内部威胁

[nurnobi40]

我们经常面临的一个挑战是，我们的数据丢失防护和移动设备管理解决方案所针对的威胁之间存在混淆。尽管 DLP 已经非常流行，而且尚未成熟，但几乎所有 IT 经理或 CSO 都知道 DLP 是什么，但对于它最小化的风险或控制的用户行为仍然存在一些困惑。事实上，数据安全非常复杂，关于威胁如何行动以及软件如何响应的困惑也延伸到其他解决方案，而不仅仅是 DLP。
为了更清楚地了解 DLP 涵盖的内容，我们需要区分外部和内部威胁载体：

为了实现全面保护，组织还必须应对 21 世纪最大的威胁——内部威胁。当 IT 管理员忙于保护网络并设置防火墙以确保攻击者无法获取公司数据时，内部人员却可以随意将敏感数据复制到便携式存储设备并将文件上传到云端。不要误会我的意思。防火墙保护必不可少，但不要低估人为错误或设备丢失可能造成的损害程度。我们进行的一项研究表明，丢失或被盗的未加密 USB 设备是全球数据泄露的三大原因之一。研究还显示，十分之七的员工可以访问机密文件并在日常工作中使用它们。因此，员工通过云应用程序、电子邮件、即时通讯工具意外或故意获取机密信息的可能性相当高。

我们已经多次撰写有关内部威胁的文章，因此，我们不再 企业主数据库 重复，这里列出来自组织内部的最大威胁以及更多信息和资源的链接。

1.人为错误

2.不受控制地使用 USB 和移动设备

3.影子IT

“影子 IT 将公司划分为 IT 部门和其他人员，使企业一开始就陷入困境，”我们的首席执行官 Roman Foeckl 在《计算安全杂志》上发表的一篇文章中说道。
他还在 HelpNet Security 上的一篇文章中指出，“大多数云存储应用程序代表着所谓的影子 IT，这是问题的一部分。员工使用大量未得到 IT 官方支持且没有任何规则的应用程序。云存储应用程序提供商也应该解决这个问题，他们可以支持更多企业功能，例如 Dropbox for Business 正在为第三方安全供应商提供 API”。

4. 心怀恶意的员工

CSO Online 写了一篇有趣的文章，讲述了9 名破坏安全的内部员工，这些员工是心怀不满的员工如果下定决心就能取得什么成就的完美例子。
内部人员，尤其是恶意内部人员，可能会采取不同的策略来泄露敏感数据，但无论使用哪种方法，数据丢失防护解决方案都可以查看用户的数据传输并提醒 IT 管理员注意 DLP 违规行为，为他们提供制定更严格政策、向管理层报告或采取其他必要措施的前提。Swift 最近的一次数据泄露事件是内部人员和外部攻击者合作的结果，这是一个卑鄙的组合。因此，这也是实施信息安全解决方案时必须考虑的一种可能性——确保内部人员无法泄露数据，攻击者可以利用这些数据来获取更多公司记录。

外部威胁
攻击已变得有针对性，恶意个人或团体比以往任何时候都更加执着，并使用了各种创新技术。他们现在从一个组织收集数据，只是为了利用这些数据从其他组织获取更多数据。通常，他们会使用某种恶意软件渗透网络，收集有关这些系统如何工作的信息，然后使用其他技术收集敏感数据。

1. 恶意软件 恶意软件
是最常见的威胁之一，也许是用途最广泛的威胁，它是一种更普遍的威胁，包括病毒、木马、勒索软件、间谍软件、广告软件、恐吓软件等。它们通过不同的漏洞渗透网络，例如软件安全漏洞、受感染的便携式存储设备、过时的系统、不受保护的操作系统等。组织必须确保他们拥有强大的反恶意软件，或者他们可以选择反恶意软件和防病毒解决方案。

