内部威胁的指标和对策

在当今数字化时代,信息安全已成为组织机构生存发展的重中之重。然而,统计数据显示,内部人为因素引发的安全事件占比惊人。这不仅包括无意的疏忽,更有员工蓄意为之的情况。因此,提高全体员工的安全意识,共同防范内部威胁,成为一项刻不容缓的任务。

识别组织内的潜在内部威胁需要识别某些行为或指标,这些行为或指标可能表明员工可能从事对组织有害的活动。需要注意的是,这些指标应结合具体情况考虑;并非每个表现出一种或多种这些行为的人都会成为内部威胁。但是,当这些行为与其他令人担忧的行为一起出现,或与个人正常行为有显著偏差时,可能需要进一步检查。

以下是通常与内部威胁相关的关键指标,分类方便参考:

个人行为

  • 违反公司政策:故意或反复违反公司政策,特别是与信息安全相关的政策。
  • 财务困境:面临严重财务问题的员工可能更容易从事非法活动。
  • 不明原因的富裕:表现出无法用已知收入来源解释的财富迹象。
  • 药物滥用:吸毒或酗酒问题会影响员工的判断力,并可能导致有害的决定。
  • 对公司怀恨在心:对公司或组织内的特定个人表达不满或怨恨。

工作行为

  • 绩效评估不佳:工作绩效突然或无缘无故下降。
  • 抵制监督:厌恶或抱怨涉及监控或审计的政策,尤其是对其工作或计算机使用情况的监控或审计。
  • 不寻常的工作时间:在没有明确业务需要的情况下,经常在下班时间或其他人很少在场的时候出现在办公室。
  • 对与其工作职责无关的事项过度感兴趣:对超出其工作范围或需要知道的项目或信息表现出不寻常的兴趣。
  • 滥用 IT 系统:未经授权访问或试图访问与其工作职责无关的网络区域、安装未经授权的软件或使用禁止的存储设备。

网络和系统行为

  • 数据库或文件服务器中的异常活动:未经解释或未经授权访问敏感信息。
  • 意外的大量数据传输:在没有明确业务原因的情况下将大量数据传输到组织外部。
  • 使用未经授权的存储设备:未经许可使用 USB 驱动器、外部硬盘驱动器或其他存储设备。
  • 无需访问敏感信息:寻找或访问与工作职责无关的信息。

沟通模式

  • 对黑客或间谍活动的兴趣:对黑客、敏感信息泄露、间谍活动等表现出兴趣或钦佩。
  • 与竞争对手的联系:与竞争对手或其他潜在敌对实体的代表进行未经解释或秘密的沟通。
  • 工作不需要的旅行:与工作职责不符的未经解释的旅行,尤其是前往国外的旅行。

当观察到这些指标时,组织必须遵循预先定义的流程来调查和应对潜在的内部威胁。此流程应尊重员工的合法权利和隐私,同时保护组织的安全和利益。组织还必须制定明确的政策和培训,以防止内部威胁并鼓励员工以安全的方式报告可疑行为。

作为组织的一份子,每位员工都是信息安全的守护者。我们并非将同事视为潜在”威胁”,而是要认识到,任何人都可能在无意中成为安全漏洞。通过培养警惕意识,我们能更好地保护自己、同事和企业的利益。

员工在减轻组织内部的内部威胁方面发挥着至关重要的作用。通过采取积极主动和警惕的方式,员工可以帮助创造一个安全的工作环境。以下是员工可以采取的几项措施来帮助减轻内部威胁:

遵守安全政策和程序

    • 理解和遵守:熟悉组织的安全政策、程序和最佳实践。认真遵循它们以保护敏感信息和资源。
    • 数据处理:适当处理敏感信息,遵循数据分类指南并使用安全方法共享和存储数据。

    报告可疑行为

      • 警惕:注意同事的行为,这些行为可能表明存在潜在的内部威胁,如前所述。
      • 报告机制:使用组织内已建立的报告机制,向安全部门或管理层通报有关潜在内部威胁的问题,确保机密性和防止报复。

