亚洲精品不卡久久久久久_色视频线观看在线 _妽妽夹得我好舒服_国产真人一级a爱做片高潮_亚洲aⅴ无码专区在线观看q

當前位置: 首頁 >綜合 > 正文

天天短訊!高效內(nèi)部威脅防護計劃構(gòu)建指南

2023-05-08 14:03:16 來源:安全牛

根據(jù)美國國家標準與技術(shù)研究院(NIST)的定義,內(nèi)部威脅防護計劃是一種檢測組織內(nèi)部安全威脅早期指標的有效方法,通過集中管理下多種安全能力協(xié)同,旨在提前檢測和防止違規(guī)敏感信息泄露的發(fā)生。內(nèi)部威脅防護計劃也經(jīng)常被稱為內(nèi)部威脅管理框架,主要包括異常行為監(jiān)控、威脅事件檢測、安全事件響應(yīng)以及內(nèi)部威脅防護意識培養(yǎng)等措施。


【資料圖】

對于現(xiàn)代企業(yè)組織而言,創(chuàng)建并應(yīng)用一個高效的內(nèi)部威脅防護計劃具有以下諸多好處:

減少內(nèi)部攻擊的損失。內(nèi)部威脅防護計劃可以最大限度地提高組織快速檢測和阻止安全攻擊的成功率,減少內(nèi)部人員可能造成的威脅和損害。標準、法律和法規(guī)遵從性。隨著網(wǎng)絡(luò)安全成為國家安全的重要組成部分,各國監(jiān)管機構(gòu)都已制定較完善的法律和行業(yè)性IT標準、法規(guī),明確要求企業(yè)組織加強內(nèi)部威脅管理,防止相關(guān)事件發(fā)生;提前發(fā)現(xiàn)內(nèi)部威脅。檢測內(nèi)部威脅比檢測外部攻擊更具挑戰(zhàn)性,內(nèi)部威脅防護計劃有助于組織在威脅隱患演變?yōu)檎嬲舨⒃斐蓪嶋H傷害之前發(fā)現(xiàn)威脅;快速有效地應(yīng)對內(nèi)部攻擊。內(nèi)部威脅防護計劃應(yīng)該準確描述緩解內(nèi)部威脅的具體流程、工具和人員。通過這些制度和知識,所有員工都可以更有效地處理各種可能發(fā)生的網(wǎng)絡(luò)安全事件。

為了幫助企業(yè)組織更好地制定和應(yīng)用內(nèi)部威脅防護計劃,安全研究人員梳理總結(jié)了在構(gòu)建內(nèi)部威脅防護計劃時的重點任務(wù)清單:

01制定計劃前的準備

是否充分做好準備工作,在內(nèi)部威脅防護計劃能否獲得成功的關(guān)鍵,它可以為組織節(jié)省大量的時間和精力。在進行計劃準備時,組織需要全面收集并梳理當前的網(wǎng)絡(luò)安全措施、需求和涉及人員等信息,并明確定義希望通過該計劃實現(xiàn)的任務(wù)目標。

以下是組織在計劃準備時應(yīng)該做的主要工作:

評估組織當前的網(wǎng)絡(luò)安全措施;研究組織需要遵守的法律、法規(guī)要求;定義內(nèi)部威脅計劃的預(yù)期目標;列出所有和防護計劃有關(guān)系的利益相關(guān)者。02開展內(nèi)部風(fēng)險評估

在制定內(nèi)部威脅防護計劃時,組織首先需要定義出哪些是需要重點保護的敏感資產(chǎn)。這些資產(chǎn)可以是物理方式存在的,也可以是虛擬形式的,比如客戶信息、員工數(shù)據(jù)、技術(shù)秘密、知識產(chǎn)權(quán)等。開展內(nèi)部威脅風(fēng)險評估是檢測此類資產(chǎn)及其可能面臨的威脅的最有效方法之一。它可以幫助組織形成網(wǎng)絡(luò)安全態(tài)勢的全景地圖。在開展內(nèi)部風(fēng)險評估時,通常會包括以下步驟:

明確潛在的內(nèi)部威脅來源;發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中已經(jīng)存在的安全隱患和漏洞;創(chuàng)建有關(guān)高危風(fēng)險和高價值資產(chǎn)的列表;確定風(fēng)險,并評估內(nèi)部威脅的可能性和優(yōu)先級;將結(jié)果傳達給所有利益相關(guān)者,并幫助員工提高風(fēng)險意識。03評估創(chuàng)建計劃所需的資源

要制定一個高效的內(nèi)部威脅防護計劃會面臨很多挑戰(zhàn),因此在開始之前,要充分認識到實施這種類型的計劃不能僅靠網(wǎng)絡(luò)安全部門,還需要多種公司資源的支撐保障:

管理資源:需要獲得組織各部門的認同與支持,并通過管理手段讓其配合、參與制定內(nèi)部威脅防護計劃;技術(shù)資源:計劃要靠先進的工具來保障落地,因此需要部署專用的內(nèi)部威脅管理軟件,同時重新調(diào)整現(xiàn)有的網(wǎng)絡(luò)安全解決方案和基礎(chǔ)設(shè)施;財務(wù)資源:組織需要為購買網(wǎng)絡(luò)安全軟件和雇傭?qū)B殞<翌A(yù)留充分的資金預(yù)算。

通過準備一份必要的資源清單,這樣有助于更好地向公司管理層匯報這個計劃,并且得到其認可。

04獲得高級管理層的支持

在完成以上計劃準備和制定工作后,就應(yīng)該通過目前所收集到的各種信息,來獲得公司管理層對實施計劃的支持。計劃關(guān)鍵利益相關(guān)者的名單通常包括首席執(zhí)行官(CEO)、首席財務(wù)官(CFO)、首席信息安全官(CISO)和首席人力資源官(CHRO)。

