企业如何建立强大的内部威胁程序

Imperva公司最近发布的一份调查报告发现，只有18%的优先支出用于专门的内部威胁计划(ITP)，而25%的支出则专注于外部威胁情报。

企业需要担心的不仅仅是怀恨在心的员工——大多数内幕事件本质上都是非恶意的。在其2022年内部威胁全球成本报告中，Proofpoint和Ponemon Institute发现，粗心或疏忽行为占所有事件的56%，而且这些也往往是成本最高的，平均清理操作成本为660万美元。

修复失败

部分问题在于认知：Forrester报告发现，近三分之一的受访者并未将员工视为威胁。但众所周知，要防止此类事件也非常困难，因为您本质上是在寻求控制对数据的合法访问。减轻这些威胁不仅是为了提高安全性，而且是为了检测用户行为中的潜在危害指标(IoC)，因此，大多数企业依靠员工培训来解决这个问题。然而，如上图所示，仅靠培训往往是不够的。

同一份Forrester报告发现，虽然65%的人使用员工培训来确保遵守数据保护政策，但55%的人表示他们的用户已经找到了规避这些相同政策的方法。其他人表示，他们依靠单点解决方案来预防事件，其中43%使用数据丢失防护(DLP)来阻止操作，29%通过SIEM进行监控(尽管这些系统仍然可以在不检测的情况下泄露数据)。问题是网络安全和员工监控都没有考虑到压力因素，这些压力因素会促使足智多谋的员工诉诸变通办法。

虽然预防总是胜于治疗，但当前应对内部威胁的方法过于重视其方法。因此，如果发现内部威胁(无论是否恶意)，人们对如何处理的关注不足。因此，虽然培训和网络安全控制确实可以发挥作用，但两者都需要成为更广泛的东西的一部分：ITP。

ITP协调不同业务部门的政策、程序和流程，以应对内部威胁。它被广泛认为对缓解内部威胁至关重要，但在Forrester的调查中，只有28%的人声称拥有一个。这样做的原因是许多企业发现建立一个令人生畏。除了让人员参与并制定政策外，企业还需要清点其数据并定位数据源，确定如何监控行为、调整培训计划、开展调查以及如何评估ITP本身定期。

入门

首先，需要一名经理和专门的工作组来帮助指导ITP。成员需要有明确的角色和责任，并同意一套道德准则和/或签署NDA。这是因为有许多与员工隐私和监控相关的法律，以及在制定和执行政策时必须考虑的法律考虑和担忧。工作组的第一项工作将是制定运营计划并制定内部威胁政策的高级版本。

然后，他们需要考虑如何盘点和访问内部和外部数据源，为此，工作组需要熟悉特定数据集的记录处理和使用程序。一旦创建了收集、整合和分析数据所需的流程和程序，应根据数据的用途对数据进行标记，因此可能与隐私调查有关。(有趣的是，据Forrester称，近58%的影响敏感数据的事件是由内部威胁引起的。)

考虑您是否会使用技术来监控最终用户设备、登录等，并通过签署的信息系统安全确认协议记录这一点。潜在的危害指标(IoC)可能包括数据库篡改、公司机密信息的不当共享、文件删除或查看不当内容。当此类行为曝光时，自由裁量权至关重要，任何调查都需要无懈可击且可辩护，因为它可能会导致法律案件。

可防御性的数字取证

ITP还应详细说明企业如何响应和调查事件。考虑调查是否是内部的，在什么时候你需要让外部代理人参与进来，以及需要通知谁。用于调查的数据将保存在哪里?信息将保留多长时间?虽然保留相关信息很重要，但您不希望陷入保留过多信息的陷阱，因为这会增加风险，这意味着ITP还应该与数据最小化策略重叠。

应使用数字取证工具来执行ITP。您需要决定如何主动管理内部威胁，以及这些工具是仅用于分析后还是秘密使用。例如，一些拥有高价值资产的企业会进行扫描，以确定员工离开企业时数据是否被泄露。您还应该确保这些工具能够远程定位端点和云源，即使它们没有连接，并且应该与操作系统无关，以便您可以在Mac和PC上捕获数据。

数字取证确保企业可以快速捕获和调查任何不当行为。例如，它可以确定用于将数据从公司信息资产中泄露到任何设备、端点、在线存储服务(如GoogleDrive或Dropbox)甚至通过社交媒体平台发布的日期、时间和路径。追踪数据后，就可以缩小可能的嫌疑人范围，直到团队获得无可争辩的证据。

无论是调查的方式还是证据本身都必须无可非议且在法律上站得住脚，因为此类事件可能会导致解雇甚至起诉。如果在法律法庭受到质疑，企业将需要证明尽职调查，因此在保护证据处理方面必须有一个法证健全和可重复的流程和适当的监管链。

让员工留在身边

员工的支持也是成功的关键。该政策应在隐私、财务甚至物理影响方面传达妥协的风险，以便员工了解所涉及的风险。但也应该有适当的流程使用户能够报告行为IoC。指南应规定如何以及何时通过特定渠道报告IoC，即通过小费电话线、电子邮件、DropBox等。还应记录意识培训的完成情况。

ITP将需要接受测试，但最好不要与实际事件一起进行。相反，应执行内部威胁风险评估，以确定安全控制和业务流程中的差距，或评估数据泄露的难易程度以及数字取证流程的执行情况。考虑如何将内部威胁管理引入其他安全策略，例如涵盖BYOD的策略，并确保受信任的业务合作伙伴和分包商也接受内部威胁风险评估。

最后，请记住，随着新流程的上线和数据源的添加，该策略将需要适应和改变。这样做的关键是保持准确的数据库存，并确保您的数字取证工具为您提供足够的范围来处理新技术和/或渗透途径，但您也可以将您的计划与您所在行业的其他业务进行基准测试。

实施内部威胁计划的目的是确保不仅企业、其数据或其流程受到保护，而且其员工也受到保护。秘密监控工作流程可以使IoC被更准确地标记，有助于防止事件升级。但是，当不可想象的事情发生并且毫无戒心的员工确实暴露了敏感数据时，拥有已经记录该事件的强大的可防御流程可以更容易地进行数字取证调查并迅速结束任何法律案件。