      建立明确的奖惩制度也不可或缺。对于积极参与安全工作、发现重大隐患的员工,应给予适当奖励和表彰。同时,对违反安全规定的行为要严肃处理,树立警示作用。

      负责任地使用技术

        • 安全身份验证:尽可能使用强大的唯一密码和多因素身份验证。
        • 软件和更新:确保您的计算机软件(包括防病毒软件和其他保护程序)是最新的。
        • 未经授权的软件:避免下载或安装可能危及安全的未经授权的软件。

        参加培训

        定期开展生动有趣的安全培训至关重要。可以通过案例分析、角色扮演等互动方式,让员工切身体会安全漏洞可能带来的危害。培训内容应涵盖密码管理、社交工程防范、数据保护等实用知识,确保员工掌握必要的安全技能。

        • 安全意识培训:出席并积极参与贵组织提供的安全意识培训课程,以随时了解当前威胁和安全做法。
        • 内部威胁意识:了解内部威胁的指标以及早期检测的重要性。

        养成良好的网络卫生习惯

          • 电子邮件警惕:谨慎对待电子邮件,尤其是那些要求提供敏感信息或敦促您点击链接或打开附件的电子邮件。这些可能是网络钓鱼企图。
          • 安全连接:访问公司资源时使用安全加密的连接,尤其是在远程工作时。

          限制信息共享

            • 需要知道的基础:仅与有合法需要知道的人共享敏感信息。
            • 社交媒体警告:谨慎对待您在社交媒体平台上分享的工作相关信息,因为过度分享可能会导致漏洞。

            保护物理访问

              • 安全工作区:离开办公桌时锁定计算机并保护敏感文件。
              • 访问控制:注意谁有权访问您的工作区域,尤其是那些不应该在那里或对敏感信息表现出过度兴趣的人。

              营造积极的工作环境

              要有效应对内部威胁,很有必要营造开放透明的企业文化。管理层应主动与员工沟通,解释安全措施的必要性,消除误解。同时,鼓励员工积极参与安全工作,如举报可疑行为、提出改进建议等。这种参与感能增强员工的责任心,使安全意识深入人心。

              • 鼓励举报:支持举报安全问题的同事,并营造一种认为此类行动有价值的环境。
              • 解决不满:如果您有顾虑或不满,请通过组织内的适当渠道解决。

              通过采取这些措施,员工可以大大有助于降低内部威胁的风险。安全意识和集体警惕的文化是减轻这些风险的关键,所有员工都了解他们在保护组织资产方面的作用。总之,构建全方位的内部威胁防御体系,需要上下齐心协力。让我们携手共筑信息安全防线,为组织的长远发展保驾护航。

              如果您对本话题感兴趣,或者需要针对员工们进行包括内部威胁防范在内的信息安全意识宣教,欢迎不要客气地联系我们,预览我们的培训资源,体验我们的培训平台。

              昆明亭长朗然科技有限公司

              • 电话:0871-67122372
              • 手机:18206751343
              • 微信:18206751343
              • 邮箱:[email protected]
              • QQ:1767022898

              网络安全形势严峻导致投资转向安全意识教育

              针对大型网站的黑客攻击令多数注册用户的机密数据如邮件地址和密码等外泄,各类媒体对这些密码泄露事件也大肆渲染,唯恐天下不乱,而各路安全公司也乘势煽风点火,推销安全产品,不过具有讽刺意味的是,不少知名的媒体网站和信息安全公司同样也难逃被黑客攻击带来巨大损失的噩运,一时间,人们谈黑色变,人心惶惶。

              同时不可否认的是,安全事故也有其积极正面的意义,灾后重建会拉动社会对安全控管的需求,创造新的商业和就业机会,还能刺激安全科技创新,然而对于多数受灾并不太严重的组织,最重要的还是:人们的安全意识得到了提升,安全觉悟得到了提高,这比什么都重要,人心齐,泰山移,不需要人人都有高深莫测的防黑技艺,只需普及一般的安全常识,便可让大多数黑客知难而退、无功而返。

              不过,别以为看看别家遭黑客袭击,在安全方面遇到了灾难事故,自家就可以从中吸取到足够的失败教训,而且,大多数人并不会因为旁观了一把就会将安全意识提升到充足的水平。

              最基本的,几乎所有的业务部门的总监经理主管们都知道:安装防病毒软件可以防范恶意代码。然而,知晓防病毒软件必须得到及时更新的并不多见,知晓即使防病毒软件得到了及时更新,却仍有可能不及新型恶意代码的出现速度的则更是凤毛麟角。

