本文来自微信公众号“数世咨询”,作者/nana。
Code42委托进行的一项数据暴露调查研究表明,尽管已经设置了专门的内部人风险管理(IRM)计划,大多数公司仍然难以阻止内部人事件造成的数据丢失。
这项研究由独立技术市场研究公司Vanson Bourne执行,该公司在今年1月到2月间调查访问了美国700名网络安全专业人员、经理和主管。
Code42总裁兼首席执行官(CEO)Joe Payne表示:“内部人事件逐年上升,考虑到我们已经进入了混合工作安排的时代,这一点毫不令人意外。如今,万物数字化,无论从事何种业务,有意无意地轻点几下,就可以很轻松地传递数据。”
研究揭示,内部人事件造成的数据损失平均同比增长32%。内部人事件包括源自企业现有内部员工造成的数据暴露、丢失、泄露和盗窃。
内部人风险极难管理
超过82%的首席信息安全官(CISO)承认担忧其所属企业的内部人风险及相关数据丢失问题。
Gartner分析师Paul Furtado称:“员工、合作伙伴和承包商都有不同级别的访问权限,各具不同敏感性,但这些用户的行为却没有得到有效监控。IT安全开支基本上集中在防范外部威胁和保护边界不受恶意侵入方面,未必会对受信内部用户施行相同等级的预防性数据保护控制措施,而且通常只在事后才会发现违规行为。”
内部人事件造成的数据丢失甚至更难检测,因为75%的CISO表示自己在公司里没能做到这一点。
Kubernetes实时监控公司KSOC联合创始人兼首席技术官Jimmy Mesta表示:“各个行业都普遍存在内部人风险,其潜在影响非常广泛,从短暂宕机到数据完全丢失都有可能。企业内部IT基础设施的日渐复杂和云技术的采用,使得某些情况下几乎不可能检测内部人风险。内部人风险并非总是源自恶意,这可能会令检测变得尤为困难。”
举个例子,针对公有云账户的一条命令行修改,可能在不触发任何可疑事件日志的情况下,向互联网开放大量私有数据库。
在CISO看来,内部人风险(27%)是最难以检测的一种威胁,检测难度高于云数据暴露(26%)和恶意软件/勒索软件(22%)。
IRM失效的多种因素
受访者中72%设置有专门的IRM计划,其中71%仍然认为自己有可能在未来12个月里遭遇内部人事件。更重要的是,79%的CISO认为自己可能会因为未解决的内部人数据泄露而丢掉工作。
这些计划中使用的技术包括IRM(97%)、用户和实体行为分析/用户活动监控(97%)、企业数据防丢失(97%)、安全意识培训/教育(96%),以及云访问安全代理(96%)。
导致IRM失效的原因之一是缺乏培训。尽管绝大多数(93%)CISO认为,这几年的混合工作文化推动了公司的安全培训需求,但约五分之四(79%)的CISO承认,领导团队并未足够重视内部人员造成的数据丢失。
此外,每月进行安全培训的公司同比从32%下降到了27%,数据显示,大多数公司都在推动周度数据安全培训。
由于现有技术和计划无法检测和防止意外操作(相对于恶意或疏忽而言),事件进一步增加。大多数受访者认为“意外”是尤为令人担心的内部人事件类型,他们认为员工缺乏安全行为培训是造成这种情况的原因。
“这些威胁(意外事件)通常源自缺乏‘最小权限’访问和欠缺检测与日志技术。”Mesta称,“至于最常见的安全挑战,云错误配置年复一年高居榜首,因为我们现在都在处理云端API保护,这些API数量众多,还常遭曲解。而过度授权和缺乏防护则仍将是未来几年里内部人风险的主要来源。”
通常情况下,内部人(员工)只是想方便自己工作而已,只不过采取了未经批准的方式导出数据,或将之共享给了错误的人(无权查看数据的人)。Furtado表示,很多时候他们甚至不知道自己做错了什么。
预算不足也是造成内部人事件的贡献因素之一,69%的受访者谈到明年计划增加预算。