内部威胁的防范难题

近年来,各类型的组织机构在信息安全、网络安全与数据安全方面面临着各种各样的逆境和挑战。疫情大流行改变着人们的生活和工作方式,进而改变着组织机构的数据安全需求。随着数字资产价值和数量的不断增加,内部人员泄露或窃取敏感数据的风险也越来越大。据有关机构统计,内部威胁现在占所有安全事件的23%。内部威胁的范围比人们想象中的要普遍,58%的公司企业认为安全事件的起因源于内部人员。64%的安全事故都是由内部人员疏忽引起的,而23%与内部人员犯罪有关。

在国内,内部威胁更多被认为是违法乱纪行为,对于官场人员来讲,应该不陌生,即使是疏忽大意造成的事故,也有“玩忽职守罪”或者“过失犯罪”。对于有心想干出点业绩却不少心因此而倒霉的国家机关工作人员,特别是官员来讲,这些罪名显然是“追责过度”,极不合理的。更有意思的是,面对同样的“过失”,有些人员有些时候能“躲过一劫”,而另一些人员在另一些时空则会成为“阶下囚”,这表明,违法与否的认定,存在很多主观判断因素。对此,昆明亭长朗然科技有限公司网络安全专员董志军补充称:我们不是说法律本身不公平,而是说在“内部威胁”的认定和处理领域,缺乏足够详细和透明的评判机制,进而给“徇私枉法”者留有相当大的空间。在这种状况下,必定有嗅觉敏感的投机官员借机来打击异己、培植亲信、结党营私。因此,除了事件本身的直接影响外,内部威胁的影响余波还伴有系列的人事组织风险,严重到会威胁国家安全。

说到国家安全,不得不说到防间谍,有来自外部的间谍人员,也有来自内部的“汉奸”,不排除有一些主动吃里扒外的“内奸”,然而更多的则是无意中泄露国家秘密或被设计“圈套”利用的,或者是在被动中由于疏忽大意而被策反的。十几亿国民有上亿党员干部,不管如何,总会有一定数量的叛徒出现。然而,即使是微小的概率,也可能“一颗老鼠屎,坏了一锅汤。”

对于公司企业来讲,管理层及雇员们滥用职权,内鬼作案,恶意操作,内外勾结,引狼入室等等情形也很常见。如果资方没有足够的措施,那么管理者及雇员们可能会肆无忌惮地疯狂作案,给公司企业带来重大损失,直到掏空公司,甚至让公司负债累累。即使是上市公司,高管利用职务之便,借助特权和信息优势,搞内幕交易、职务侵占、贪污受贿、欺诈作假等情形也是非常普遍,当然这些高层“内鬼”多数是“知法犯法”,想要他们提高道德水平与自律能力,显然是痴心妄想,不懂人性的天真想法。

因此,我们有必要,从网络安全领域,讨论组织机构如何增强其安全性并减少恶意或疏忽内部人员的威胁。从网络安全方面看,内部威胁可能导致专有信息和知识产权的损失。与攻击相关的系统停机时间会对公司的正常生产产生负面影响。此外,数据丢失造成的客户伤害会降低公司的商业形象和信誉度。

我们偶尔会从媒体上看到,某些IT人员在离职之前,向关键信息系统中放置“逻辑炸弹”,数月甚至一两年后,“炸弹”爆炸,导致重要数据被删除,IT人员出了一口“恶气”,也为之付出了巨大的代价。由心怀不满的员工故意窃取数据或者破坏系统(使系统无法使用)的原因和动机有很多,对薪资、职位的不满,认为受到主管或公司的不公正待遇,与某些同事关系不佳,产生敌意等等因素,都有可能。非常不幸的是,如果威胁是恶意的,则很难预防。这是因为:心怀不满的员工很可能已经拥有系统和数据的特权,这是他们日常工作的一部分。

如果我们分析多起安全事件,就会发现事实证明,执行有害或危险活动的合法用户总是比典型的外部威胁更难被发现。尽管大多数内部威胁都是无意的,而且通常是偶然发生的,但它们造成的损害仍然会影响业务成果和稳定性。虽然恶意内部人员构成了实实在在的危险,但许多内部人员威胁是无意错误造成的:比如单击导致网络钓鱼攻击的URL,意外将机密通过电子邮件发送给错误的收件人,或者将笔记本电脑遗忘在了公共交通工具上。