              昆明亭长朗然公司在2011年进行的一项企业员工安全意识调查结果表明:高达96%的受访者仍然将防病毒软件视为最重要的信息安全保障措施,然而同样是96%的受访者却仅仅只愿意全盘扫描那些被怀疑或确认受到感染的电脑,只有接近2%的员工会在电脑出现异常时检查防病毒软件是否得到了启用和更新。

              当然,我们不能渴求用户个个都成为信息安全专家,毕竟多数用户的首要工作职责还是为公司创造产值,并非防范病毒、击退黑客或者保护信息系统和信息数据的安全。但是如果普通信息系统用户连基本的计算机安全常识都不具备的话,在科技变革日新月异的时代,再厉害的安全技术防范措施也会显得苍白无力,甚至无济于事,因为多采用一项创新科技,就会多带来一些安全隐患,在安全威胁日益增多的时代,尤为如此。

              再以我们的这项企业员工安全意识调查为例,计算机的病毒防范理念尚如此之不容乐观,其它的计算终端呢?便携式移动计算设备呢?智能手机、平板电脑呢?即时通讯和社交网络应用呢?社会学工程攻击呢?诸如此类的安全防范理念,多数普通用户几乎没有一点儿概念,当然结果就是大量的安全威胁通过利用这些渠道成功入侵了企业的内部网络、渗透了关键的信息系统、窃取了重要的机密数据、影响了业务的正常运作、甚至导致了重大的失败……

              诚然,为了保障信息安全,各类型的组织或多或少部署了不少的安全产品或技术流程,如防火墙,入侵侦测与预防、数据丢失防范、访问控制与安全评估等等,这些安全产品或技术流程往往包含多种安全控管措施,可以实现多种控管目标,确实有必要实施一些,然而想靠这些来实现保障组织安全的总体目标显然不够,一方面各类控管措施都是针对各类角色的各种行为,控管措施的实施者、操作者、使用者或受影响者可能并不理解或认同这些控制目标和措施,这可能会严重影响到安全控管的效果,所以,这些不同的角色都需要接受适当的安全培训,最终接受并支持这些控管措施;另一方面,从安全管理角度讲,安全专家们也常说做好安全需要3P,People,Process,Product,即人员、流程和产品,这里面People即人员是最首要的,甚至有极端的安全技术极客们如世界顶级黑客米特尼克等等宣称,当今组织可以不建立标准化的安全流程和制度、不安装指定的防病毒软件产品,只需加强员工基本的信息安全意识。虽然安全技术极客们艺高人大胆,而且基本的安全意识观念中已经包含遵守安全流程和使用防病毒的必要性,但是安全极客们的这番话仍然显示出信息安全意识教育的重要性。

              也正是不断曝光的网络安全事故引起人们对信息安全意识的关注,也正是因为信息安全意识越来越受到人们的重视,各类型组织开始不断加强员工的安全意识培训和安全文化教育,甚至有公司还始将信息安全意识培训当成新员工入职的必修课,而且每年都对全体员工进行安全意识再培训,传统上只重视网络信息安全设备和硬件的公司纷纷认识到这并不足够,开始将部分安全投资转向针对全员的信息安全意识。

              亭长朗然科技有限公司的资深安全培训讲师Alice称:在发达国家,几乎所有的组织都有将员工的安全意识培训纳入到安全管理工作之中,政府及各类安全组织更是积极推进整个社会的信息安全意识建设水平,知名安全厂商如McAfee和Symantec等等也早都推出针对企业用户的在线安全意识培训课程;而在我国,只有极少数组织会将针对全员的安全意识培训列入日程,在线的即通过电子学习方式进行的信息安全意识培训则更是方兴未艾,虽然是新生事物,但是无疑在线培训有其独特的优势——可以让员工随时随地自由学习,更能快速实施大规模培训,并且及时获得培训的绩效,这种新颖的方式值得大家去尝试,特别是那些尚未进行过课堂现场培训的客户更应一步到位,就好似在当今的非洲大地上,人们不用拉固定电话直接使用移动手机那样,大跨步体验现代科技带来的便利和高效。

              security-training