內(nèi)部威脅早已不是什么新鮮概念，很多重大網(wǎng)絡(luò)安全事件都是由內(nèi)部因素所引發(fā)。但直到目前，企業(yè)對內(nèi)部威脅問題仍然沒有足夠的重視，并且缺乏有效的應(yīng)對和防護措施。事實上，大多數(shù)安全團隊面對內(nèi)部威脅時仍然是事后補救。本文總結(jié)了近年來發(fā)生的9起全球知名企業(yè)內(nèi)部威脅安全事件。通過分析研究這些真實案例，并從中汲取經(jīng)驗教訓(xùn)，有助于組織進一步提升自己對內(nèi)部威脅風(fēng)險的主動防御能力。

類型一：網(wǎng)絡(luò)釣魚

攻擊者很容易偽裝成您信任的人。根據(jù)《2022年Verizon數(shù)據(jù)泄露調(diào)查報告》顯示，網(wǎng)絡(luò)釣魚是社會工程相關(guān)事件的罪魁禍首，占比超過60%。此外，網(wǎng)絡(luò)釣魚還是惡意攻擊者實現(xiàn)入侵的三大媒介之一，另外兩個是程序下載和勒索軟件。

代表性事件：Twitter

2020年7月中旬，Twitter遭受了大規(guī)模魚叉式釣魚攻擊。網(wǎng)絡(luò)犯罪分子破壞了社交網(wǎng)絡(luò)的管理面板，控制了多個知名Twitter用戶的賬戶（包括私人和公司賬戶），并代表他們分發(fā)了假比特幣贈品。

據(jù)悉，黑客冒充公司的IT部門專家，聯(lián)系了Twitter的幾名遠程員工，要求他們提供工作帳戶憑據(jù)。這些憑據(jù)幫助攻擊者訪問了社交網(wǎng)絡(luò)的管理員工具，重置了數(shù)十名公眾人物的Twitter帳戶，并發(fā)布詐騙信息。

防護建議

制定具有明確指示的網(wǎng)絡(luò)安全政策很重要，但這還不夠。組織還應(yīng)定期進行培訓(xùn)，以確保其員工充分了解該政策的關(guān)鍵規(guī)則，并提高其整體網(wǎng)絡(luò)安全意識。如果每個員工都知道誰可以重置密碼、如何重置密碼以及在何種情況下需要重置密碼，他們就不太可能落入攻擊者的陷阱。

特權(quán)帳戶需要額外的保護，因為其所有者通常可以訪問最關(guān)鍵的系統(tǒng)和數(shù)據(jù)。如果黑客能夠獲取這些帳戶，將可能對組織的數(shù)據(jù)安全和聲譽造成災(zāi)難性后果。為確保及時檢測和預(yù)防特權(quán)帳戶下的惡意活動，組織應(yīng)該部署支持連續(xù)用戶監(jiān)控、多因素身份驗證（MFA）以及用戶實體行為分析（UEBA）的安全解決方案。

類型二：特權(quán)濫用

有時，部分內(nèi)部員工也會濫用授予他們的特權(quán)。組織中存在許多具有特權(quán)的用戶，如管理員、技術(shù)專家和管理者，他們可以完全訪問網(wǎng)絡(luò)中的多個系統(tǒng)，甚至可以在不引起任何人注意的情況下創(chuàng)建新的特權(quán)帳戶。

不幸的是，企業(yè)很難檢測到擁有特權(quán)的用戶是否濫用了他們的權(quán)限。這類罪犯往往可以巧妙地隱藏自己的行為，甚至可能誤導(dǎo)組織的內(nèi)部調(diào)查，就像下述Ubiquiti Networks的情況一樣。

代表性事件1：Ubiquiti Networks

2020年12月，Ubiquiti Networks的一名員工濫用其管理權(quán)限竊取機密數(shù)據(jù)，并將其用于獲取個人利益。攻擊者通過VPN服務(wù)訪問公司的AWS和GitHub服務(wù)，并授予他自己高級開發(fā)人員的證書。這名員工冒充匿名黑客，告知公司“竊取了他們的源代碼和產(chǎn)品信息”，并要求公司支付近200萬美元的贖金，以阻止進一步的數(shù)據(jù)泄露。

可笑的是，該員工還參與了后續(xù)的事件響應(yīng)工作。為了混淆公司的調(diào)查方向，他謊稱外部攻擊者侵入了公司的AWS資源。

代表性事件2：國際紅十字國際委員會（ICRC）

2022年1月，國際紅十字委員會遭受嚴重網(wǎng)絡(luò)攻擊和大規(guī)模數(shù)據(jù)泄露。紅十字委員會網(wǎng)絡(luò)戰(zhàn)顧問盧卡斯·奧列尼克（Lukasz Olejnik）表示，這可能是人道主義組織有史以來發(fā)生的最大規(guī)模敏感信息泄露事件。此次事件導(dǎo)致515000多名因地緣沖突、移民和其他災(zāi)難而與家人分離的弱勢人群隱私數(shù)據(jù)泄露。

