怎樣區(qū)分內(nèi)部威脅人員和外部惡意軟件編程者?

責(zé)任編輯:editor005

2015-03-09 14:50:05

摘自:51CTO

雖然區(qū)分內(nèi)部人員和非內(nèi)部人員攻擊很困難,但更困難的是檢測內(nèi)部人員編寫的惡意軟件。外部惡意軟件編程者編寫的有針對性攻擊可能會(huì)偽裝成來自內(nèi)部的攻擊,因?yàn)檫@個(gè)攻擊中可能利用了內(nèi)部賬戶。CERT也在專注于內(nèi)部威脅,并提供了內(nèi)部威脅最佳做法列表來幫助防止和檢測內(nèi)部威脅。

Nick Lewis(CISSP,GCWN))是一名信息安全分析師。他主要負(fù)責(zé)風(fēng)險(xiǎn)管理項(xiàng)目,并支持該項(xiàng)目的技術(shù)PCI法規(guī)遵從計(jì)劃。2002年,Nick獲得密歇根州立大學(xué)的電信理學(xué)碩士學(xué)位;2005年,又獲得Norwich大學(xué)的信息安全保障理學(xué)碩士學(xué)位。在他09年加入目前的組織之前,Nick曾在波士頓兒童醫(yī)院、哈佛醫(yī)學(xué)院初級兒科教學(xué)醫(yī)院,以及Internet2和密歇根州立大學(xué)工作。

怎樣區(qū)分內(nèi)部人員和非內(nèi)部人員編寫的惡意軟件?是否有軟件產(chǎn)品可以將由企業(yè)內(nèi)部人員編寫的惡意軟件檢測出來?

怎樣區(qū)分內(nèi)部威脅人員和外部惡意軟件編程者?

Nick Lewis:可信內(nèi)部人員發(fā)起的攻擊是最常見和最古老的威脅之一。這些人可能已經(jīng)擁有訪問權(quán)限來發(fā)起惡意攻擊,或者他們可以通過本地權(quán)限提升攻擊來容易地訪問敏感數(shù)據(jù)。

雖然區(qū)分內(nèi)部人員和非內(nèi)部人員攻擊很困難,但更困難的是檢測內(nèi)部人員編寫的惡意軟件。外部惡意軟件編程者編寫的有針對性攻擊可能會(huì)偽裝成來自內(nèi)部的攻擊,因?yàn)檫@個(gè)攻擊中可能利用了內(nèi)部賬戶。

另外,數(shù)據(jù)泄露也可能是內(nèi)部人員攻擊。

與內(nèi)部惡意軟件相比,非內(nèi)部人員和非定制化惡意軟件更容易檢測,因?yàn)閬碜云渌W(wǎng)絡(luò)的其他系統(tǒng)可能會(huì)向反惡意軟件供應(yīng)商提交相同的可疑文件;供應(yīng)商的安全情報(bào)也有助于對這種威脅的檢測。

然而,現(xiàn)在沒有軟件產(chǎn)品可以發(fā)現(xiàn)企業(yè)內(nèi)部人員編寫的惡意軟件。你可以確定惡意軟件是否使用了內(nèi)部命令和控制系統(tǒng),或者文件是否是從合法系統(tǒng)下載。在發(fā)現(xiàn)惡意軟件文件后,應(yīng)該檢查其共享庫或編碼風(fēng)格,并與企業(yè)內(nèi)部風(fēng)格進(jìn)行對比,查看是否有任何共同之處。

企業(yè)可以通過監(jiān)控系統(tǒng)和審查日志中的可疑活動(dòng)來檢查內(nèi)部攻擊(無論是否使用自定義開發(fā)的惡意軟件),例如檢查身份驗(yàn)證在何時(shí)何地發(fā)生,以及在這些系統(tǒng)哪些文件被訪問。CERT也在專注于內(nèi)部威脅,并提供了內(nèi)部威脅最佳做法列表來幫助防止和檢測內(nèi)部威脅。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號