如何建立一个强大的内部威胁防护体系(ITP)

尽管网络威胁更多地自于企业内部，但网络安全支出总是习惯性地更关注外部威胁。由Forrester Research最近发布的一份报告发现，只有 18% 的企业会优先考虑建立专门的内部威胁防护 (ITP)，而 25% 的企业更关注外部威胁情报。

企业需要担心的不仅仅是勾结同伙的内鬼，实际上大多数的内部威胁事件都是无意造成的。报告指出，粗心或疏忽行为占所有内部威胁事件的 56%，而这往往也是成本最高的，清理和恢复的平均成本为 660 万美元。

企业为什么需要ITP

部分内部威胁事件发生的原因在于认知和观念，报告发现，近三分之一的受访企业并未将员工视为威胁。但众所周知，要防止此类事件也非常困难，因为企业本质上是在寻求控制对数据的合法访问。减轻这些威胁不仅是为了提高安全性，还包括检测用户行为中的潜在危害指标 (IoC)，因此，大多数企业依靠员工培训来解决这个问题。然而，正如上面的调研数据所示，仅靠培训往往是不够的。

尽管有 65% 的企业采用培训的方式来确保员工遵守数据保护政策，但 55% 的企业表示他们的用户已经找到了规避这些政策的方法。其他人表示，他们依靠单点解决方案来预防数据泄露等事故的发生，其中 43% 使用数据泄露防护(DLP) 来阻止操作，29% 通过SIEM系统进行监控（尽管数据仍然可能在不被这些系统检测到的情况下被泄露）。问题是，网络安全策略和员工监控手段都没有考虑到压力的因素，这些压力会促使足智多谋的员工采取变通办法。

虽然事前预防总是胜于事后补救，但当前应对内部威胁的手段过于重视预防方法论。因此，如果已经发现内部威胁（无论是否恶意），人们对于该如何处理、弥补的关注严重不足。因此，虽然员工培训和网络安全控制确实可以发挥作用，但两者都应该成为更广泛的内部威胁防护体系ITP的一部分。

ITP 协调不同业务部门的政策、程序和流程，以应对内部威胁。人们普遍认为这对于缓解内部威胁至关重要，但在 Forrester 的调查中，只有 28% 的企业声称有过相关考虑。除了让员工参与和制定政策外，企业还需要梳理其数据并定位数据源，确定如何监控行为、调整培训计划、开展调查以及如何定期评估 ITP 本身。

入门

首先，需要建立专门的工作组来帮助指导 ITP。成员需要有明确的角色和责任，并同意一套道德准则。这是因为有许多与员工隐私和监控相关的法律，以及在制定和执行政策时必须考虑的法律因素和顾虑。工作组的第一项工作将是制定运营计划并制定内部威胁政策的高级版本。

然后，需要考虑如何梳理和访问内部和外部数据源，为此，工作组需要熟悉特定数据集的记录处理和使用程序。一旦创建了收集、整合和分析数据所需的流程和程序，应根据数据的用途对数据进行标记。

考虑是否要使用技术手段来监控终端用户设备、登录等，并通过签署的信息系统安全确认协议记录这一点。潜在的危害指标 (IoC) 可能包括数据库篡改、违规/越权共享公司机密信息、不当删除或查看文件内容等。当此类行为曝光时，自由裁量权至关重要，任何调查都需要无懈可击且有理有据，因为这可能会导致法律诉讼。

防御性的数字取证

ITP 还应详细说明企业如何响应和调查安全事件。考虑调查是否在内部范围，在什么时候需要让外部代理人介入，以及需要通知谁。用于调查的数据将保存在哪里？信息将保留多长时间？虽然保留相关信息很重要，但需要避免陷入保留过多不必要信息的陷阱，因为这会增加风险，这意味着 ITP 还应该与数据最小化策略重叠。

应使用数字取证工具来执行 ITP。企业需要决定如何主动管理内部威胁，以及这些工具是仅用于事后分析还是秘密使用。例如，一些拥有高价值资产的企业会进行扫描，以确定员工离开组织时数据是否被泄露。企业还应该确保这些工具能够远程定位终端和云资源，即使它们没有连接，并且应该与操作系统无关，以便企业可以在 Mac 和 PC 上捕获数据。

数字取证确保企业可以快速捕获和调查任何不当行为。例如，它可以确定用于将数据从公司信息资产中泄露到任何设备、端点、在线存储服务（如 Google Drive 或 Dropbox）甚至通过社交媒体平台发布内容的日期、时间和路径。一旦数据被追踪，就可以缩小可能的嫌疑范围，直到团队获得无可争辩的证据。

无论是调查的方式还是证据本身都必须无可指摘且在法律上站得住脚，因为此类事件可能会导致解雇甚至起诉。如果在法庭上受到质疑，企业将需要证明尽职调查，因此在保护证据处理方面，必须有一个合理且可重复的流程和监管链路。

获得员工的支持

员工的认同和支持也是成功的关键。该政策应传达清楚隐私泄露、财务数据泄露等事件的后果，以便员工了解所涉及的风险，同时应该有适当的流程使用户能够报告行为 IoC。政策应该规定如何以及何时通过特定渠道报告 IoC，如通过举报电话、电子邮件、DropBox 等，还应记录意识培训的完成情况。

ITP 将需要接受测试，但最好不是在实际事故中。相反，应执行内部威胁风险评估，以确定安全控制和业务流程中的差距，或评估数据泄露的难易程度以及数字取证流程的执行情况。考虑如何将内部威胁管理引入其他安全策略，例如涵盖 BYOD 的策略，并确保受信任的业务合作伙伴和外包商也接受内部威胁风险评估。

最后，请记住，随着新流程的上线和数据源的添加，该策略将需要进行调整和优化。这样做的关键是保持准确的数据记录，并确保数字取证工具可以提供足够的范围来处理新技术或渗透途径，同时企业也可以将自己的计划与所在行业的其他企业实践进行对比。

实施ITP的目的是确保企业、数据或流程受到保护，而且员工也受到保护。监控工作流程可以使 IoC 被更准确地标记，有助于防止事件升级。当不可思议的事情发生并且毫无戒心的员工确实暴露了敏感数据时，拥有已经记录了该事件的强大的可防御流程可以更容易地进行数字取证调查并，并迅速结束法律案件。