IRM計劃也擋不住內部人造成數據泄露

Code42委托進行的一項數據暴露調查研究表明，盡管已經設置了專門的內部人風險管理（IRM）計劃，大多數公司仍然難以阻止內部人事件造成的數據丟失。

這項研究由獨立技術市場研究公司Vanson Bourne執行，該公司在今年1月到2月間調查訪問了美國700名網絡安全專業人員、經理和主管。

Code42總裁兼首席執行官（CEO）Joe Payne表示：“內部人事件逐年上升，考慮到我們已經進入了混合工作安排的時代，這一點毫不令人意外。如今，萬物數字化，無論從事何種業務，有意無意地輕點幾下，就可以很輕松地傳遞數據。”

研究揭示，內部人事件造成的數據損失平均同比增長32%。內部人事件包括源自企業現有內部員工造成的數據暴露、丟失、泄露和盜竊。

內部人風險極難管理

超過82%的首席信息安全官（CISO）承認擔憂其所屬企業的內部人風險及相關數據丟失問題。

Gartner分析師Paul Furtado稱：“員工、合作伙伴和承包商都有不同級別的訪問權限，各具不同敏感性，但這些用戶的行為卻沒有得到有效監控。IT安全開支基本上集中在防范外部威脅和保護邊界不受惡意侵入方面，未必會對受信內部用戶施行相同等級的預防性數據保護控制措施，而且通常只在事后才會發現違規行為。”

內部人事件造成的數據丟失甚至更難檢測，因為75%的CISO表示自己在公司里沒能做到這一點。

Kubernetes實時監控公司KSOC聯合創始人兼首席技術官Jimmy Mesta表示：“各個行業都普遍存在內部人風險，其潛在影響非常廣泛，從短暫宕機到數據完全丟失都有可能。企業內部IT基礎設施的日漸復雜和云技術的采用，使得某些情況下幾乎不可能檢測內部人風險。內部人風險并非總是源自惡意，這可能會令檢測變得尤為困難。”

舉個例子，針對公有云賬戶的一條命令行修改，可能在不觸發任何可疑事件日志的情況下，向互聯網開放大量私有數據庫。

在CISO看來，內部人風險（27%）是最難以檢測的一種威脅，檢測難度高于云數據暴露（26%）和惡意軟件/勒索軟件（22%）。

IRM失效的多種因素

受訪者中72%設置有專門的IRM計劃，其中71%仍然認為自己有可能在未來12個月里遭遇內部人事件。更重要的是，79%的CISO認為自己可能會因為未解決的內部人數據泄露而丟掉工作。

這些計劃中使用的技術包括IRM（97%）、用戶和實體行為分析/用戶活動監控（97%）、企業數據防丟失（97%）、安全意識培訓/教育（96%），以及云訪問安全代理（96%）。

導致IRM失效的原因之一是缺乏培訓。盡管絕大多數（93%）CISO認為，這幾年的混合工作文化推動了公司的安全培訓需求，但約五分之四（79%）的CISO承認，領導團隊并未足夠重視內部人員造成的數據丟失。

此外，每月進行安全培訓的公司同比從32%下降到了27%，數據顯示，大多數公司都在推動周度數據安全培訓。

由于現有技術和計劃無法檢測和防止意外操作（相對于惡意或疏忽而言），事件進一步增加。大多數受訪者認為“意外”是尤為令人擔心的內部人事件類型，他們認為員工缺乏安全行為培訓是造成這種情況的原因。

“這些威脅（意外事件）通常源自缺乏‘最小權限’訪問和欠缺檢測與日志技術。”Mesta稱，“至于最常見的安全挑戰，云錯誤配置年復一年高居榜首，因為我們現在都在處理云端API保護，這些API數量眾多，還常遭曲解。而過度授權和缺乏防護則仍將是未來幾年里內部人風險的主要來源。”

通常情況下，內部人（員工）只是想方便自己工作而已，只不過采取了未經批準的方式導出數據，或將之共享給了錯誤的人（無權查看數據的人）。Furtado表示，很多時候他們甚至不知道自己做錯了什么。  

預算不足也是造成內部人事件的貢獻因素之一，69%的受訪者談到明年計劃增加預算。