尽管外部风险水平较高,但组织最大或最直接的网络威胁可能来自内部。由于无意的失误,通常是由于过时的安全系统或软件版本未及时更新,公司员工经常卷入重大数据泄露或者加密勒索事件。这些通常不是故意的,而是缺乏普遍的最佳安全实践而导致的不良结果。在认识到问题的严重性后,重要的是要保持对这种风险的高度认识并认真对待这些威胁。当检测到异常行为时,应将其视为可能的攻击,存在各种内部威胁指标,防范它们的关键步骤是识别这些迹象并为员工设定正常阈值,并及时发出警示,比如未及时安装软件更新的弹窗消息,设置计划任务之前的安全警告等等。

安全意识对于预防内部威胁至关重要。由于《网络安全法》、《数据安全法》、《个人信息保护法》等等很可能在接下来的几个月和几年内更加细化,员工可能会获得更多对客户个人数据的访问权限,因此需要充分了解安全政策及法规的所有后续细化。总之,有效的安全意识培训和教育,对于遏制内部威胁显得非常重要。通常,这种威胁源于不知情的、非恶意的员工犯了简单的错误。使用引人入胜资源内容,定期进行网络安全意识培训是将这种内部风险降至最低的最佳方式。

一方面,组织机构需不断强化安全团队的内部威胁侦测及防范能力,为信息安全团队提供培训、配置和监视计算机系统、网络、移动设备和备份设备的培训。

另一方面则是定期培训员工网络安全意识,向员工们定期提供培训,以告知他们如何处理安全风险,例如网络钓鱼和保护他们在笔记本电脑和移动设备上携带的公司外部数据。最重要的是要告知员工从事恶意活动的后果。

内部威胁(间谍、内贼)是一个可大可小的话题,随着法制的逐渐健全,相信这个问题会得到国家层面的重视。为帮助广大客户在信息安全方面教育员工,以确保将组织中的内部威胁降至最低,昆明亭长朗然科技有限公司推出了大量的网络安全、信息保密及合规意识宣传教育内容,包括动画视频、平面图片和电子课件等各种形式的内容资源,其中也包含网络安全小游戏,以及互动式、场景式、案例式的教程模块,以及稳定可靠的在线培训平台(学习管理系统),欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品、体验平台的功能以及洽谈采购合作。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com

等保整改及护网行动也难以改变的困局

不管从宏观的社会层面,还是微观的机构层面,内部威胁通常会将组织置于高危的风险之中。人为失误很容易导致组织的崩溃,小到客户的流失,大到政权的灭亡,无不例外。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:人性的弱点深入骨髓、透进基因。人类文明不断演进,悲剧历史不断重演,原因在于人性的弱点依旧。制度文化的建设越来越稳固,而对制度无知、漠视、规避的情形一点都不见少,原因仍是人性的弱点。在网络安全领域,放眼全球,粗心或无知的员工仍然是造成严重安全事故的首要原因。

网络安全威胁将永远伴随着利益的博弈而存在,昨天玩的是系统安全,今天斗的是数据安全,明天拼的是业务安全。可以说威胁是越来越复杂、高级、智能,危害也越来越大。因此,国家将网络安全上升至国家安全的战略层面,企业也视网络安全为业务持续性的重要部分。不能忽视培训其员工面对网络安全的威胁和最佳实践的首要意义。在网络安全治理方面,国家花了大功夫,不断出台法规与制度,并搞出了一些大型项目和计划,比如网络安全法、等级保护、网络安全宣传周以及护网行动等等。

网络安全威胁不仅仅是病毒等恶意软件或脚本小孩,而是有组织的国家级的犯罪集团,特别是大型网络间谍和情报组织,不仅渗透政府机关高层和盗窃商业机密,还借助网络发动文化意识形态方面的入侵。为保国家安全、社会稳定与人民福利,在核心领域如关键信息基础设施领域实施等保整改及护网行动等等,是十分必要且紧迫的工作。然而,这些“运动”的效力如何呢?一家央企行业巨头的网络安全负责人称:尽管搞这些“运动”是自上而下“被迫”的,然而我们却非常欢迎,进而积极参与其中。网络安全“运动”的成果是显而易见的,我们发现了很多安全问题并进行了整改,包括修复了一些系统安全漏洞。

