新闻动态   News
最新资讯   New
2023/3/16
网络安全产品“奥斯卡”奖揭晓
2023/3/9
天锐绿盾加密软件让使用者“上
2023/3/2
为什么大型企业都选择部署私有
2023/2/23
2023-02微软漏洞通告
2023/2/17
火绒终端安全管理系统V2.0
搜索   Search
你的位置:首页 > 新闻动态 > 行业资讯

严查“内鬼”:夯实你的企业“内部堡垒”

2017-04-14 14:33:50      点击:

  在全球网络安全形势日益严峻的当下,如果说还有哪一个企业对网络安全防护还漠然无视,似乎已成为概率极低的事件。但是,对于企业网络安全的防护,却是一个涉及多方面、需环环考虑的整体规划。企业,真的已经做好安全防御的准备了么?

你的内部堡垒坚固么?

  一直以来,企业都将网络安全防御的着眼点放在了来自外部世界的攻击和入侵的防御方面。防火墙、入侵检测、入侵防御、流量监测等等网络安全设备和联动设施,为企业网络筑起了一道道坚实的堡垒。在建立起了严格的边界防护的同时,人们却往往忽视了一个重要的关键点:堡垒也是可以从内部攻破的。

  据相关调查统计,60%的攻击会涉及到组织内部人员,破坏性安全事件导致重要数据的丢失、非法篡改和破坏。但实际上,仍有62%的组织没有特别针对特权用户行为进行监控和审计;更是有70%的组织没有数据安全解决方案,无法获得统一的授权信息报告。

应对组织内部威胁,已是刻不容缓

  那么,企业的内部威胁,都来源于哪些方面呢?包括疏忽大意的员工、心怀不满或恶意的员工、第三方合作伙伴以及合同工等,他们主动或被动地利用在企业网络中具有的权限实现入侵并窃取企业重要的数据资产。

  通常内部信息泄露的途径也大致分为几种:攻击者使用他人的身份信息,越过访问控制获得相应的权限。这一入侵方式的占比高达81%。通常,企业内部一些心怀不满以及恶意的员工,他们利用手中掌握的权限实现入侵,隐蔽地篡改或重置应用控制,避免被发现。通过合作伙伴或第三方的员工账号和权限进行入侵的例子也不在少数。

  据统计,源自企业内部的信息泄露往往需要平均87天才可被识别并确认。也就是说,当企业察觉并明确信息已从内部遭泄露时,往往已经造成无法估量和难以挽回的损失。

  造成企业对内部威胁的疏忽这一现状的原因也是多方面的。对于一些企业而言,尽管特权帐户滥用被认为是一种威胁,但大多数组织未能采用相关的技术和遵循信息安全实践,确保系统执行最小特权的原则。从防御角度而言,安全措施应用不一致似乎是造成企业内部威胁日益严峻的根源。大多数企业未能升级并集成纵深防御措施或部署正确的信息安全解决方案,以应对如今的开放的业务环境和基础架构。

  在一项调查中显示,企业中有71%的人没有使用基于环境感知的访问控制策略。获得环境相关信息,如:时间、地理位置、终端设备类型等,可以用以改善企业的信息安全访问控制决策。多数企业的IT或安全管理部门还只能依赖于帐户凭据来验证用户的身份。而只有不到 20% 的企业使用了专门的解决方案来审计特权身份的使用。

  对于这些尚未针对以上内部威胁做出有效实际响应的企业而言,他们将不可避免地会成为高成本、收到极大影响的数据外泄受害方。

应对内鬼需有真技能

  对过去几年发生的重大外泄事件的事后分析表明,如果特权帐户得到更好的保护、管理和监控,组织应能在发生重大损害之前阻止攻击。对于企业来说,他们急需透过集成、智能的方式防止数据泄露。这些方式包括:识别能力缺失的领域,增强合规性,优化安全行动;集成已有/未来构建的能力,包括:访问管理、身份管理及治理、特权用户管理等,实现对数据的保护、风险的检测、威胁分析、数据活动的监控等。

  也就是说,对于一个好的内部威胁保护解决方案而言,需要既可以帮助组织识别防范内部威胁能力的缺失,还要采用集成化的方法,提供清晰的、可行动的情报信息。IBM内部威胁保护解决方案,无疑是一个可以满足以上需求的解决企业内部威胁的整体方案。

  IBM内部威胁保护解决方案旨在帮助企业识别重要的数据及相关资产、评估用户身份的全生命周期管理和治理,并检测用户的恶意行为。通过记录并评估数据监控的能力,这一方案可以将数据库表、授权信息、交易和角色与敏感信息进行映射;根据重要信息端到端的访问路径,将使企业获得基于风险的洞察力,以优化相应的应对措施;最后,依据相关事件和上下文环境信息,还可以做到评估用户行为并分析威胁动机和迹象。

  在IBM内部威胁保护解决方案中,IBM GuardiumPIM、以及QRadar之间会进行整体联动——Guardium 发送数据库安全事件给QRadar,包括:SQL错误、失败登录、对重要数据未授权的访问、修改、提权等;QRadar 将数据库访问活动信息与其它的上下文信息进行关联,比如:来自于PIM的检出共享特权ID信息,创建安全攻击事件;通过整合来源于GuardiumPIM、应用的活动数据,汇总到QRadar进行关联,将为IT管理者呈现完整的数据访问视图。

  由此,通过定义、发现、调查、响应几个阶段,IBM内部威胁保护解决方案便可以针对高风险资产,帮助企业建立持续保护的运转模型。

结语

  千里之堤,溃于蚁穴。内部威胁对企业造成的危害已是不言而喻,同日益严峻和复杂的外部攻击一样,他们都是对企业的网络安全构成严重威胁的重要方面。对企业的网络安全防御而言,抵御外敌入侵的外部城墙固然重要,严查内鬼的内部堡垒也同样不可忽视。

  谨防安全的的堡垒从内部被攻破,我们应时刻在行动。