關於內部人員威脅追捕你需要知道這些

內部人員威脅，與濫用公司內部系統及應用訪問權的內部雇員、承包商或前雇員的活動有關，無論有無惡意企圖，造成的結果就是對關鍵資訊系統或資料的機密性、完整性或可用性形成了破壞。

內部人員威脅包括it破壞、欺詐或智財權盜竊。內部人員或自行單幹，或無意輔助了外部威脅進入。企業需理解自身目標內部人員威脅用例，對正常員工基線行為建模，確保員工知曉自己可能成為高階攻擊者利用來獲取商業關鍵資訊的目標。

本文討論內部人員威脅及可疑/異常事件的關鍵指標，呈現內部人員威脅建模設計方法，幫助讀者識別此類事件和高風險內部人員。

內部人員威脅指標

內部人員識別，是針對性檢測策略的構成部分。可基於對敏感資訊、關鍵資訊或其他商業重要資訊的訪問，來標定內部人員。有可能成為威脅的內部人員，一般具備以下基本特徵：

行為指標：

技術指標：

轉移大量資料到個人賬戶，設定並使用後門;

對敏感或關鍵資訊的未授權訪問;

經常訪問求職**。

建立內部人員正常活動行為的基線，可更容易檢測偏離正常值的奇點，幫助識別出異常事件或行為。

可疑內部人員事件

內部人員的目標，是有意或無意地誤用訪問權，以影響公司關鍵資料、系統或基礎設施的機密性、完整性或可用性。

內部威脅事件目標

企業內可導致內部人員風險的某些惡意或異常事件如下：

關鍵基礎設施、應用或資料的配置修改，引發完整性和可用性問題;

正常工作時間外在多個時區和地區對關鍵或敏感資訊發起的特權訪問;

不符合職位需求的關鍵或敏感資訊未授權訪問。

設計方法

本節深入**解決內部人員威脅事件，以及檢測惡意內部人員活動的解決方案設計方法。

內部威脅模型

1. 源系統

建立資料發現並標記敏感資料，識別關鍵資產和敏感或任務關鍵資料，採用足夠的措施來分類資訊。

2. siem或日誌倉庫

捕獲訪問日誌並將日誌匯入siem系統或大資料日誌倉庫。按安全及隱私策略定義保留週期和儲存方式。

3. 資料洩露防護(dlp)

可在公司內部資產和終端上安裝dlp技術或**，以捕獲事件和資料移動。也可以基於資料的本質和敏感性，來實現高階標籤和預防控制措施。

4. 事件關聯引擎

運用統計、規則和行為模式。關聯2個或多個事件(如：系統日誌和dlp事件)，驅動深入理解資料。

5. 分析引擎

與關聯引擎和風險模型聯動，基於特定內部人員威脅用例，產生針對性輸出(惡意事件、內部人員列表)或洞見(資料視覺化)。

6. 風險模型

基於預設閾值或基線，輔助識別異常事件。為每個異常事件分配對每個使用者或身份的風險值。每天彙總所有風險評分，識別出需要進一步調查的首選使用者或身份，確定涉及的任何內部人員威脅活動。風險模型可由分析師人工維護和更新，也可以基於ai和機器學習演算法自動更新。

結論

無論惡意為之還是無心犯錯，內部人員威脅都是現實存在且不斷增長的。公司企業應了解內部人員威脅，掌握識別高風險使用者，以及檢測並對抗內部人員威脅的方法。

該領域湧現出了很多任務具和技術，然而，想要取得對抗內部人員威脅的成功，識別特定於公司的用例是關鍵。本文陳述的設計方法，就為打造針對性內部人員威脅平台提供了基礎。

關於內部人員威脅追捕 你需要知道這些