追查暗网中的内部威胁

内部威胁是一个越来越严重的问题。据最新研究,20%的安全事件是由恶意员工引起的,而且他们涉及的攻击平均比外部攻击者的攻击大出十倍。此外,数据(PDF)显示,在疫情期间远程工作加剧了内部威胁攻击的风险,在过去两年中呈上升趋势。
暗网中的内部威胁

为了尽量减少内部威胁,所有组织都应该留意市场、论坛和社交媒体上关于他们公司的言论。这样可以帮助他们发现即将发生攻击的迹象,例如网络犯罪分子寻找内部消息,或者不满的员工发表不满意见。此外,他们也要扩大对暗网的监控,因为那里是网络犯罪分子对组织进行侦察的宝库,他们以为自己可以躲避法律和网络安全团队的制裁。

内部威胁的种类

谈到内部威胁,我们需要知道恶意内部人员有不同的类型。 通常,我们可以把它们分为三类

1.为了经济利益而做出恶意行为的内部人员:在当前的经济环境下,员工可能会被威胁团体诱惑而进行恶意行为,这些内部人员是出于经济利益。 例如,威胁组织 Lapsus$ 曾发出招聘信息,向电信公司、软件和游戏公司以及呼叫中心的员工提供金钱,以获取信息。

2.孤独者和机会主义者是一种难以侦查的内部威胁,他们利用自己在网络中的特权来破坏公司。 虽然这种情况不常见,但一旦他们发动攻击,可能会给组织带来严重的后果。 例如,一名《纽约邮报》的员工最近在公司的 Twitter 账户上发表了攻击性的信息,损害了公司的形象。 暗网分析可以帮助发现这些恶意行为者,如果他们在暗网上针对企业环境中遇到的问题发布查询或寻求帮助。 他们也可能在暗网上出售内部信息。

3.无辜的内部人士:这些人可能在不知情或未经同意的情况下卷入威胁活动,从而无意中伤害公司。 研究显示,员工因为错误点击恶意链接而造成的损失是因为恶意滥用访问权限而造成的损失的两倍多。

这就是您要注意的人,但您也要明白恶意行为者可能在寻找、询问或出售什么。

针对恶意内部人员的威胁建模

公司需要确定其基础设施的薄弱环节、其最有价值的资产,以及威胁行为者常用的策略。 通过对暗网的洞察,组织可以了解犯罪分子如何进行侦察并利用恶意内部人员,这有助于为他们的防御提供信息。
获取并利用泄露的凭据是访问公司环境的最常见的方法。 但除了基本的“用户名和密码”销售之外,企业还要警惕 Slack 和 Teams 等应用程序的 cookie 会话泄漏,威胁行为者可以利用这些漏洞通过社交工程进入公司并滥用员工的信任。

另一个公司需要注意的方面是触发事件,这些事件会增加公司成为攻击目标的风险。 例如,如果一家石油公司在生活成本危机期间公布其年度收入,该组织必须评估员工、前员工和外部人士对这一公告的敌意程度。 在这个例子中,收入披露是一个潜在的触发事件,要求企业在事件发生前、中和后特别注意监控暗网上关于公司的任何讨论。 在这种情况下,公司必须问自己是否应该采取额外的防御措施或分配额外的资源。

在触发事件期间,公司可能会通过监控警报的增加或不正常的在线活动来发现恶意的内部人员。 公司设备和 Tor 网络之间的连接是发现内部威胁的非常有效的数据点,因为在大多数组织中,员工几乎没有合理的理由连接到暗网。

网络杀伤链左移

  • 对于任何事件来说,时间都是至关重要的。 组织应该在侦察(网络杀伤链的第一阶段)期间发现内部威胁活动,才能有效地阻止恶意行为者。 从逻辑上讲,越早或越靠左识别出威胁行为者,他们的攻击成功的可能性就越低。

组织知道要做好准备、保护边界和教育员工的重要性。 但是,这些只是安全基础设施的坚实基础,还需要情报来尽早阻止威胁。 暗网威胁情报应该被视为提升组织安全态势的一个必不可少的部分。 由于大多数网络犯罪分子依赖暗网基础设施进行活动,切断这一渠道可以大大降低内部威胁发生并干扰业务运营的风险。

推荐阅读:

黑灰产攻击的概念、类型和防范

一个人也能做的灰产项目推荐

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20