说到底,任何“运动”都会让一些人从中获得一些好处,网络安全“运动”也不例外,有“运动”得有预算,就得有交易。红蓝对抗表面上是在通过搞攻防演习发现安全漏洞,实际上是一群菜鸟工程师在进行低级的安全漏洞扫描以及昂贵的渗透测试表演。应急演练更是成了彰显网络安全管理“成就”的秀场,可笑的是,即使事先排练好要给领导看的,也常常会造成临时的意外事故。究其原因,不是搞“运动”的错,“运动”的出发点是好的。此外,不管做什么事,成绩肯定是有的,通过“运动”发现技术弱点或管理漏洞等安全问题并解决问题,就是可以秀的成绩。然而,真正的问题并不是通过“运动”发现安全弱点或漏洞,这些安全弱点或漏洞本应在日常工作中发现并解决。为何要等到搞“运动”和借用“外力”呢?表面上看,这个问题的答案似乎在于内部安全力量的薄弱,然而,其范畴远远超出内部专业人员的安全水平,而是包括全体人员在内的一个整体。因此,不要希望针对专业人员搞搞安全技术和管理知识培训就可以高枕无忧了。从某种意义上讲,正是内部威胁的强大,压制着内部安全力量的提升,要靠“外力”不能说是徒劳,但可以说解决不了根本。就比如对于人体来讲,不通过内部肌体的锻炼强化,仅靠外部食药进补,就想获得健康,必然是不够的。

内部威胁是内部安全力量体味最深却最不想面对的,反腐常讲一句话,就是要“刀刃向内,刮骨疗毒,自我革命”。网络安全亦是如此,根源问题是内部威胁,需要强化内部网络安全管理。在这方面,外部的“供应商”的核心目的是搞钱,他们有多大动力和能量,能搅动出多大的波澜?对于内部威胁,网安人越是逃避,他们就越强大。因此,要积极面对,迎难而上。不是东风压倒西风,就是西风压倒东风。经历痛苦,走过转折点,坚持推进,就是胜利,乘胜追击,巩固成果。不要看动动嘴皮,说起来容易。需知,内部威胁不仅仅是孤立的,通常会被外部威胁所利用,甚至“内外勾结”串通起来。同时,内部威胁并非外部敌对势力,内部威胁带来的网络安全问题只是人民群众之间的内部矛盾,并非你死我活的阶级矛盾,所以,要成功应对,需要一定的智慧和手腕。切记:网络安全人员的秘密工作武器不是搞整风等政治运动,最稳妥的方法就是对内部员工们进行持续的网络安全教育,将其头脑用网络安全知识武装起来,赋予其网络安全常规技能,进而将网络安全方面的无知者转变成为智者和斗士。

那么,员工如何应对旨在窃取数据或任何其他有价值信息或服务的高技能犯罪分子、恶意黑客甚或国家级的网络部队呢?研究表明,大多数数字攻击都是通过极富创造性和诱骗性的网络钓鱼尝试及其他相关努力来利用人为因素的尝试。几乎90%的数据泄露是由人为错误引起的,因此增加了对员工进行持续网络安全教育的需求。恶意攻击者和其他技能娴熟的黑客通常会试图诱骗用户,让他们尽早实现对信息系统的登录尝试,从而使他们尽早访问到高价值的信息数据。因此,人们可以将其视为任何组织的网络安全防御中最薄弱的环节。这就是为什么在大多数情况下,人们是使用网络钓鱼攻击、网络钓鱼、社会工程、勒索软件和恶意软件等技术和工具的主要攻击者的原因。此外,与发现单个软件破坏组织或企业业务相比,人类更容易被进行大规模的恶意利用。尽管我们已作出所有必要的安排来改善现有的安全基础设施,但是人脑的无知将在国防战略中留下巨大的空白。借助社交媒体操纵舆论,推动社会运动或是政治革命已经成为最经济和快捷的网络战争方式。近年来,内容安全、文化安全、思想安全已经成为网络安全的重要课题,这些都与内部威胁和人员的安全意识密不可分,“人脑”的争夺致胜的关键还是得靠宣传教育。

网络安全意识培训对于所有的现代组织都很重要,特别是那些搞网络安全“运动”的关键信息基础设施领域。借助当前的IT基础架构,当今大多数黑客都在使用人工智能。对系统进行操纵造成的多数数据泄露行为都涉及某种程度的人为失误。因此,组织应该培训员工,避免受到社会工程学的攻击,以保护其开展业务的基本资源,并与客户进行完美的互动。最近,业界在网络安全攻防中提出了“人为因素”构建“人员防火墙”的概念。针对人性弱点的攻击越来越泛滥,唯一防御措施是通过教育或警示,即为员工提供安全意识培训。

总之,等保整改及护网行动也难以改变的网络安全困局,根源在内部威胁,集中表现为内部人员安全意识不足的问题,解决人性弱点问题的关键步骤在于教育,尽管人性的弱点问题非常复杂,还需要更多的措施,比如借助人工智高科技能的人员安全思想动态监管与提示系统。最后,本文提及一些“菜鸟工程师”、“低级”、“秀”、“运动”之类的用语,并不表示任何的贬低或歧视之意,只是想通过戏谑之词来引发读者的深度重视,某些机构或厂商也请不要对号入座。如果感觉受到了不良刺激,欢迎来一场网络安全真理与实践的口水仗。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898