張曉藝

現(xiàn)在來自世界各地的攻擊者經(jīng)常會(huì)出現(xiàn)在網(wǎng)絡(luò)安全新聞的頭條上。但是，研究表明，組織中60 %的數(shù)據(jù)泄露和其他網(wǎng)絡(luò)攻擊實(shí)際上是由疏忽的內(nèi)部人員實(shí)施的。根據(jù)波耐蒙研究所最近的一項(xiàng)研究，控制內(nèi)部威脅平均需要72天的時(shí)間，擁有超過1000名員工的典型組織每年在內(nèi)部事件后平均花費(fèi)10萬美元清理。

各種因素有目的地誘使惡意內(nèi)部人員：他們可能正在尋求報(bào)復(fù)遭受雇主的“虐待”，或者正在尋求回報(bào)以將機(jī)密信息出售給感興趣的競標(biāo)者，或者正在尋求對(duì)自己或有同情心的第三方有經(jīng)濟(jì)或政治利益的知識(shí)產(chǎn)權(quán)。內(nèi)部人員可能根本不知道他們應(yīng)該用來處理敏感信息或?qū)で蟾奖愕臄?shù)據(jù)訪問的安全協(xié)議，從而無意中為攻擊者提供了切入點(diǎn)。無論哪種方式，即使是擁有一整套部署了安全解決方案的受保護(hù)最多的組織，也仍然難以在數(shù)據(jù)離開組織之前識(shí)別并阻止內(nèi)部人員。

內(nèi)部威脅程序不足

安全策略顯然需要阻止惡意行為者，如果他們?cè)O(shè)法進(jìn)入，則將其阻止。但內(nèi)部人員是員工，從本質(zhì)上來說，他們已經(jīng)在外圍，并且可以信任地訪問一定數(shù)量的端點(diǎn)。此外，內(nèi)部人員憑借對(duì)組織最有價(jià)值資產(chǎn)的專業(yè)知識(shí)洞察，通常比外部攻擊者更謹(jǐn)慎地進(jìn)行操作。專注于外圍邊緣的安全措施將不適用于此類內(nèi)部人員，并且由于他們的許多行動(dòng)都將得到授權(quán)，因此基于行為來處理數(shù)據(jù)以顯示安全事件的解決方案不一定會(huì)抓住他們。

許多組織已將內(nèi)部威脅計(jì)劃作為網(wǎng)絡(luò)安全策略的一部分，以防止和檢測內(nèi)部威脅，避免意外數(shù)據(jù)泄漏，提高員工的意識(shí)并遵守國際和本地安全法規(guī)。這些程序是阻止員工成為內(nèi)部威脅，檢測當(dāng)前對(duì)組織構(gòu)成風(fēng)險(xiǎn)的內(nèi)部人員以及減輕內(nèi)部人員所引起后續(xù)安全事件的第一步。

但是，沒有一個(gè)依靠員工行為分析或教育的內(nèi)部威脅程序，無論設(shè)計(jì)得如何好，都不會(huì)永遠(yuǎn)消除內(nèi)部威脅?；趩T工行為的檢測解決方案通常會(huì)產(chǎn)生大量誤報(bào)，浪費(fèi)您的安全團(tuán)隊(duì)的時(shí)間和資源。雖然員工教育可以幫助提高人們對(duì)內(nèi)部人員過失或盜竊的潛在風(fēng)險(xiǎn)，但依賴于員工記住他們的培訓(xùn)材料并不是全面或可靠的安全解決方案。畢竟，我們只是人類，容易犯錯(cuò)誤，會(huì)有被誘惑、錯(cuò)誤的記憶和分散注意力。沒有內(nèi)部人員培訓(xùn)計(jì)劃可預(yù)測員工可能犯的每一個(gè)潛在錯(cuò)誤，也不能保證員工總是選擇最適合的方法，而不是非法獲得個(gè)人利益的方法。

