即将离职的员工是否要打包并带走数据?如何更好地保护企业网络和敏感资料受到内部人员的威胁?
6月,荷兰一家Web托管提供商Verelox不得不完全关停所有服务,防止客户访问其数据和虚拟服务器。
这是勒索软件的另一个案例吗?外部黑客的又一次恶作剧?非也。该公司的棘手局面,完全是被心怀怨恨的前雇员造成的。《国际商务时报》引用Verelox消息称,该前雇员“删除了所有客户数据,清空了绝大部分服务器。”
幸运的是,Verelox几天后便恢复了,没有遗失任何重要数据。但很多同类事件没有这么走运。专家称,企业数据面临的内部人员威胁正在上升。关于怎样最小化内部人员威胁,你应该知道下面这些内容。
了解内部人员威胁背景
员工流动性,承包商的全球分布,对云服务和BYOD日益严重的依赖,开创了内部人员威胁相关安全风险新时代。
远程员工引入的威胁尤其大。某公司高管就曾透露,位于印度的1000名开发人员手握公司源代码,更别提还有在中国的500家承包商,太难准确知道风险是什么了。相比在公司办公室里同事环绕的氛围,在家办公的员工,更容易售卖或利用公司专有资料。
同时,公司企业越来越倾向于将数据存放在云端,而越多数据存放云端,数据被盗的风险就越大。存储的边际成本在今天基本为零,因而公司企业没什么动力去删除数据,只是把所有东西都一股脑存在那儿,也就意味着可偷取的潜在数据比想象中更多。
加之暗网上用户名和口令售卖生意的巨大利润,还有源代码和其他知识产权日益增加的价值,有足够的理由担心在职员工或前员工盗窃公司数据。PCWorld就曾报道过,安全公司Flashpoint发现一名软件公司员工试图以1.5万美元的价格售卖源代码。
当然,并非所有内部人员威胁都是恶意的。BYOD也会成为非故意内部人员数据泄露的主因。比如新入职的员工在其个人设备上仍然保留有上一任雇主的电子邮件系统等等。
内部人员威胁十分现实
研究显示,离职或在职员工数据盗窃案,是个日益严重的问题(可能还是会造成巨大损失的问题)。
Haystax Technology 公司的安全专家在2017年做的一份调查揭示,56%的受访者称内部人员威胁在过去1年中更为频繁了。75%的受访者认为,内部人员数据泄露修复成本可达50万美元。
IBM在2016年做的研究显示,60%的数据泄露都是内部人员所为。这些数据泄露中,75%是恶意的,25%是无意的。威瑞森2017调查报告将内部人员导致的数据泄露比例定得更高,在77%。
埃森哲咨询公司“2016网络安全和数字信誉状态”调查发现,内部人员数据盗窃和恶意软件攻击,是企业安全高管最首要的担忧。大多数受访者(69%)称,自己的公司在过去1年中经历过内部人员数据盗窃或数据破坏(有成功的也有不成功的)。
安全文件共享服务提供商Biscom在2015年的调查中,1/4的受访者承认自己在离职时带走了数据。其中,85%称拿走的是自己创建的资料,并不觉得这有什么不对。而带走资料的人中,95%认为这是完全可能的——因为雇主没有工具或策略来阻止他们,而即便公司确实有策略不允许拿走,他们也会无视这些策略。
预防内部人员威胁,你可以做以下3件事:
1. 自动化设备清除
很多企业使用微软的活动目录(AD)服务集中管理用户账户。员工离职时,人力资源(HR)部通常会撤销该员工的AD记录。该撤销动作应起到触发自动清除该员工设备数据的作用。但出于各种各样的复杂原因,离职员工设备数据清除过程往往是手动处理的。
如果可以的话,公司企业可采用自动同步AD的移动设备管理、身份管理系统和其他安全工具,来触发自动数据清除过程。这有助于防止离职用户继续访问公司数据,尤其是不需要用户定期登出的云服务。比如说,一旦未进行尽职审查,员工就有可能在离职后数天或数周内,继续使用其公司电邮账户。
自动化,是最小化前员工威胁的关键。身份管理解决方案可自动化撤权过程,确保用户离职即删除系统中的账户。
此类解决方案必须配合强有力的内部监管,比如内部审查,以核实账户确实被清除,以及对系统中错漏的发现与纠正有问责。比如未及时跟进离职过程的经理。双因子身份验证也有助于增加重新黑进系统的难度。
2. HR、法务、安全和业务管理联动
理想状态下,企业内部各团队应协作识别内部人员威胁,并阻止此类事件发生。
第一步,是知道都有哪些用户?各用户的角色是什么?他们应该做些什么?知道用户及其应有的权限,用户正常行为模式,是保护自身可采取的最重要步骤之一。
接下来,弄清你的数据。数据都存放在哪儿?谁有权访问数据?数据价值几何?如果能知道数据的价值,就能更好地识别风险,应用更恰当的防护措施。
最后,与HR、法务和业务管理部门协作,更好地连接起安全监视工具与公司内所发生事件呈现的视点。
安全团队未必掌握用户应有行为的上下文,业务经理未必理解安全团队试图抵御的风险。这就是为什么团队间协作对于获取全面视图非常重要的原因。
3. 别忘了人的因素
IT安全落脚在机器、IP地址和网络上的太多太多,却极少关注人的因素。别忘了,每一起数据泄露中都肯定会有人参与,理解这个人在数据泄露前后的所作所为非常关键,这样你才能预测和主动防御,而不仅仅是事后反应。
各级经理紧跟直接报告是非常重要的。经理更容易知道员工什么时候心怀不满,或者承受着财务压力,或者准备离职,而所有这些,都是内部人员威胁的预报器。经理应成为公司预警此类威胁的第一道防线。
相关阅读
二十一世纪14大数据泄露事件
应对数据泄露 安全体系建设是王道
心理分析:检测内部威胁 预测恶意行为
威瑞森数据泄露调查报告10周年:安全事件的进化与趋势
