根據 Ponemon Institute 在今年 2 月發表的研究報告,可以看到全球急速轉換成遙距工作模式對網絡保安次序的衝擊,尤其影響保安團隊考慮內部威脅的方式,報告的其他發現同時有助保安團隊建立,平衡使用者、過程和技術三方面的保安方案,以下將簡化為 5 個要點,看看內部威脅可能會帶來的隱藏成本。
事故越多成本越高
這是理所當然的關連,越多資料外洩,公司付出的成本越高,當中頻率、複雜性和成本這三大要點值得較深入的考慮,當公司購買偵測技術對潛在內部風險提出警告時,數據的容量、警告的數目能製造巨大工作量,也增加了 IT 人員和設查隊伍的複雜性,有機會反過來導致效率下降。
所以網絡保安團隊考慮部署的內部威脅技術,需要提備重要和清晰的資訊,讓團隊能快速作出決定,並且盡可能減少「雜訊」。
並非所有內部威脅都是惡意
最多數的內部威脅都是來自用戶粗心大意,而並非刻意的惡意行為,其次最常見的事件是權限盜竊,例如盜取用戶名稱和密碼,公司必需意識到在網絡保安之中,使用者也是其中一個考量要素,從要尋找新的策略保護數據和重要的基礎設施,除了攔截「壞人」,也要讓「好人」保持著「好」,主動教育他們保安的最佳做法。
考慮端點透明度的重要性和偵測到的風險行為,可能能分辨是粗心大意還是盜取權限。
威脅偵測和調查互相關連
頂級的內部風險調方案包含了偵測和調查,兩者互相關連,隨著偵測能力增強,發現的數目也會增多,從而導致調查的需求也會增加。
提高內部威脅調查的效率十分重要,找到越多潛在風險,但缺乏調查的解決的餘力,同樣會影響成效。
與時間競賽
平均調查內在風險的時間增加到 77 日,這種延後可以引致巨大的成本,讓內部威脅有更多時間做成傷害,有時對事件掉以輕心也會影響調查的的進度,因為處理的優先次序受到其他活動而影響。
內部威脅管理的方案需要通過清晰的資料去降低複雜性,讓公司能夠快速作出決定,資料可以與全部調查團隊的成員分享,牽涉到的人員隨時跨越多個不同部門。
每家公司環境都無一無二
內部威脅事故不分公司的規模和行業,雖然較大的機構有較多員工和更高的風險,但是小企業的「每位員工的成本」比較其實與大機構無異,兩者的最大分別只是機構越大,管理的複雜性越高,主要原因是地理上勞動力分散所致。有時候行業也會影響成本,管理受保護數據的公司當常面對較高的成本。
每家公司的環境都各有不同,但參考相近的公司規模、行業和風險狀況,從中吸取經驗有助自己建立有效的內部威脅和資料保護方案。
資料來源:Insider Threat Blog