融合UBA技术 落地数据安全内部威胁之道

首页 / 业界 / 资讯 /  正文
作者:安全419
发布于:2023-08-04
关注网络安全威胁的企业往往只关注外部攻击者,并投资于用于保护外围设备、端点、电子邮件和数据的解决方案,虽然这是必要的,但他们通常缺乏保护内部风险的能力,即企业通常无法协调处置来自内部员工的疏忽或恶意行为。



当前,28%的数据泄露是由内部人员造成的,另外72%是由利用自动化、脚本和其他技术窃取数据的外部攻击者组成的,企业需将两端威胁置于同一水平当中,了解如何全面规避风险。本文,将集中讨论内部风险的规避方法,Veriato在一份报告当中就归纳了发现和处置内部风险的方法:
 
步骤1:定义内部风险
 
企业需要首先定义内部风险的含义,企业的生产力、安全性和盈利能力面临许多与员工相关的威胁,每一个不同层面的威胁都会在内部引起不同程度的关注。在企业内部,最需要的是确定哪种内部威胁值得关注,并且判断是否需要监控员工活动,以发现或调查当前威胁。
 
最需要关注的是内部数据窃取和不知情的疏忽两大方面,其中前者,员工可访问企业最具价值的数据,当员工不再效忠于企业利益时,就有可能做出基于自身或情绪上的报复行为。对于大多数试图识别内部威胁的企业来说,最大的挑战就是了解员工的行为和行动。
 
步骤2:监控主要指标
 
在这方面报告引入了UBA用户行为分析概念,在人力资源部门从表象观察到的判断依据之外,如基于个人家庭问题、上下班的时间习惯、是否在找新工作、是否存在绩效考核不满等情绪问题等等之上,UBA解决方案通过监控和分析每位员工的行为,比较当前和过去的行为和沟通,寻找可能表明潜在威胁的异常情况,以便发送警报供其他团队做出响应。
 
步骤3:查找异常活动
 
从定义到监控基于行为的基本威胁,到上升到具体的潜在或明确威胁,报告提示了一些具体的异常活动检测项,如登陆异常、程序使用异常、过度打印、复制敏感数据、创建后门等等。在这方面,两项技术能够帮助到企业,分别是UAM用户活动监控和SIEM安全信息事件管理,其中技术应用的不同各有优势,其中前者在用户行为的可见性方面更优,后者则是一个综合型解决方案,不仅能提供内部威胁的数据溯源能力。
 
相比外部威胁的不确定性,来自内部员工的疏忽或恶意行为相对更加直接,在我国,员工离职后报复恶意破坏公司数据的司法案件就屡次上演,这强调了企业防范内部威胁的重要性。
 
对于大多数试图识别内部威胁的企业来说,最大的挑战是了解员工的行为和行动,当前,国内数据安全赛道绝大多数安全产品都融合了UBA技术,通过用户行为的全面分析和审计,从而落地解决企业的内部安全风险问题。