2. 机器人
机器人或聊天机器人是用于自动执行那些过于耗时且可以自动化的任务的软件程序，例如消息应用程序内的对话模拟。Slack 是众多使用机器人的应用程序之一，它让机器人开发人员对机器人更加感兴趣。虽然它们主要用于良好目的，但网络犯罪分子可以利用它们并将它们用于垃圾邮件、网络钓鱼、DDoS 攻击等。虽然很难区分启动机器人和坏机器人，但防止机器人的一个基本措施是设置 robots.txt 文件以允许您知道是好机器人的机器人。防火墙和入侵防御系统可以帮助检测可疑流量并提醒系统管理员采取进一步行动。我们还在之前的文章中讨论了有关机器人、僵尸网络以及 DLP 如何帮助缓解这些威胁的更多信息。假设一个坏机器人设法说服用户通过应用程序发送敏感数据（如信用卡号）。 DLP 不会检测到恶意机器人，但它可以提醒用户他们正在复制/传输敏感数据，如果他们无权发送该信息，则可以阻止他们。管理员也会注意到这一行为，因为他们会收到有关该尝试的详细报告。

3. DDoS 攻击
既然我们谈论的是 DDoS 攻击，这些攻击会从多个来源通过互联网向目标发送非法数据包，使服务器、路由器、防火墙等设备不堪重负，导致目标计算机的用户无法使用服务。基本上，用户并不知道他们的计算机被控制和入侵，尽管他们确实会遇到网络性能变慢、无法访问某些网站、垃圾邮件数量增加等症状。DDoS 攻击可能导致勒索、网站速度非常慢导致客户流失、数据被盗，此外还会影响生产力和业务运营。有几种解决方案可以防御 DDoS 攻击，例如专用 DDoS 缓解设备、入侵检测系统、防火墙等，但每种解决方案都有其优缺点，因此必须进行彻底评估。

4. 网络钓鱼
最近一次攻击针对的是Snapchat。攻击者冒充公司 CEO，通过电子邮件索要工资信息。骗子成功说服员工，他的电子邮件地址合法，他的要求也是合法的。公司对身份泄露道歉，并承诺将增加一倍培训计划。 网络钓鱼攻击是最常见的社会工程技术之一。骗子不仅使用电子邮件，还会使用电话、社交媒体和其他通讯工具。任何人都可能落入这些陷阱，即使没有一些基本的数据安全知识。除了培训之外，组织还应确保其系统安装了最新的安全补丁，使用可以阻止发件人的垃圾邮件过滤器，实施网络过滤以禁止访问恶意网站，并使用 DLP 解决方案在用户上传或复制粘贴敏感数据时发出警报并阻止用户。

5. DNS 攻击
顾名思义，DNS 攻击的目标是域名系统 (DNS)，如果存在漏洞，攻击者可以利用该系统。DNS 攻击有多种类型：DDoS、DNS 放大、缓存中毒、快速通量 DNS 和零日攻击。最常见的 DNS 攻击是将流量重定向到不同的服务器，让攻击者可以发起更多攻击或收集敏感信息。此外，如果 DNS 服务中断，通过该 DNS 连接的所有设备和应用程序都将停止工作。由于互联网连接也可能中断，业务也会中断，组织的形象会受到损害，客户信心也会动摇。
为了防止 DNS 攻击，一个方便的解决方案是使用 https 而不是 HTTP。该协议可以将所有者的网站证书与攻击者的网站证书进行比较，如果用户正在与真实网站而不是恶意网站进行交互，则会发出警报。还有专用设备（如 DDoS 案例）和其他缓解工具和技术，但最佳解决方案同样取决于每个组织的网络和 DNS 基础设施。

6. SQL 注入
这种威胁主要影响网站和 SQL 数据库。当攻击者被允许输入命令来查询数据库并获取用户名和密码或整个数据库等信息时，未经授权的各方通常无法访问的数据就会被获取，这些信息可以进一步用于执行其他攻击并获得利益。清理输入数据是防止 SQL 注入的最佳实践的第一步。另一种解决方案可能是数据库安全工具，它可以保护数据库，而不仅仅是阻止攻击者输入命令来检索数据。

这些是最常见的威胁，组织应该以同样的谨慎态度对待内部和外部威胁，并实施适当的解决方案，最终目的都是相同的——确保数据安全。此外，在您说您确定会尽一切努力保护组织的敏感数据之前，请仔细查看您的同事会做什么或可以用这些数据做什么。