起初，人們認為這一事件是由于對該組織的一個分包商的攻擊造成的。然而，后續(xù)調(diào)查表明，此次攻擊的目標正是紅十字委員會的服務(wù)器。惡意行為者通過一個漏洞訪問了紅十字委員會的系統(tǒng)，獲取了特權(quán)賬戶，并偽裝成管理員獲取敏感數(shù)據(jù)。

防護建議

各組織有多種方式可以防止特權(quán)濫用，比如可以通過啟用手動批準模式來保護組織最重要的特權(quán)帳戶。許多組織還擁有多人使用的特權(quán)帳戶，例如管理員或服務(wù)管理帳戶。在這種情況下，可以使用輔助身份驗證來區(qū)分此類帳戶下單個用戶的操作。

在AWS上啟用用戶活動監(jiān)控可以幫助企業(yè)迅速識別和響應(yīng)可疑事件，降低關(guān)鍵數(shù)據(jù)從云環(huán)境中被盜的風(fēng)險。此外，詳細的用戶活動記錄和審計可以簡化事故調(diào)查過程，并防止肇事者誤導(dǎo)調(diào)查人員。

類型三：內(nèi)部數(shù)據(jù)竊取

內(nèi)部人員往往是組織默認可信的人。通過合法訪問組織的關(guān)鍵資產(chǎn)，內(nèi)部人員可以在無人監(jiān)管的情況下輕松竊取敏感數(shù)據(jù)。

代表性事件1：電子商務(wù)平臺Shopify

2020年，知名電子商務(wù)平臺Shopify成為內(nèi)部攻擊的受害者。Shopify的兩名員工被攻擊者收買，竊取了近200名在線商家的交易記錄。他們向網(wǎng)絡(luò)犯罪分子發(fā)送了敏感數(shù)據(jù)截圖和谷歌硬盤的數(shù)據(jù)鏈接。

根據(jù)該公司的聲明，受損商家的客戶數(shù)據(jù)可能已被泄露，包括基本聯(lián)系信息和訂單詳細信息。但Shopify同時聲稱，沒有敏感的個人或財務(wù)信息受到影響，因為攻擊者無法訪問這些信息。

代表性事件2：Cash App

2021年12月，Block股份有限公司披露其子公司Cash App發(fā)生網(wǎng)絡(luò)安全事件。一名前員工下載了內(nèi)部報告，其中包含了800多萬名Cash App投資客戶的信息。該公司沒有說明這名前員工為什么可以長時間訪問敏感的內(nèi)部數(shù)據(jù)，只是聲稱被盜報告中沒有包括任何個人身份信息，如用戶名、密碼或社會安全號碼。

防護建議

確保組織敏感數(shù)據(jù)安全的第一步就是限制用戶對數(shù)據(jù)的訪問。企業(yè)應(yīng)該考慮實施“最低權(quán)限”原則，以完善訪問管理策略。用戶活動監(jiān)控和審計工具也可以幫助網(wǎng)絡(luò)安全團隊發(fā)現(xiàn)員工的可疑行為，例如訪問與職位無關(guān)的數(shù)據(jù)或服務(wù)、訪問公共云存儲服務(wù)或向私人賬戶發(fā)送帶有附件的電子郵件。

一旦員工的合同終止，應(yīng)該確保有適當(dāng)?shù)碾x職流程。它應(yīng)該包括停用帳戶、VPN訪問和遠程桌面訪問、更改員工可能知道的訪問代碼和密碼，以及從電子郵件組和通訊組列表中刪除員工的帳戶。

類型四：知識產(chǎn)權(quán)盜竊

商業(yè)秘密是許多網(wǎng)絡(luò)犯罪分子的主要目標，而知識產(chǎn)權(quán)正是一個組織最有價值的數(shù)據(jù)類型之一。絕妙的想法、創(chuàng)新的技術(shù)和復(fù)雜的方案為企業(yè)帶來了競爭優(yōu)勢，因此成為惡意行為者的主要攻擊目標也就不足為奇了。

