過去的2016年，由網(wǎng)絡(luò)安全漏洞引發(fā)的電信詐騙案件的出現(xiàn)，將網(wǎng)絡(luò)安全問題推向了風(fēng)口浪尖。中培偉業(yè)《信息安全管理體系與ISO27001認(rèn)證》培訓(xùn)專家孟老師表示，在新的一年里，安全專業(yè)人員將注意力轉(zhuǎn)移到內(nèi)部安全威脅。孟老師認(rèn)為企業(yè)內(nèi)部無意的員工疏忽是比惡意攻擊者的故意策劃帶來的損失要多得多。在打擊外部威脅的同時，內(nèi)部的信息安全管理尤其重要

無論企業(yè)安全的威脅來自內(nèi)部還是外部，CIO和其他C級管理人員的底線是需要找到方法來識別和堵塞安全漏洞，同時采取可以降低風(fēng)險(xiǎn)的策略。孟老師指出，在信息安全領(lǐng)域，風(fēng)險(xiǎn)分析可以發(fā)揮極大作用。在現(xiàn)實(shí)中，組織最脆弱的兩個內(nèi)部安全點(diǎn)是：

· 確保適當(dāng)?shù)卦O(shè)置、維護(hù)和監(jiān)控員工的安全訪問權(quán)利;

· 確保公司治理和安全標(biāo)準(zhǔn)在內(nèi)部以及公有和私有云里運(yùn)行的混合IT基礎(chǔ)設(shè)施中統(tǒng)一實(shí)施。

隨著企業(yè)逐漸遷移到云，企業(yè)網(wǎng)絡(luò)將面臨更大的風(fēng)險(xiǎn)。比如，失去對知識產(chǎn)權(quán)和保密通信的控制——員工可能是疏忽甚至是惡意的，通過給予他人訪問權(quán)訪問不應(yīng)該共享的數(shù)據(jù)。當(dāng)您嘗試實(shí)施數(shù)據(jù)共享的新標(biāo)準(zhǔn)時，員工可能會抗拒改變，而經(jīng)理也可能不愿意定期審查其員工的安全訪問權(quán)限。

總的來說，這些因素導(dǎo)致用戶數(shù)據(jù)訪問權(quán)限被不適當(dāng)?shù)卦O(shè)置，或被常規(guī)地違反。這個問題不是技術(shù)問題，它根植于人類行為和實(shí)踐。

“無論用戶是在內(nèi)部訪問數(shù)據(jù)還是在云中訪問數(shù)據(jù)，我們已經(jīng)通過開發(fā)人類行為分析來解決這種安全訪問困境，多方位研究用戶行為和信息訪問的適當(dāng)性。

孟老師還提到，一方面，企業(yè)有安全專業(yè)人員監(jiān)控入侵檢測，但不太關(guān)心身份問題。在整個過程中，企業(yè)的身份和訪問管理專家，他們擔(dān)心哪些部門和個人會獲得哪些類型的訪問，但通常不涉及惡意軟件和入侵檢測。

如果企業(yè)使用可以根據(jù)功能區(qū)域和/或用戶評估數(shù)據(jù)訪問許可，并隨后報(bào)告任何異常的自動化工具，就可以邏輯性地減少信息訪問違例，并且可以避免IT 筒倉不通信。

但這不能完全治理一切安全問題。

目前沒有通用的自動化工具，可以涵蓋所有IT訪問方案。例如，很少有工具可以在軟件即服務(wù)(SaaS)云環(huán)境中跟蹤用戶行為和信息訪問。現(xiàn)有的自動化工具無法跟蹤跨越所有公有云網(wǎng)絡(luò)的邊界訪問。

對于高級管理人員，需要采取混合的分析策略，監(jiān)控混合內(nèi)部部署和云訪問以及信息共享(在可行的情況下)，并與用戶管理人員定期會面這種老式的方法相結(jié)合，審核用戶安全權(quán)限。

使用這兩種方法，可以減少信息訪問濫用和共享的風(fēng)險(xiǎn)。不過，關(guān)鍵是讓整個企業(yè)中的每個人都知道，定期審查信息訪問策略和權(quán)限，并把它作為優(yōu)先級是多么的重要。