三種常見由公司內部人士引發網絡威脅的應對方法

分析師 Jonathan Care 在一篇文章中展示了簡單地隱藏數據的方法,如果只著眼於數據便會難以察覺,但數據並不會自動消失,所以應該聚焦於用戶,因為是他們處理數據,Jonathan 在文中提到可以提涉事人物分為三類,第一類是間諜,遊說公司內部人員策反,從而獲得內部人員的身份和 endpoint,第二類是心懷不滿的同事,也就是惡意的使用者,第三類是不守規則的用戶,包括粗心大意或其他原因,而這三種也是常見由內部人員引發網絡威脅的成因。

不守規則的用戶 – 聚焦使用者和發現「Shadow IT」
首先從最常見的內部人員引發威脅的一種說起,不守規則的用戶不會嘗試掩飾他們的活動,但他們確實地規避公司的守則,分析師認為他們可能不懂得 ADS,但不代表他們沒有繞過規則,所有為求完成工作或更快更省力而走捷徑 (又稱 shadow IT) 的人士,都包含在不守規則用戶之內。

例如,全球很多公司都採取遙距工作的現在,不少開發團隊正在測試不同的科技去進行協作、設計和建設應用程式,但並非全部都事前經過 IT 安全的驗證和測試,如果單純聚焦於數據流動,儲存和建立在這些應用程式上的敏感數據便可能成為漏網之魚。幸好一個以 endpoint 為基本的內部威脅管理平台可以看到開發者的活動,即使他們正與雲端應用程式進行協作。

被策反的用戶 – 聚焦使用者和發現異常活動
被策反的用戶就是被間諜或外來黑客所利用的內部人員,他們不需要一定是 IT 管理員或特權用戶,外來攻擊者通常都技術高超,只要成功滲入一台 endpoint,他們會尋求隱藏收集的數據並掩飾行蹤,避免被發現。除了使用 Windows NTFS 上的 ADS 功能,也有個案發現使用隱寫法工具去隱藏文件到無客的物件。

曾經有 Very Attacked Persons, VAPs 的 endpoint 的常用執行編碼或檔案被混入小腳本,當黑客成功騎劫特權用戶的 endpoint 或身份,就能用這特別的存取去更改特權組別帳號,或新增超級用戶帳號,並且在 Windows 執行惡意的 PowerShell 指令,而且似的情況也曾經發生在 Linux 或 UNIX 裝置之上,因為可以提升權限,所以開發者帳號是外來黑客的頭號目標。在很多個案中,重點並不在於數據而在於用戶存取的活動,開發者帳號並非終點,而是通往終點的捷徑,只要透過監察 VAPs 和特權使用者,在成功存取系統或代碼庫後偵測風險行為。

心懷不滿或惡意的用戶 – 聚焦使用者和察覺早期風險行為
這類型的使用者知道外洩數據的盲點,但並不想被捉住和惹上官司,通常他們知道如何繞過傳統的 DLP 工具和哪些渠道機構沒有防護。資料外洩通常始於放任公司的傳統 DLP 工具存在沒有保護的渠道,移除式媒體雖然被認為古老,但是 sales 和 marketing 經常需要用到 USB 裝置。不幸地,惡意或即將離職的使用者有可能會利用 USB 裝置去儲存和外洩資料,具備內部人士威脅管理的方案,機構可以容許用戶的自由,而保安也能知道用戶在他們的 endpoint 及 USB 裝置上的活動。

在 2014 和 2018 年曾發生員工隱藏外洩資料的蹤跡,和使用免費下載的隱寫法工具事件,最常見就是清除 cookies、瀏覽器的記錄或把 endpoint 清除乾淨,當用戶隱藏他們的蹤跡,偵測到用戶下載可疑或惡意工具到 endpoint 就顯得重要,幸好通過內部人士風險管理方案可以偵測到原本的數據移動和可疑 endpoint 活動,並主動保護機構防止數據損失。

追蹤用戶比追蹤數據更難錯失
在以上三種的內部人士引發的威脅種類中,機構能夠察覺到數據移動和用戶活動是防護的關鍵,防止用戶隱藏蹤跡及暗地裡移動數據。惡意或被策反的用戶在他們接解數據前,會有進行風險行為的跡象,雖然最大的考慮是數據外洩,但通過內部人員威脅管理方案能協助機構,在攻擊或威脅的初始階段偵測到風險行為。有時候傳統工具可能會錯失數據追蹤,但利用以人為本的 ITM (Insider Threat Management) 追蹤用戶和敏感數據,就更難發生失去蹤跡的機會。

資料來源:ObserveIT Blog