降低惡意內部人員的風險

威脅來自內部

大多數內部安全事件都是由無心之失引起的。但有時候，出於某種原因，員工故意竊取或篡改企業資源以獲得一些收益。根據 Ponemon Institute 對內部人員威脅的研究，無論是利用漏洞還是竊取可能在未來使他們受益的資料，這些惡意內部攻擊的平均成本為 648,062 美元。這些成本來自多種因素，包括資料和系統遺失、還原上述資料和系統所需的努力，以及支付給攻擊者的贖金。除了財務影響外，這些攻擊還可能從多個角度對組織造成損害：聲譽、競爭優勢、客戶信任等。

最近的一些頭條新聞表明，沒有任何組織能夠完全免受惡意內部人員的風險，並明確表明需要實作適當的安全措施來緩解風險：

• Pfizer 聲稱，一名員工將 12,000 個檔案上傳到 Google Drive 帳戶，其中包含與 COVID-19 疫苗商業機密相關的資料。據稱該名員工獲得了另一家公司的就業機會。

• 康乃狄克州的一家公司聲稱，一名離職員工在離職時透過加密檔案和發出匿名付款要求對公司系統進行了勒索軟體攻擊。

• 紐約的一名資深開發人員因涉嫌透過 VPN 竊取資料並試圖假裝外部駭客勒索其雇主而被捕。

惡意內部人員已經存在了數十年，但是，隨著向遠端工作的轉移，這些攻擊者帶來的風險也隨之增加。由於許多員工、承包商和合作夥伴現在在辦公室和傳統企業網路以外工作，因此區分惡意內部人員和正常行為更加困難。

提高惡意內部人員風險的趨勢

Forrester Research 將與疫情相關的遠端工作激增描述為「對於惡意內部人員的完美風暴」。與許多其他攻擊類型一樣，由於疫情影響，惡意內部人員更容易隱藏自己的行為，但風險並不僅僅源於疫情。幾個推動因素包括：

• 缺乏實際可見度：遠端使用者難以監控，例如，他們可以拍攝電腦螢幕上顯示的機密資訊的相片，而不會留下痕跡或面臨被同事觀察到的風險。此外，在不尋常的時間存取公司資源或在不尋常的時間離開工作等行為，在過去被視為潛在資料遭竊的警告訊號，而如今更難以被遠端團隊注意到，甚至可能因為「彈性」工作排程而完全不可疑。

• 使用個人裝置：越來越多組織支援自攜裝置 (BYOD)。但是，控制個人裝置上的資料和應用程式存取會比較困難，這為資料竊取建立了另一個存取點。如果安全團隊缺少端點軟體來獲得對個人裝置上存取情況的某些可見度和控制權，他們可能不會注意到正在進行的非預期資料存取。

• SaaS 應用程式的採用率增加：SaaS 應用程式託管在傳統企業網路之外的第三方雲端基礎結構中。員工經常透過公用網際網路存取這些應用程式，而且如果組織沒有透過安全 Web 閘道監控公用網際網路使用情況，他們將無法追蹤誰正在存取哪些資料。

• 「大辭職」：不幸的是，有些員工將辭職視為獲取機密資訊以獲得下一份工作的機會。在 Tessian 的一項調查中，有 45％ 的人聲稱在離職之前或被辭退之後下載了檔案。對於 IT 部門則尤為如此——Gartner 最近的一項調查發現，只有 29％ 的 IT 員工「高度願意繼續為現任雇主工作」。隨著這種趨勢的繼續，離職員工竊取敏感性資訊將成為更大的潛在風險。

除了這些趨勢之外，惡意內部人員使用的策略也迅速發展。最近的一份內部人員風險報告發現，32% 的惡意內部人員使用了「複雜的技術」，包括使用一次性電子郵件地址、隱藏其身分、隨著時間的推移緩慢行動、將檔案儲存為個人電子郵件帳戶中的草稿，以及使用組織內部現有核准工具來尋找和洩露資料。

用於緩解的操作步驟

Code42 的年度資料暴露報告指出，39％ 的公司沒有內部人員風險管理計畫。對於這些公司來說，實作將是重要的第一步。要建立一些立即生效的保障措施，可以考慮納入一些營運最佳做法，例如：

• 在員工遞交辭職信後，立即減少其對最敏感的應用程式和資料的存取權限。

• 即時鎖定已離職員工的企業資源。

• 閒置時強制重新登入。

• 要求使用密碼管理員程式。

• 就有關可疑行為對員工進行培訓。

• 實作報告可疑行為的匿名程序。

採用 Zero Trust 進行威脅預防

惡意內部人員本身為內部人員，其熟悉組織的安全做法。這意味著前面提到的操作通訊協定永遠無法完全防止風險。相反，預防需要更全面的、現代化的安全框架，如 Zero Trust。Zero Trust 的核心原則是預設不信任任何使用者或要求，即使已經在網路內部也是如此。

Zero Trust 安全性可協助組織減少惡意內部人員的弱點，需做到以下幾點：

• 棄用 VPN：VPN 通常會為使用者提供完整網路存取權限。這種過高的權限創造了不必要的風險，讓惡意內部人員能夠橫向散佈威脅並洩露資料。逐步淘汰 VPN 是實現長期 Zero Trust 採用的常見早期步驟。

• 監控網際網路瀏覽並套用安全控制：這意味著提高網際網路上使用者活動的可見度，並套用控制以防止惡意內部人員在可疑網站或雲端儲存網站的個人租用戶中輸入敏感性資料。這些控制可透過安全 Web 閘道 (SWG) 和遠端瀏覽器隔離 (RBIS) 實現。

• 根據身分和其他環境訊號進行驗證的存取：設定最低權限存取原則，僅允許先通過基於身分、多重要素驗證 (MFA) 和其他環境訊號（如裝置狀態）的驗證的使用者存取資源。對這些環境訊號進行分層可以幫助抓出惡意的內部人員。檢查這些環境訊號有助於偵測來自潛在惡意內部人員的可疑、不可信活動。

Cloudflare 協助組織實現全面的 Zero Trust 安全性，強制執行由身分、狀態和環境驅動的規則，以保護應用程式，確保使用者只能存取其工作所需的應用程式和資料，將資料外流的可能性降至最低。

Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章，本文為其一。

重點

• 遠端工作如何使發現內部人員威脅更具挑戰性

• 使惡意內部人員更容易採取行動的因素

• 內部人員用來洩露資料的進階技術

• Zero Trust 安全性如何防止橫向移動

相關資源

• 隨時隨地工作的 7 種方式

• 零信任網路存取的興起

• 將 Zero Trust 擴展至網際網路瀏覽器

• 網路的未來