代表性事件1：英特爾

近期，英特爾起訴其前雇員竊取機密文件和商業(yè)機密。這起事件發(fā)生在2020年1月。根據(jù)訴訟內(nèi)容，瓦倫·古普塔（Varun Gupta）博士在英特爾工作了10年，在其任職的最后幾天里竊取了超過3900份機密文件，并將其放在移動硬盤上。在被英特爾解雇后，Gupta又在微軟獲得了一個管理職位。不久之后，Gupta參加了微軟和英特爾關(guān)于Xeon處理器供應(yīng)的談判。在談判中，Gupta提到了英特爾的機密信息和商業(yè)秘密，為他的新雇主贏得不正當(dāng)?shù)纳虡I(yè)優(yōu)勢。

代表性事件2：Proofpoint

2021年1月，Proofpoint公司合作伙伴的前銷售總監(jiān)竊取了該公司的商業(yè)秘密，并將其與競爭對手分享。這些文件包含了與Abnormal Security公司（該員工離職后就任的公司）競爭的策略和戰(zhàn)術(shù)。Proofpoint的法務(wù)代表聲稱，盡管在入職時就簽署了競業(yè)禁止協(xié)議，但該惡意員工還是拿走了帶有隱私文件的USB驅(qū)動器。

代表性事件3：輝瑞制藥

2021年10月，一名內(nèi)部員工偷走了輝瑞公司12000份機密文件，其中包括有關(guān)新冠肺炎疫苗以及實驗性單克隆癌治療的商業(yè)數(shù)據(jù)。

輝瑞公司起訴了該員工將包含商業(yè)機密的文件上傳到私人谷歌硬盤賬戶和個人設(shè)備。據(jù)悉，該惡意員工可能是想把竊取的信息傳遞給輝瑞的競爭對手，因為后者此前曾向這位前輝瑞員工提供過工作機會。

防護建議

首先，組織需要全面了解哪些信息是最有價值的知識產(chǎn)權(quán)，它位于何處，以及誰真正需要訪問它。當(dāng)涉及到技術(shù)專家時，組織可能不得不讓他們獲得相關(guān)資源。但是，組織應(yīng)該只授予他們完成工作所需的相關(guān)訪問權(quán)限。通過使用高級訪問管理解決方案，企業(yè)可以防止未經(jīng)授權(quán)的人員訪問知識產(chǎn)權(quán)。

組織還可以使用強大的用戶活動監(jiān)控和用戶實體行為分析（UEBA）工具來加強對知識產(chǎn)權(quán)的保護，這樣可以幫助組織檢測網(wǎng)絡(luò)中的可疑活動，并為進一步調(diào)查收集詳細證據(jù)。企業(yè)還應(yīng)該部署防復(fù)制或USB管理解決方案，使員工無法復(fù)制敏感數(shù)據(jù)或使用未經(jīng)批準的USB設(shè)備。

類型五：供應(yīng)鏈攻擊

分包商通常擁有與內(nèi)部用戶同等的系統(tǒng)訪問權(quán)限。與分包商和第三方供應(yīng)商合作是當(dāng)今組織的常態(tài)。但是，過度允許第三方伙伴訪問企業(yè)網(wǎng)絡(luò)很可能會產(chǎn)生網(wǎng)絡(luò)安全風(fēng)險。

代表性事件：大眾汽車

2021年5月，大眾汽車披露，惡意行為者通過攻擊一家大眾汽車的數(shù)字銷售和營銷合作供應(yīng)商，訪問了一個不安全的敏感數(shù)據(jù)文件，事件影響了300多萬奧迪現(xiàn)有和潛在客戶。

雖然大多數(shù)被泄露的數(shù)據(jù)僅包含客戶的聯(lián)系方式和購買或查詢的車輛信息，但約90000名客戶的敏感數(shù)據(jù)也被竊取。為響應(yīng)此次事件，大眾最終承諾為受影響的用戶提供免費信貸保護服務(wù)。

防護建議

在選擇第三方供應(yīng)商時，企業(yè)應(yīng)關(guān)注他們的網(wǎng)絡(luò)安全制度及合規(guī)性。如果潛在的合作商缺乏網(wǎng)絡(luò)安全實踐經(jīng)驗，請考慮在服務(wù)級別協(xié)議中添加相應(yīng)的要求，并將分包商對關(guān)鍵數(shù)據(jù)和系統(tǒng)的訪問限制在其工作所需的范圍內(nèi)。

為了加強對最關(guān)鍵資產(chǎn)的保護，企業(yè)可以應(yīng)用多種網(wǎng)絡(luò)安全措施，如MFA、手動登錄批準和實時特權(quán)訪問管理。此外，還可以考慮部署監(jiān)控解決方案，以查看誰對企業(yè)的關(guān)鍵數(shù)據(jù)做了什么。保存第三方用戶活動記錄可實現(xiàn)快速徹底的網(wǎng)絡(luò)安全審計和安全事件調(diào)查。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<