Noll
(Bild: Baris Er, Getty Images)
Det har inte en super-sexig moniker som KRACK eller Heartbleed, men minnet av insider hot vävstolar stora organisationer, och har så gjort så länge som el, kisel, och datorer har varit paras ihop för att lagra information.
Samtidigt som det är lätt att föreställa sig en missnöjd, missnöjd anställd blir en skadlig aktör inom en organisation, och dumpning familjen juveler av trots, det är mycket mer troligt att en välmenande medarbetare gjorde något som de egentligen inte borde ha.
Under den senaste tiden, det verkar som om en ström av data läckage har uppstått på grund av upptäckten av data till vänster sitter på världen-visas-servrar. Till exempel Accenture lämnat sina nycklar till kungariket exponeras på fyra servrar, Verizon hade 14 miljoner abonnenten poster som sitter oskyddad på Amazon S3, och även Australiens nationella tv-bolaget ABC, var att det finns brister i förra veckan när det visade sig ha haft kunduppgifter och 1 800 dagliga MySQL-databas säkerhetskopior utsätts för.
“Jag börjar alltid från den synpunkt, är din största hotet är insider hot,” security advisor och tidigare Telstra CISO Mike Burgess berättade ZDNet. “Det är inte på grund av att din personal är dålig, eller människor i leverantörskedjan är dåligt-det är helt enkelt den mänskliga allmänhet kan göra störst skada, och vi har sett många exempel på det.”
En nyligen genomförd undersökning av Thales visade att 54 procent av de svarande sade anställd fel var det mest betydande hotet mot känsliga eller konfidentiella data, med bolagets APAC CISO Ben Doyle ZDNet säger att även om det är ofta tecken på skadlig insider beteende, att det är svårare att upptäcka olyckor.
“Om du har en stark säkerhetskultur, och inte bara informationssäkerhet kultur, men en övergripande säkerhet kultur, det är i allmänhet indikationer av förändring av attityder och sånt, om det kommer att vara en skadlig insider, som du kommer att ha en chans [att plocka upp],” Doyle.
“Jag antar att risk för oavsiktlig en är en hel del fall kan det inte vara några indikatorer tills du hittar dig själv i trubbel.”
Det är en uppfattning som delas inom industrin, med Sophos CTO Joe Levy säger en oavsiktlig insider är mer benägna att kompromissa ett företag än en outsider.
“De är närmare uppgifter, bara i termer av mängden av svårigheter och närhet, det är mycket mer troligt att den senare kommer att hända,” Levy sagt.
För McAfee TEKNIKCHEF Steve Grobman — som talade till ZDNet innan företaget hade sin egen missöden förra veckan — definitionen av sårbarheter behov att gå längre än mjukvara.
“När vi tänker på sårbarheter, vi kan inte tänka sårbarheter som bara sårbarheter i mjukvara som Apache Struts-vi måste också tänka på sårbarheter som missbrukas tillgång till kontroller, så någon droppar innehåll i en S3 lagring [hink],” Grobman berättade ZDNet.
“En del av problem med läckage eller förlust av data när data är ute, det är verkligen ingen sanering för att få det tillbaka. När tandkräm ur tuben, du kan inte sätta i den igen.”
Dock, medan antalet företag som fångats in av oavsiktlig läckage fortsätter att stiga, för Levy, det är en biprodukt av att företag har att spela i programvaran utrymme på grund av en allt mer uppkopplad värld.
“Det är något som är väldigt mycket nytt,” sade han. “Människor som har varit i branschen under de senaste 30 åren som inte varit i mjukvaror är nog inte mycket som är bekant med dessa typer av begrepp och principer.
“Det kommer att vara detta fönster av exponering som människor är lärande och för att utveckla den muskel minne i grund och botten om hur man gör saker på rätt sätt i program-land som bara kommer att skapa en hel del problem-som att människor sätter sin AWS nycklar upp på GitHub.
“Förhoppningsvis är de händer nog att människor lär sig om dem, och det finns nivåer av ledarskap i organisationer och även styrelser i företag nu som är i början av att lära sig dessa saker.”
Enligt Burgess, insider hot är inget nytt, det är bara det kan inträffa snabbare än tidigare.
“Det är nackdelen med upp till denna teknik-ansluten-aktiverat världen,” sade han. “Inget nytt här, folk bara måste brottas med det faktum teknik och anslutningar innebär att dåliga saker kan hända snabbt.
“Jag är lite förvånad över, med tanke på allt som har hänt i världen, att fler människor inte är uppmärksamma på detta. Men på uppåtsidan, fler människor är uppmärksamma på detta, och nu har de bara fått räkna ut den rätta vägen för att identifiera och hantera risker på ett effektivt sätt.”
För Grobman, utmaningen i att ta itu med hot insider är att det är mer än en fråga om teknik och kräver politik.
“Om du tänker på vad en insider är hotet, det är en insider som missbrukar behörighet, privilegier som de har uttryckligen fått tillgång till, så är det mycket svårare att faktiskt skilja på om detta faktiskt är en skadlig uppsättning av aktivitet, i motsats till något som är legitimt för att någon gör sitt jobb”, sade han.
“Först och främst företag har att leva efter principen om minst privilegium. Den största uppsättning av missbruk som jag har sett är vanligtvis där det finns lax politik när det gäller tillgången till funktioner eller funktioner som någon inte riktigt behovet av att göra sitt jobb och det är bara lättare att ge människor carte blanche för alla möjliga saker.”
Som med många andra aspekter av säkerhet, McAfee CTO sa inget företag någonsin kommer att bli av insider hot, men det är möjligt att minska det genom beteendeanalys eller att kunna upptäcka massiva data exfiltration.
