I

内部威胁软件-预防攻击的早期指标

不仅要检测内部威胁,还应在进行任何恶意操作之前阻止威胁。在本白皮书中,我们将向您展示使用UserLock管理和保护登录如何作为早期指示器来阻止由内部威胁引起的攻击。

  • 保护 通过进行真实但已泄露的登录来利用用户,对攻击者无用
  • 彻底限制 某些粗心的用户行为
  • 不鼓励 内部人员免于恶意行为
  • 警报 用户进行涉及他们自己的受信任访问的可疑活动
仪表板用户锁

学习 更多 about 用户锁

内幕威胁

无论您来自哪个行业或部门,通常都知道 任何组织面临的最大风险来自内部威胁。威胁来自任何一个 恶意或无意的活动 个人的 具有授权访问。 (CERT的完整定义在这里)。

还请记住, 几乎所有外部攻击最终都看起来像是内部人员。在数据泄露中,使用受损的内部凭据是最常见的威胁措施(Verizon,《数据泄露调查报告2018》)。窃取受信任的内部人员凭据并绕过传统的网络安全控制要比突破防火墙容易得多。这支持尽早识别内部威胁的价值。

没有任何技术可以完全消除攻击的机会, 但是有一种方法可以大大降低潜在风险 源自被剥削,粗心的恶意内部人员。

用户登录活动是发现潜在威胁的关键

内幕威胁通常很难发现。仅记录所有网络活动不足以保护组织免受恶意或粗心的活动。目的是寻找导致不当,恶意或粗心的员工行为的主要指标。

这可以在观看中找到 异常的用户活动 –但它必须是暗示潜在威胁的活动,而不一定是暗示正在进行威胁活动的活动。

例如,您可以监视文件是否过度复制,或监视上传的网络流量激增以发现潜在的数据被盗,但事实是,一旦发生这些活动, 太晚了 –威胁行动已经发生。

需要发生的是:

  1. 在采取威胁措施之前,请注意活动是否发生。 检测越早发生,威胁所造成的损害就越小。
  2. 尽可能减少误报。 如果检测参数太宽泛,IT就会花时间去追踪幽灵而不停止威胁。
  3. 不要仅仅检测到威胁。阻止威胁 -在进行任何恶意操作之前。

为此,您需要将精力集中在无法绕过的攻击的一部分–登录上。

这不仅仅是特权用户登录

任何有权访问被认为对外部有价值的数据的人都可能构成威胁– 不只是特权用户。当我们说任何人时,我们不仅指直接雇员。考虑当今合作伙伴,承包商,供应链的扩展企业... 有权访问您的网络的任何人.

我们的独立研究强调 六种常见的内幕威胁角色.

通过登录安全性来阻止内部威胁

每个内部威胁行动最简单最常见的活动就是登录。 几乎所有威胁措施都需要使用内部凭据进行登录。 端点访问,端点之间的横向移动,通过VPN进行的外部访问,远程桌面访问等等,都具有登录的共同要求。

对于大多数员工而言,唯一的安全保护访问权限是密码,一旦攻击者获得了密码,他们就可以轻松绕过大多数公司的安全控制。

概念 增强的登录安全性 以四个主要功能为中心-协同工作以维护安全的环境。在Windows Active Directory环境中,可以通过软件来实现 用户锁.

  • 政策与限制 –确定谁可以在何时,何地,多长时间,多久和多久(同时进行的会话)上进行登录。它还可以限制特定的登录类型(例如基于控制台和RDP的登录)。
  • 实时监控与报告 –根据现有策略对每个登录进行监视和测试,以确定是否应允许登录。报告有助于确保任何调查的详细见解。
  • IT 和 End-User 警报ing –将不适当的登录活动失败尝试通知给用户。
  • 即时响应 –允许IT与可疑会话进行交互,锁定控制台,注销用户,甚至阻止他们进一步登录。

从本质上讲,增强的登录安全性使登录本身成为受审查和保护的事件。成功登录(并保持登录状态)的能力不仅仅在于是否使用了正确的凭据。这样做可以提供 有效防范内幕威胁.

预防攻击的早期指标

登录安全解决方案将基于为该特定帐户(员工)设置的自定义细粒度登录策略来检测异常访问尝试。如果有规定,它将采取相应的行动-拒绝或批准登录-并警告IT人员(或适当的用户本身)。

现在被阻止的潜在内部威胁场景包括:

  • 保护被利用的用户 (来自网络钓鱼攻击或恶意同事)具有控制权的控件,这些控件可使真实但受感染的员工登录名对攻击者无用。
  • 彻底限制某些粗心的用户行为 例如密码共享,未锁定的共享工作站或登录多台计算机。
  • 现在,始终可以将对任何数据/资源的访问权限标识为一个用户。这个 问责制阻止内部人恶意行事,确保对可疑活动做出快速反应,提供证据来解决确实发生的违规行为,并使所有用户对其行为更加谨慎。

此外,最终用户会收到量身定制的消息警报,其中包括有关自己信任的访问权限的警报。 知情的员工是另一道防线.

使用UserLock的登录安全性是阻止潜在内部威胁的一种简单,有效和有效的方法。它在登录时提供了一个保护层,该保护层从逻辑上说是在操作发生之前就存在的,以完全阻止威胁。没有登录,没有威胁。

经济高效的内部威胁软件

内幕威胁是真实存在的,就在这里。今天。在您的网络上。他们是您每天要与之打交道的员工,在这种情况下,转变为内部人可能只需要分手,破裂,晋升或个人困难。因此,拥有一个主动且经济高效的解决方案来应对内部威胁与端点保护,防火墙和电子邮件网关一样重要。

通过利用安全软件UserLock,您可以将内部威胁检测和响应的重点放在可能发生的任何恶意操作之前。

下载本PDF白皮书

PDF版本-180 KB