利用正確的情報(bào)來捕獲內(nèi)部人員：具有欺騙性的Microsoft Office信標(biāo)文件

盡管如此，惡意內(nèi)部人員通常需要潛入網(wǎng)絡(luò)，因?yàn)橥獠抗粽邥?huì)找到憑據(jù)和與他們未經(jīng)授權(quán)訪問的系統(tǒng)和應(yīng)用程序的連接，以竊取關(guān)鍵數(shù)據(jù)。欺騙性Microsoft Office信標(biāo)文件是攻擊檢測系統(tǒng)解決方案的一項(xiàng)功能，可以對(duì)Word和Excel文檔進(jìn)行信標(biāo)，以便組織可以立即收集取證，了解何時(shí)有人嘗試從組織中的哪個(gè)計(jì)算機(jī)上未經(jīng)授權(quán)訪問Office文檔，正在嘗試訪問Office文檔以及公開了哪些數(shù)據(jù)。在這種情況下，Office文檔的“信息化”意味著您的組織可以對(duì)其進(jìn)行跟蹤，如果有人試圖在您的網(wǎng)絡(luò)上復(fù)制或者打開這些文件，則可以發(fā)送事件報(bào)告。

一旦在組織的網(wǎng)絡(luò)上訪問了信標(biāo)辦公室文件，就會(huì)將Web請(qǐng)求發(fā)送到由我們預(yù)配置的陷阱IP地址，從而觸發(fā)有關(guān)事件的通知。在內(nèi)部人員可以利用其企圖進(jìn)行盜竊之前，及時(shí)進(jìn)行識(shí)別和捕獲內(nèi)部人員威脅特別有用。具有欺騙性的Microsoft Office信標(biāo)文件可以輕松地大規(guī)模增強(qiáng)內(nèi)部威脅的檢測，并且可以與組織的其他事件響應(yīng)功能結(jié)合使用，以在檢測到惡意事件后隔離或隔離惡意內(nèi)部人。

欺騙惡意內(nèi)部人員揭露自己

欺騙性的Microsoft Office信標(biāo)文件還使組織能夠創(chuàng)建偽造的Microsoft Word docx文件和Excel電子表格，這些文件可以自定義為看起來像組織端點(diǎn)上的任何其他Word或Excel文檔。使用專有的技術(shù)，可以自動(dòng)創(chuàng)建帶有頁眉、頁腳和組織典型圖標(biāo)的欺騙性文件，并將其分布在數(shù)千個(gè)端點(diǎn)的戰(zhàn)略位置，幾乎不會(huì)增加IT開銷。這些文件將以某種方式隱藏在端點(diǎn)上，以便只有正在尋找不應(yīng)該在哪里的人才能找到它們。這可以防止欺騙性文件破壞正常業(yè)務(wù)，并提供高保真警告信號(hào)，因?yàn)橹挥袗阂庥脩舨艜?huì)嘗試查找和訪問這些文件。

Microsoft Word和Excel文檔通常包含憑據(jù)和其他機(jī)密信息，它們?yōu)閮?nèi)部和外部攻擊者提供了包含關(guān)鍵數(shù)據(jù)的機(jī)器，系統(tǒng)和應(yīng)用程序橫向移動(dòng)的密鑰。在許多情況下，攻擊者將使用惡意軟件自動(dòng)執(zhí)行此過程，該惡意軟件在網(wǎng)絡(luò)中抓取具有這些確切數(shù)據(jù)參數(shù)的文檔。為響應(yīng)這種常見的攻擊趨勢(shì)，欺騙性Microsoft Office信標(biāo)文件可以自動(dòng)創(chuàng)建并包含攻擊者希望在此類文件的真實(shí)版本中發(fā)現(xiàn)的欺騙性數(shù)據(jù)，例如偽造的密碼列表。這進(jìn)一步欺騙并浪費(fèi)了攻擊者的時(shí)間，因?yàn)樗麄冊(cè)噲D利用此信息進(jìn)行橫向移動(dòng)。

欺騙性Microsoft Office信標(biāo)文件將欺騙性攻擊面擴(kuò)展到Microsoft Office文檔，幾乎每個(gè)組織都利用它來進(jìn)行文字處理和表格數(shù)據(jù)存儲(chǔ)，以外科方式識(shí)別內(nèi)部威脅，還迫使入侵者暴露自己。