“Funderar på att göra saker och ting svårare är en av de viktigaste saker som vi kan göra, även om det inte löser problemet helt och hållet”, sade han.
Grobman sa att det var viktigt att inte gå over the top och införa restriktioner för användare och administratörer lika om de är onödiga.
“Det viktigaste för människor att tänka är att förstå vad de olika riskerna i en organisation är, och rätt storlek kontrollerna så att du inte över-att belasta de saker du verkligen inte bryr sig om, men på samma gång har du möjlighet att sätta din mest kritiska resurser och politik på de saker som betyder,” sade han. “Det andra elementet som jag tycker är viktigt är inte bara de saker som är viktiga men saker som är svårare att åtgärda eller reparation.
“Om du skyddar en bit av infrastruktur, om det är överträtt från en denial of service-perspektiv, för att återhämta sig från det, det är i princip ingen långvarig skada skedd, vilket skiljer sig från ett dataintrång där om uppgifterna är antingen personliga information eller immateriella rättigheter, eller något som kommer att vara intressant för en lång tid, även om du fixa felet, fixa tillstånd, om de uppgifter som redan har stulits, och de skador som är mycket svårare, om inte omöjligt att åtgärda.”
Sedan kommer det alltid att finnas någon i en organisation som vet hur råttfälla är gjort, och de toleranser som utlöser det, Levy sagt är det viktigt för organisationer att kunna utreda en olycka i efterhand, och har en inventering av alla beräkna fall och tillgångar.
Burgess ekade en liknande känslor, och att ta itu med frågan om entreprenörer och andra leverantörer läcker uppgifter, säger företag måste äga sina risker och inte föra den uppåt eller nedåt i distributionskedjan.
“Det ska aldrig vara försvar för [att säga]: ‘Ja jag litade på ACME sprocket teknik för att göra det och det är deras problem och deras fel”. Om du inte har gett dem eller sagt till dem till dina förväntningar till dem runt som information, så har du misslyckats, det är din risk,” tidigare Telstra CISO sagt. “Kan du inte lägga ut den risken, kan du inte skylla på din entreprenad leverantör, du äger den.”
Gillar så mycket att göra med interna hot, Burgess sade att äga risk var en ledande fråga, som var exempel på påtryckningar på en IT-avdelning för att “bara få ett projekt över linjen” och göra vad som behövdes.
“Du har fortfarande någon som gör fel sak, men det exemplet är bara ett av dåligt ledarskap”, sade han. “Bra organisationer har kontroller och balanser på plats-inte alltför byråkratiska, men du kommer att betala uppmärksamhet till din mest värdefulla data, och du vet vad som händer med det.
“När fall som inträffar, kan du upptäcka dem för att antingen förebygga dem, eller faktiskt när de inträffar, gör du det rätt snabbt eftersom det är ett faktum du inte kan eliminera detta problem, men du kan hantera risken. Och för att hantera risken, du har att uppmärksamma data och vad är det som händer med det.”
På senaste numret av informationsläckage, Doyle sa att det skulle vara fel att peka finger på användning av cloud computing.
“Jag anser att detta beteende var skyddad tidigare med en omkrets, därför dåligt beteende var mindre benägna att bli offentliga. Du behöver inte ha externa personer [söker] om du inte har en riktigt dålig omkrets med dina interna system,” sade han.
“Medan med Amazon S3 hinkar, eller någon annan moln lagring lösning, om det inte är skyddade då är det uppenbart att det är offentligt.”
Enligt Thales APAC CISO, med rörlighet av data i den moderna världen, är det viktigt för företag att veta var deras information är och för att förstå värdet av det.
“Vi har flyttat till en värld där du har fått för att skydda denna värdefulla data i vila, är i bruk, och i rörelse,” Burgess instämde. “Det är ett helt annat tankesätt.”
Hela styrelsen, CXOs intervjuade sade hantering och sätta planer i stället för att ta itu med hot insider är en uppgift som kommer att involvera alla delar av ett företag-oavsett om det handlar om att identifiera var känsliga uppgifter liv, till vilka uppgifter som är känsliga i första hand — och får inte lämnas till IT-avdelningen ensam.
Om din organisation har inte tittat in sina data hinkar i den senaste tiden för att se vilka uppgifter som kan vara av misstag världen-synlig, då skulle det vara bäst att få på det innan någon annan gör det.
ZDNET ÄR MÅNDAG MORGON ÖPPNAREN
Måndag Morgon Flasköppnare är våra öppna salvo för veckan i-tech. Eftersom vi kör en global webbplats, detta redaktion publicerar på måndag kl 8:00 CET i Sydney, Australien, som är 6:00 pm Eastern Time på söndag i USA. Den är skriven av en medlem av ZDNet globala redaktionen, som består av våra leda redaktörer över hela Asien, Australien, Europa och USA.
Tidigare på måndag Morgon Flasköppnare:
De stora uppgifter som vetenskap hoppas: maskininlärning kan bota din fruktansvärda uppgifter hygien Efter iPhone X: Förutsäga framtiden för smartphone Företag behöver tänka på en offentlig it-stjärniga klassningen Varför it-chefer har större IT-budgetar för 2018, och vad de ska köpa iPhone X: Ledsen Apple, men jag kan inte bara ansiktet med Face ID-Långt från deja vu, Google ännu en gång upprepa historien Det är nu eller aldrig för trådlös laddning IBM: s Watson Data Plattform syftar till att bli data vetenskap operativsystemet Utanför iPhone: Hur Apple positionerar sig för nästa stora sak Big data och digital förvandling: Hur man gör den andra Amazon inte svettas konkurrenter, men alla andra företag måste kunna svara på Amazon fråga Chromebook kommer inte att flytta in i verksamheten om de inte kan köpas Publika moln, privata moln eller hybridmoln: Vad är skillnaden?
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0