无论企业是刚刚开始制定缓解内部威胁风险的计划,还是已经部署了这样的计划,如果没有可靠的内部威胁检测工具,就很难成功。
这是Raytheon Oakley Systems公司防御计划主管Daniel Velez他传达的主要信息是RSA 在2014年会议上谈到了成功的内部威胁管理计划的基础。
Velez内部威胁检测工具通常属于数据丢失保护或端点监控产品的类别,这是一种部署在端点监控用户如何与数据交互的工具;它们使用基于政策的技术控制来防止用户的某些行为,如将敏感电子邮件转发到个人账户或复制专有数据U盘。
Velez在正常情况下,企业会被具有强大终端检测代理的浮华工具所吸引,但他警告企业不要仅仅根据终端检测工具的内容来选择工具。他建议根据企业的独特情况选择产品,包括企业运营的终端平台、终端平台是否易于部署和管理、政策灵活性、事件响应和管理功能是否能顺利整合到企业现有流程中。
在有一些标准在产品选择过程中经常被忽视。Velez据说,许多大型企业或管理结构成熟的企业通常涉及许多利益相关者,包括审计委员会成员、合规利益相关者、人力资源和法律代表,所有这些利益相关者都可能需要访问内部威胁产品。
“我选择的工具允许我有多个利益相关者吗?”Velez问道,“如果总法律顾问想要一个账户,或者人力资源想要一个账户,我能满足他们的要求吗?”
Velez良好的内部威胁检测工具还将帮助管理员正确判断事件,并提供足够的信息来帮助判断员工是否恶意感染网络或只是插入他或她U盘到电脑而不知道其中包含病毒。
“我从事反间谍威胁调查人员8年,98%的事件发生在我的办公桌上是别人的问题,通常只有员工违反规则来完成工作,”Velez表示,“我们需要内容来帮助我们培训员工。”
他指出,产品应能够快速调整内部威胁检测计划中的变化,特别是用户和利益相关者的反应。
“相信我,如果你隐瞒部署,消息肯定会蔓延,”Velez说道,“当你推出这个工具时,你会因为很多事情而受到很多责备。请做好准备,不断审查你的政策。”
Velez它还强调,必须确保内部威胁检测工具能够提供易于理解的输出结果。他说,虽然20页的报告对一些人来说非常有用,但一个好的工具应该能够总结事件的关键点***信息官或其他高管和非技术利益相关者可以快速、轻松地理解发生了什么,并做出正确的决定来回应。
选择合适的内部威胁检测工具的挑战还包括商业产品的成熟度。Velez表示,企业不能根据研究公司推荐的一组产品列表开始产品选择过程,而应根据企业的审计需要。
“从提出基本问题开始,‘这个工具我想做什么?’,然后深入一点,”Velez表示,“与其他正在选择产品的企业沟通,讨论他们的能力。此外,你需要找到一个从事这个行业一段时间的供应商,而不用担心你联系现有客户。”
即使考虑到所有因素,在实际部署工具之前,我们也不可能完全知道工具能做什么,这也是Velez强烈建议在购买产品之前进行试点部署。他补充说,企业必须确保供应商不仅有坚实的部署计划,而且支持企业的具体业务需求。
CareerBuilder.com亚特兰大的信息安全与合规团队成员Jim Butler表示,他的企业正在评估内部威胁检测工具。
Butler他们说,他们的企业在审计过程中涉及到广泛的利益相关者,他们需要一个产品来帮助忙碌的员工继续审计潜在的内部威胁,而不是一个巨大的负担。
由于这些环境将继续推出新产品和程序,因此,为高度合作的网络环境选择合适的工具是一个巨大的挑战。
“很难说什么工具适合在什么环境下运行。”Butler表示,“我们选择产品的重点是,所选产品不能干扰或减缓员工的工作,但也能为我们提供一定的视觉。”