內部威脅(insider threat)是擔當惡意黑客(hacker)的企業、機構或組織的員工或官員,他們也叫破解者(cracker)或黑帽(black hat)。
應對方法,控制套用,過濾不良內容,限制可執行內容,控制執行檔,
內部威脅(insider threat)是擔當惡意黑客(hacker)的企業、機構或組織的員工或官員,他們也叫破解者(cracker)或黑帽(black hat)。這個詞還用於指代那些通過獲得假冒資格證書來冒充內部員工或官員的外部人員。破解者獲取企業電腦系統或網路的訪問,接著展開一些意欲危害企業的活動。
內部威脅(insider threat)常常是認為企業、機構或組織對其錯誤對待並且覺得報複合情全理的不滿員工或前員工。惡意活動通常分四個步驟或階段進行。首先,破解者進入系統或網路。然後,破解者為了了解易攻擊處和可以花最小力氣造成最大傷害的位置而調查系統或網路的本質。第三,破解者建立工作區,惡意活動可以在其中進行。最後,實在的毀滅性活動發生。
由內部威脅(insider threat)引起的傷害可能採用多種形式,包括採用病毒(virus)、蠕蟲(worm)或木馬(Trojan horse),偷盜信息或企業秘密,偷盜錢款,毀壞或刪除數據,變更數據來產生不便捷或錯誤的犯罪證據,並且盜竊企業內部的個人身份。防止內部威脅涉及到類似於針對網際網路用戶的保護措施,如運用多種間諜軟體(spyware)瀏覽程式、反病毒程式、防火牆(firewall)和嚴格的數據備份(backup)和歸檔(archiving)慣例。
應對方法
控制套用
現在計算機中兩個最具潛在危害的套用是Web瀏覽器和電子郵件客戶端;它們通常是惡意軟體最常見的切入點。企業可以採取步驟來限制這些套用的功能,但這樣做也會影響合法功能,從而也會影響關鍵業務流程。
因此,一種解決方案是在獨立的虛擬機中運行危險的套用。每次啟動套用時,它會在獨立的VM中運行。如果它是惡意的,任何感染只會發生在VM中,不會對主機作業系統造成破壞。當該套用關閉時,VM也會被關閉,任何有害活動都會受到控制。在這種情況下,系統只會在短時間內在受控環境中受到感染,並沒有任何長期影響。此外,這種解決方案對用戶沒有影響,並會顯著影響攻擊者造成破壞的能力。
因此,一種解決方案是在獨立的虛擬機中運行危險的套用。每次啟動套用時,它會在獨立的VM中運行。如果它是惡意的,任何感染只會發生在VM中,不會對主機作業系統造成破壞。當該套用關閉時,VM也會被關閉,任何有害活動都會受到控制。在這種情況下,系統只會在短時間內在受控環境中受到感染,並沒有任何長期影響。此外,這種解決方案對用戶沒有影響,並會顯著影響攻擊者造成破壞的能力。
過濾不良內容
在很多情況下,用於感染內部人員的活動通常圍繞可執行附屬檔案、Office文檔中的宏以及HTML嵌入式內容。大多數企業並不需要這種允許來自網際網路的活動。因此,秉著最小特權的精神,如果企業不需要這種活動,就應該阻止。戰略性地阻止一小部分有害活動可以積極地控制攻擊者帶來的破壞。
限制可執行內容
阻止某種類型的所有檔案,雖然有效,但並不總是可行,因為用戶可能需要使用檔案。因此,另一種方法是沙箱或過濾某些活動,同時允許合法活動。現在存在有效技術可以對附屬檔案內容進行分析,甚至將其在沙箱運行以檢查其行為;如果它是惡意的,就會被阻止,而如果是合法的,就會允許通過。這讓企業可以更靈活地過濾內容,但限制了阻止運行業務所需的正常活動的影響。
控制執行檔
攻擊者通常是誘騙用戶運行看似合法的執行檔,但實際包含惡意內容,從而執行攻擊。企業可以通過套用白名單等技術來控制和驗證執行檔,從而最大限度地減少有害內容進入系統。