网络独家

打击内部威胁的小贴士
梅洛迪·安·考夫曼著

COVID-19污染了我们社会的方方面面，从保持社交距离和戴口罩等日常生活方式的改变，到关闭学校和远程学习、活动中的健康筛查和虚拟会议。所有类型的组织都面临着远程工作人员的突然涌入，或者被彻底关闭。只有负责关键基础设施的关键任务员工继续在本地工作。生活被缩减为维持封锁人群健康和生活必需品的服务。但没有什么比医疗保健行业受到的影响更大了，这个绝望的世界依靠在医疗保健行业的肩上。

即使现在，世界正在艰难地开始重新开放进程，COVID-19大流行的长期影响也是不可否认的。医疗保健面临着患者护理、寻找治疗方法和开发疫苗的挑战，同时还要管理和保护从患者护理、健康保险和账单信息以及临床试验、研究和日常组织操作中生成的大量数据。

然而，有些人试图利用混乱来谋取私利。利用COVID-19的网络钓鱼电子邮件和题为“解雇信”的电子邮件中的新型密码破解器加入了破坏系统和网络的传统尝试。当医护人员专注于拯救生命和解决大流行难题的时候，无处不在的网络威胁正在抓取进入的大门。

《2020年内部威胁报告》显示，仅在过去12个月中，72%的企业遭受了内部威胁攻击的增加。只有61%的企业拥有内部特权账户的可见性，只有22%的企业拥有云的可见性，这表明“敌人就在门口”的心态无法解决巨大的威胁面。

内部威胁造成的损害
违规行为不仅仅是由外部恶意行为者造成的;这通常是一个偶然的行为或被误导的员工。具有特权访问权限的人打开网络钓鱼电子邮件或跟踪恶意链接，将系统暴露给恶意软件。被盗的员工凭证会导致第三方访问受保护的数据。即使是被授权过多的员工无意中发现敏感信息也会被视为违规行为。

恶意行为者也存在于网络内部，他们可能是心怀不满或恶意的员工，故意着手窃取、删除或更改数据，也可能是内部代理故意利用内部连接访问内部系统。这些人是数据安全的威胁，也是泄露信息的可能载体，可能会损害组织的声誉，甚至破坏系统。

因为避免内部威胁是不可能的，管理它们是影响和缓解成本之间的微妙平衡。医疗保健处理由于HIPAA而产生的严格要求，它概述了具体的保护措施，以保持患者数据的私密性，并限制可以访问该信息的各种个人。

对于不遵守HIPAA的组织，民权办公室可以采取广泛的惩罚措施，包括高达数百万美元的罚款和/或纠正行动计划。纠正行动计划听起来无害，但可能导致昂贵的补救措施，由于强制控制和加速实施时间表而超过罚款。

除了罚款，公众形象和声誉也会受到更模糊的影响。一个医疗保健组织依赖于信任——病人觉得他们得到了最好的治疗，他们的数据得到了适当的保护。

应对内部威胁
内部威胁令人生畏，并构成严重风险，但可以采取措施减轻这种风险。最简单的方法之一是通过培训和筛选双管齐下的方法帮助优秀的员工做出正确的决定。包括网络钓鱼意识在内的最终用户安全最佳实践培训可确保用户了解如何做出保护自己和组织的选择。

此外，内置反网络钓鱼解决方案的良好电子邮件过滤系统可以在员工和攻击者之间提供一层防御，在众所周知的网络钓鱼威胁到达收件箱之前将其消除。最好的解决方案有一个众包功能，允许员工报告网络钓鱼电子邮件，并为报告的电子邮件提供回滚。培训和过滤的双重作用可以防止优秀的内部人员在不知不觉中成为威胁，并限制信息从裂缝中溜走。

抵御恶意行为者需要更多的技术——具体来说，是防止他们窃取或修改数据和破坏系统的控制措施。健壮的身份治理和管理程序提供了确保数据安全的保护，其中关键是细粒度的权限管理，限制对特定文件和应用程序的访问，以及有效的访问请求管理，简化了审批过程，同时为审批者提供了有关所请求资产的基于风险的可见性。基于风险的可见性对于适当的职责隔离和适当的访问跟踪至关重要。这确保了HIPAA要求的高风险访问请求的正确日志记录。

用户行为分析工具提供了快速识别可疑用户行为并将其阻止的智能。该工具的集成允许对敏感数据进行关键监控，并对访问执行完整性检查，验证用户出于合法原因访问数据。

确保适当的网关保护仍然很重要，但注意内部威胁也不容忽视。通过使用多层方法，可以形成坚实的保护，以帮助管理内部和外部威胁。这在医疗保健行业尤其重要，因为在这个行业，风险很高，内部威胁并非纯粹是恶意的，甚至可能来自最善意的员工，只是碰巧做出了错误的决定。

- Melody Ann J. Kaufmann是savynt (www.saviynt.com)，拥有信息系统理学硕士学位，拥有20多年的不同技术经验，包括设计、开发和实施提高组织敏捷性的应用程序、系统和企业级解决方案。Kaufmann是一位对云安全充满热情的信息安全专家，他的专业知识涵盖了从医疗保健到高等教育的一系列IT垂直领域。