原作者:乔纳森·里德
从内部看,组织有多安全?如果不确定,可能值得了解一下。根据最近的数据,内部威胁的发生率和成本正在快速增长。当发生内部破坏时,受损文件的数量通常比外部攻击高出五倍。
并非所有内部威胁都是故意的。然而,当发生内部违规时,与其他类型的事件相比,损害会被放大。那么最常见的内部威胁有哪些?如何减轻它们?最近的一些报道给了我们答案。
更多内部来源的违规行为
Ponemon Institute发布的一份新的内部威胁报告调查了北美、欧洲、中东、非洲和亚太地区的组织。研究人员采访了 278 个组织中的 1,004 名 IT 和 IT 安全从业者,他们经历了一个或多个由内部人员引起的事件。
该报告揭示了一个令人担忧的趋势。首先,2022 年内部人员主导的网络事件总数为 6,803 起,平均每年总成本为 1,540 万美元。在所有公司中,报告的内幕事件数量最多的是 46 起。此外,67% 的公司每年经历 21 到 40 多起事件。
同时,根据Verizon的一份报告,受到外部威胁的记录数量约为 2 亿条。但在涉及内部人员的案件中,暴露的记录数量激增至超过 10 亿条。
并非所有的内部威胁都是相似的
Ponemon 报告将内部威胁分为三种类型:疏忽、恶意和凭据。在所有三种威胁类别中,内部威胁都在增加,但由员工粗心引起的威胁是最常见的。该研究发现,调查中报告的事件中有超过一半是疏忽造成的。基于疏忽的违规行为的平均成本为每年 660 万美元。
在总共 3,807 起内部攻击中,56% 是由于员工或承包商的疏忽造成的,每次事件的平均成本为 484,931 美元。这些事件可能是由于未能保护设备、忽视公司的安全协议或忽视更新和修补系统造成的。
恶意内部人员对所有事件的 26%(1,749 起)负责,每次攻击的平均成本为 648,062 美元。恶意内部人员被定义为故意将其访问权限用于恶意目的的员工或授权个人。在当今的远程工作环境中,授权用户越来越多地可以访问更多信息。
最后一个是凭证盗窃。这会产生最高的补救成本,平均每次事件 804,997 美元。这些攻击者广泛使用社会工程和网络钓鱼策略。Ponemon 报告称,平均有 1,247 起事件(占 18%)与凭证被盗有关。
内部违规遏制
根据 Ponemon 的说法,公司平均需要 85 天的时间来遏制一次内部安全事件。组织在不到 30 天内仅控制了 12% 的事件。此外,每次响应的平均成本为每次违规 646,000 美元。成本明细如下所示:
检测:35,000 美元
调查、升级和响应:280,000 美元
遏制、分析和补救:331,000 美元。
减少内部威胁影响的工具
Ponemon 报告中一些最有用的信息是对与内部事件相关的成本降低最多的技术的排名。排名靠前的工具和被调查者提到这些工具的百分比是:
数据丢失防护 (DLP) 64%
特权访问管理 (PAM) 60%
用户和实体行为分析 (UEBA) 57%
安全信息和事件管理 (SIEM) 53%
端点检测和响应 (EDR) 50%
内部威胁管理 (ITM) 41% 其他3%。
三大反内部违规工具
以下是 Ponemon 报告中提到的前三种工具的细分。
数据丢失防护 (DLP)可防止敏感信息意外或故意泄露或丢失。DLP 解决方案通常监视和控制敏感数据在组织网络和端点之间的移动。DLP 可能包括多种技术的组合,例如加密、访问控制和内容分析。DLP 的目标是识别、分类和保护敏感数据,确保其保密和安全。
特权访问管理 (PAM)涉及控制和监视对机密信息和系统的访问。PAM 解决方案管理和保护特权帐户,例如系统管理员、数据库管理员和其他具有更高访问权限的用户使用的帐户。这可以防止未经授权的访问,并进一步确保特权用户只能执行其工作职能所需的操作。密码管理、特权会话管理和双因素身份验证等功能在 PAM 中很常见。
用户和实体行为分析 (UEBA)使用大数据和机器学习算法来分析组织内用户和实体的行为模式。UEBA 解决方案通过识别异常或可疑行为来检测和响应内部威胁和其他安全事件。UEBA 还可以分析大量数据,包括日志、网络流量和其他与安全相关的信息,以建立用户行为的正常模式。机器学习算法识别与这些正常模式的任何偏差,然后为安全团队生成警报。
隐藏的内幕物联网危险
然而,如果我们深入研究 Ponemon 报告,有一项数据值得特别提及。惊人的 63% 的受访者认为易受攻击的物联网设备面临最大的数据丢失风险。物联网可能不是第一个想到的那种内部人士——但物联网设备的数量远远超过人类。每天都有数百万台设备连接到关键网络。
因此,PAM 解决方案被评为第二重要的预防工具是有道理的。身份和访问管理 (IAM)是 PAM 的关键部分。对于持续的身份管理,IAM 为每个实体分配一个数字身份,验证登录并授权资源访问。这为员工、承包商、合作伙伴、远程和移动用户和客户提供了安全访问。
IAM 甚至适用于物联网设备、机器人和 API 或微服务等代码。IAM 还有助于防止凭据泄露和容易破解的密码,这些都是网络攻击的常见入口点——包括来自内部人员的攻击。
>>>等级保护<<<
>>>工控安全<<< >>>数据安全<<< >>>供应链安全<<<
>>>其他<<<
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...