度。
2021年国内网络安全风险评估与总体态势
2021-12-31 13:26:27
2021年,新冠肺炎疫情持续席卷全球,加剧了国际关系和国际格局的大裂变,世界加速步入动荡变革期。
企业网络安全预算场景下的风险量化评估探索与研究
2023-06-16 14:58:51
本文提出 将网络安全风险量化评估与戈登—洛布模型结合 起来分析企业的网络安全预算的收益情况。网络安全风险是指由于网络系统存在脆弱 性,因人为或自然的威胁导致安全事件发生所 造成的损失。网络风险评估就是评估威胁者利 用网络资产的脆弱性造成网络资产损失的严重 程度。一是对机密性的威胁。二是对完整性的威胁。GL 模型使用安全漏洞概率函数作为条件, 这些函数有两种类型,一种是线性型,另一种 是指数型。
安恒信息牵头制定的网络安全保险风险评估标准公开征求意见
2021-12-27 07:03:27
2021年12月24日,中国网络安全产业联盟发布通知,由杭州安恒信息技术股份有限公司牵头制定的《网络安全保险 安全风险评估实施指南》联盟标准已完成征求意见稿,进入为期一个月的征求意见阶段。 目前,网络安全服务提供方与保险机构合作开展网络安全保险业务时,对潜在投保用户的信息系统缺乏有效的网络安全风险评估过程、指标和方法,极大制约了网络安全保险在国内的推广和应用。为规范网络安全保险保前风险评估,安恒信
业界首发!安恒信息牵头制定网络安全保险风险评估标准发布
2022-03-28 07:15:15
联盟标准 | T/CCIA 001-2022《面向网络安全保险的风险评估指引》发布
简析信息安全风险评估的方法与特点
2022-07-20 11:46:48
网络安全是信息化持续发展的根本保障,网络安全中的安全风险评估则是网络安全保障工作的基础性工作和重要环节。在实际应用中,基于资产的风险评估基本要素是资产、威胁和脆弱性,资产清单的识别和赋值准确性很重要,一旦识别出现遗漏或者赋值不准确,则会造成风险结论的遗漏或不正确。其他风险评估方法的探索目前,企业在开展信息安全风险评估时,大多是通过基于资产的风险评估这一较成熟的方法来应用实施。
网络安全多重检测评估分类整合模型
2022-05-13 14:05:04
按照安全保护、安全评估、安全审查 3 个类别,整合 8 项检测评估,允许“向下兼容”,形成“查、评、改”体系,提出了运行机制,实现检测评估集约化。通过加强协同联动共享,避免重复交叉,重点开展高级可持续漏洞风险的检测评估,提升评估管理治理效能,在最优情况下每年可节省资金约为 22 亿元,节省比例为 52.03%。
VSole
网络安全专家