3种方法阻止内部威胁

2019年7月，全球连锁酒店万豪国际集团被指控由于泄露了英国3.8亿多名酒店客人的数据，该公司被处以1.23亿美元的罚款。这一事件归咎于监管不力和员工疏忽——如果IT系统得到保护，这两件事都是完全可以避免的内部威胁．尽管成熟的组织对于常见的安全事件有明确定义的事件响应计划和程序，但很少有组织致力于更好地理解如何减轻和响应内部威胁。这使得打击内部威胁成为最关键的问题之一首席信息安全官（CISOs）.

“ciso需要知道谁面临风险，风险的来源是什么，以及可以激活风险行为的触发因素是什么。”

“内部威胁是一个现实，ciso在创建事件响应计划时必须考虑到这些，”他说乔纳森保健高德纳公司高级董事分析师。为了应对这些威胁，ciso不能简单地部署产品、实施流程或提高用户意识。内部威胁需要多方面、多学科的方法。”

阅读更多:Gartner 2019年七大安全风险和趋势

但是，构建事件响应场景以应对任何可以想象到的内部威胁类型，将花费比任何单个组织都多的时间和资源。相反，ciso可以构建侧重于三个关键领域的威胁场景:

• 监视和监视的能力
• 特定于其组织的概要文件和角色
• 过往内幕事件

投资于员工监控和监视能力

投资于监控和监视功能，以更好地了解人员和资产，并提高其可视性——从如何处理数据以识别不符合标准政策的员工行为。此类投资将帮助您在发生违规行为时有效地开展响应、缓解和恢复工作。Care说:“ciso需要知道谁面临风险，风险的来源是什么，以及可以激活风险行为的触发因素是什么。”对员工和供应商进行彻底的背景调查，并监控异常数据交换，使ciso能够了解用户实体行为分析。这对于了解风险来源及其后续的风险缓解计划至关重要。

建立概要和角色

事件响应场景来自开发用户概要和角色，这些用户概要和角色可以帮助识别具有高风险活动的用户或组的异常行为。识别潜力危险的行为并将它们与潜在的解决方案或缓解措施相对应。虽然不同的公司会有不同的做法，但常见的情况包括安装未经批准的软件、密码输入失败以及试图访问其他员工账户。

随着您对用户配置文件和角色的深入了解，这些场景可以变得更有针对性。Care说:“一旦确定了特定于上下文的事件响应场景，就可以迭代操作以包括特定的用户或组，以表明这些操作是否需要升级为事件。”