RSA2013:FBI分享内部威胁检测的经验教训

实施内部威胁计划的企业花了相当多的时间在担心攻击技术和恶意代码，但FBI专家告诉2013年RSA大会的与会者，内部威胁通常并不一定是黑客。

根据FBI上周发布的内部威胁计划(Insider Threat Program)中的反间谍情报显示，雇员、前雇员或承包商对企业构成最大的威胁，虽然这些人在加入时并没有恶意。

这些研究结果是基于对20年间的间谍案例的调查，结果表明，与流行的看法相反，当涉及到数据丢失和间谍活动时，现实世界的内部威胁并不是偷偷地从内部系统和网络窃取敏感信息的典型黑客。

FBI领导内部威胁计划的首席信息安全官Patrick Reidy表示，企业信任的授权用户构成最大的威胁，他们可能带着恶意目的进行合法活动。FBI的内部威胁计划创建于Robert Hanssen间谍事件后，在这个2001年的事件中，一名美国联邦调查局特工被发现向俄罗斯兜售情报和其他货物长达22年之久。

Reidy表示，自从维基解密开始公布机密信息以来，关于内部威胁的讨论就不绝于耳。在企业面临知识产权和敏感数据的欺诈或灾难性损失之前，安全专家应如何铲除内部威胁?

教育“无意的”内部人员

Reidy表示，首先要确保防火墙、防病毒软件、政策和其他系统控制采用了最佳做法。在FBI追踪的事故中，每年有四分之一的事件源自Reidy所谓的“傻”问题：员工因为没有遵循程序、丢失设备和敏感数据、点击垃圾邮件、不恰当的电子邮件或web链接、或者错误处理密码和账户而无意地造成系统被感染。

Reidy表示，FBI花了约35%的时间来响应这些类型的事件。重视教育可以帮助减少这些问题;他表示在过去一年中，这些事件在FBI下降了7%。内部威胁并不多，但从造成的损害来看，这是最昂贵的威胁。在10年间的超过1900个事件中，约有19%是恶意的内部人员威胁。基于多个“开源”数据泄露事故报告和数据丢失调查显示，每个事件的平均成本是41.2万美元，每个行业的平均损失为1500万美元。在一些情况下，损失甚至超过1亿美元。

从1996年到2012年起诉的案件(按照工业反间谍法案Title 18 U.S.C.第1831节—其中要求提供证据证明案件与外国政府的联系)的数据来看，平均损失为47200万美元(在法庭上确定的损失金额)，中国涉及71%的案件，而29%则是来自其他国家。

“我认为具有良好的内部威胁和数据保护计划的企业将能够继续存在10年，”Reidy表示，“而那些没有这些计划的企业将无法维持这么久。企业应该要使用诊断分析来确定内部威胁的模式，因为FBI发现其使用了多年的预测分析并没有效果。造成内部威胁的人并不像其他人一样，他们很多都会达到一个临界点。”

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友