Quest：影響端點安全的內部威脅

內部威脅有多種形式。在經(jīng)典方案中，享有特權的承包商會安裝間諜軟件，這些間諜軟件會在項目完成后很長時間內將敏感數(shù)據(jù)泄露給他們。在另一種情況下，一個心懷不滿、地位良好的IT管理員積極地對你的系統(tǒng)進行破壞，然后辭職。即使是沒有特權網(wǎng)絡訪問權限的人也可能構成內部威脅，無論是故意（收集商業(yè)機密以備將來使用）還是無意中（陷入魚叉式網(wǎng)絡釣魚電子郵件）。

無論內部威脅可能來自何處，它們都會影響端點安全，因為它們破壞了端點（計算機、平板電腦、智能手機、物聯(lián)網(wǎng)設備）與網(wǎng)絡其余部分之間的信任關系。通過檢查下面概述的不同類型的內部威脅，您可以發(fā)現(xiàn)共同特征并強化您自己的網(wǎng)絡以抵御它們。

1.員工互聯(lián)網(wǎng)使用

傳統(tǒng)觀點認為，在公司防火墻內可以轉化為更高的安全性。當然，在威脅進入您的網(wǎng)絡之前，情況確實如此;然后，您的安全性就會受到損害。數(shù)字生活中的一個事實是，授予員工互聯(lián)網(wǎng)訪問權限可能會將外部人員帶入您的網(wǎng)絡，在那里他們可以做任何他們想做的事情。與此同時，將隔離墻建得盡可能高以將所有人拒之門外的安全模式是沒有意義的。

2.配置錯誤

在每個組織中，端點的數(shù)量都超過服務器和服務，比例為數(shù)百或數(shù)千比一。這就是為什么內部威脅的更大危險在于配置錯誤的終結點，而不是配置錯誤的Web 應用程序和SharePoint 文件夾。

3.無意中的內部威脅/用戶行為

在授予權限時，IT必須執(zhí)行微妙的平衡行為。你降低的門檻越多，就越容易穿透你的網(wǎng)絡防御。但是，如果您將其提高得太高并且沒有授予用戶足夠的訪問權限，他們將找到共享文件和完成工作的替代途徑。這是一種由用戶行為驅動的無意內部威脅。

4.未修補的端點/軟件

整理好訪問、連接和共享后，您可以確保所有端點都已打補丁且安全。其中很大一部分是知道它們上運行了什么。當零日威脅來襲時，您需要知道的第一件事是它是否會影響您。例如，當在Apache Log4j日志記錄庫中發(fā)現(xiàn)該漏洞時，您能多快確定您的網(wǎng)絡是否受到內部影響以及在哪里受到影響？您的任何服務器都運行Log4j 嗎？當您的大部分用戶遠程或在家工作時，回答這些問題變得更加困難。

5.過時的軟件

與未修補的軟件相同，也有過時的軟件。如果您的組織（和您的安全性）依賴于不再更新的軟件，那么您就會自找麻煩。

當然，操作系統(tǒng)是最臭名昭著的目標，因為數(shù)量不多，因此它們是吸引不良行為者的目標。例如，如果您仍在網(wǎng)絡上的某個地方運行WindowsServer 2008，那么您很容易受到攻擊。你唯一的希望是加強你的防火墻，但無論如何你都應該這樣做。

6.不受監(jiān)控的軟件安裝

在現(xiàn)代安全立場中，有兩種類型的行為監(jiān)控。首先，您的身份和單點登錄（SSO）提供程序監(jiān)視登錄模式;其次，端點檢測和響應（EDR）系統(tǒng)監(jiān)視安裝惡意軟件或未經(jīng)授權的軟件的嘗試

7.禁用服務器上的防火墻

要保護本地占用空間，您可以做的最重要的一件事就是在服務器上激活防火墻（甚至是Windows 防火墻），并僅打開所需的端口。許多IT 人員忽略了此步驟，并在禁用防火墻的情況下運行服務器。

8.過時的密碼思維和政策

不幸的是，使用廣泛使用的黑客工具的人知道這一點。因此，當他們想要暴力猜測哈希時，他們會加載字典攻擊，但他們甚至不需要遍歷完整的字典。他們修改工具以自動大寫、小寫和附加數(shù)字。反常的是，當您實施輪換策略時，您實際上使不良行為者更容易破解用戶的密碼并發(fā)起內部威脅。

事實上，即使是微軟也說過，沒有理由更改一個完美的密碼。改變它的摩擦使網(wǎng)絡面臨的風險比保留一個強大的網(wǎng)絡要大。這就是為什么關于密碼的不同想法正在發(fā)展并在企業(yè)中扎根的原因。

9.密碼噴射攻擊

雖然過時的密碼思維和策略是內部威脅，但它們與密碼噴射攻擊的重大外部威脅有關。威脅參與者提交完整的密碼列表，試圖讓系統(tǒng)至少接受一個密碼。像Hydra這樣的工具可以通過發(fā)送大量密碼來自動化猜測密碼的過程。

大多數(shù)系統(tǒng)沒有設置為監(jiān)視這種行為，并且永遠不會標記它。這就是千層面方法有價值的時候，因為其中一個回退層是您的身份驗證引擎。如果它可以檢測到失敗的登錄嘗試一直來自同一來源，那么它可以阻止IP 地址。

審核編輯 ：李倩