内部黑客泄露的记录数量是原来的五倍

原作者：乔纳森·里德

从内部看，组织有多安全？如果不确定，可能值得了解一下。根据最近的数据，内部威胁的发生率和成本正在快速增长。当发生内部破坏时，受损文件的数量通常比外部攻击高出五倍。

并非所有内部威胁都是故意的。然而，当发生内部违规时，与其他类型的事件相比，损害会被放大。那么最常见的内部威胁有哪些？如何减轻它们？最近的一些报道给了我们答案。

并非所有的内部威胁都是相似的

Ponemon 报告将内部威胁分为三种类型：疏忽、恶意和凭据。在所有三种威胁类别中，内部威胁都在增加，但由员工粗心引起的威胁是最常见的。该研究发现，调查中报告的事件中有超过一半是疏忽造成的。基于疏忽的违规行为的平均成本为每年 660 万美元。

在总共 3,807 起内部攻击中，56% 是由于员工或承包商的疏忽造成的，每次事件的平均成本为 484,931 美元。这些事件可能是由于未能保护设备、忽视公司的安全协议或忽视更新和修补系统造成的。

恶意内部人员对所有事件的 26%（1,749 起）负责，每次攻击的平均成本为 648,062 美元。恶意内部人员被定义为故意将其访问权限用于恶意目的的员工或授权个人。在当今的远程工作环境中，授权用户越来越多地可以访问更多信息。

最后一个是凭证盗窃。这会产生最高的补救成本，平均每次事件 804,997 美元。这些攻击者广泛使用社会工程和网络钓鱼策略。Ponemon 报告称，平均有 1,247 起事件（占 18%）与凭证被盗有关。

内部违规遏制

根据 Ponemon 的说法，公司平均需要 85 天的时间来遏制一次内部安全事件。组织在不到 30 天内仅控制了 12% 的事件。此外，每次响应的平均成本为每次违规 646,000 美元。成本明细如下所示：

检测：35,000 美元
调查、升级和响应：280,000 美元
遏制、分析和补救：331,000 美元。

减少内部威胁影响的工具

Ponemon 报告中一些最有用的信息是对与内部事件相关的成本降低最多的技术的排名。排名靠前的工具和被调查者提到这些工具的百分比是：

数据丢失防护 (DLP) 64%
特权访问管理 (PAM) 60%
用户和实体行为分析 (UEBA) 57%
安全信息和事件管理 (SIEM) 53%
端点检测和响应 (EDR) 50%
内部威胁管理 (ITM) 41%
其他3%。

三大反内部违规工具

以下是 Ponemon 报告中提到的前三种工具的细分。

数据丢失防护 (DLP)可防止敏感信息意外或故意泄露或丢失。DLP 解决方案通常监视和控制敏感数据在组织网络和端点之间的移动。DLP 可能包括多种技术的组合，例如加密、访问控制和内容分析。DLP 的目标是识别、分类和保护敏感数据，确保其保密和安全。

特权访问管理 (PAM)涉及控制和监视对机密信息和系统的访问。PAM 解决方案管理和保护特权帐户，例如系统管理员、数据库管理员和其他具有更高访问权限的用户使用的帐户。这可以防止未经授权的访问，并进一步确保特权用户只能执行其工作职能所需的操作。密码管理、特权会话管理和双因素身份验证等功能在 PAM 中很常见。

用户和实体行为分析 (UEBA)使用大数据和机器学习算法来分析组织内用户和实体的行为模式。UEBA 解决方案通过识别异常或可疑行为来检测和响应内部威胁和其他安全事件。UEBA 还可以分析大量数据，包括日志、网络流量和其他与安全相关的信息，以建立用户行为的正常模式。机器学习算法识别与这些正常模式的任何偏差，然后为安全团队生成警报。