為了獲得他們的認可和支持,計劃制定者應(yīng)該準備一個清晰的案例,清楚地表明實施內(nèi)部威脅防護計劃的必要性和價值,讓其充分了解內(nèi)部威脅防護計劃如何有效幫助公司各部門實現(xiàn)他們的發(fā)展目標。

05創(chuàng)建內(nèi)部威脅響應(yīng)團隊

內(nèi)部威脅響應(yīng)團隊主要由負責(zé)內(nèi)部威脅管理各個階段的員工組成。與通常的看法相反,這個團隊不應(yīng)該只由IT或安全專家組成。它應(yīng)該是跨職能的,并擁有迅速果斷行動的權(quán)力和工具。

在創(chuàng)建內(nèi)部威脅響應(yīng)團隊時,需要明確以下工作任務(wù):

內(nèi)部威脅響應(yīng)小組的任務(wù);團隊的領(lǐng)導(dǎo)者和團隊內(nèi)部的管理匯報制度;每個團隊成員的職責(zé)范圍;團隊用于對抗內(nèi)部威脅的策略、流程和工具。06確定內(nèi)部威脅檢測措施

內(nèi)部威脅的早期檢測是最重要的保護手段,因為它可以實現(xiàn)快速響應(yīng)并降低補救成本。為了有效地檢測內(nèi)部威脅,組織需要:

監(jiān)視每個用戶的活動并收集其系統(tǒng)操作的詳細日志,安全監(jiān)控有助于安全人員實時審查可疑會話、調(diào)查事件,并評估整體網(wǎng)絡(luò)安全態(tài)勢;管控用戶對敏感資源的訪問。這樣可以幫助組織防止未經(jīng)授權(quán)的訪問并檢測可疑的訪問嘗試;分析用戶行為,發(fā)現(xiàn)威脅的早期跡象。用戶和實體行為分析(UEBA)是一款有效的工具,通常使用人工智能算法來分析正常的用戶活動,為每個用戶創(chuàng)建行為基線,并在發(fā)現(xiàn)異常行為時通知內(nèi)部威脅響應(yīng)團隊。07優(yōu)化事件響應(yīng)策略

為了對檢測到的內(nèi)部威脅快速采取行動,應(yīng)急響應(yīng)團隊必須找出常見的內(nèi)部威脅攻擊場景。關(guān)于內(nèi)部威脅響應(yīng)計劃,最重要的是它應(yīng)該是現(xiàn)實的,并且易于執(zhí)行。不要試圖用一個單獨的計劃來涵蓋所有可能的情況,而是應(yīng)該制定幾個具體的計劃,涵蓋最可能發(fā)生的事件。一個內(nèi)部威脅事件的響應(yīng)過程應(yīng)該包括:

威脅事件分析和描述;技術(shù)性和非技術(shù)性的威脅指標分析;威脅行為者分析;事件緩解策略和流程;事件分析文檔和說明。08事故調(diào)查和補救措施

為了有效地管理內(nèi)部威脅,計劃中需要明確規(guī)定好調(diào)查內(nèi)部安全威脅事件的程序以及可能的補救活動。事故調(diào)查通常包括以下行動:

全面收集和事件相關(guān)的各種數(shù)據(jù),比如審閱由UAM記錄的用戶會話,以及采訪證人等;評估事故造成的傷害;為相關(guān)的溯源和取證活動充分收集相關(guān)證據(jù);在必要的時候,盡快向上級官員和監(jiān)管機構(gòu)報告事件,并獲得更多幫助。09員工安全意識培養(yǎng)

要讓內(nèi)部威脅防護計劃真正落地,必須確保組織的所有員工都能充分了解該計劃的關(guān)鍵規(guī)則,并提高其整體網(wǎng)絡(luò)安全意識。盡管安全意識培訓(xùn)課程的內(nèi)容取決于不同組織中使用的安全風(fēng)險、工具和方法,但是在任何培訓(xùn)期間都應(yīng)該確保:

清楚解釋實施內(nèi)部威脅計劃的原因,并涵蓋最近的內(nèi)部攻擊案例及其后果;分享常見的員工內(nèi)部威脅活動,提請大家注意可能的疏忽和惡意行為,并了解社會工程攻擊的示例;要讓員工知道,如果他們發(fā)現(xiàn)內(nèi)部威脅線索或遇到內(nèi)部威脅損害時,應(yīng)該首先聯(lián)系誰?

需要強調(diào)的是,企業(yè)要充分了解內(nèi)部威脅意識培訓(xùn)的有效性。為此,組織可以采訪員工、準備測試或模擬內(nèi)部攻擊,以了解員工在培訓(xùn)中學(xué)到了什么,以及在未來的培訓(xùn)課程中應(yīng)該注意和改進什么。

10定期檢查并更新計劃

創(chuàng)建一個高效的內(nèi)部威脅防護計劃并不是一勞永逸的活動。內(nèi)部威脅是在不斷變化,其復(fù)雜性和危害性也會不斷增加,因此,內(nèi)部威脅防護計劃也應(yīng)該不斷優(yōu)化以保持效率。確保至少在下述情況下檢查您的計劃:

當發(fā)生內(nèi)部威脅事件時;出現(xiàn)新的合規(guī)性要求或網(wǎng)絡(luò)安全技術(shù);內(nèi)部威脅響應(yīng)團隊發(fā)生變動;計劃中明確要求的時間點。

參考鏈接:

https://www.ekransystem.com/en/blog/insider-threat-program/

標簽:

返回頂部