针对来自世界各地的黑暗攻击者已经占据了网络安全的大部分头条。然而,研究表明,组织中60%的数据泄露和其他网络攻击实际上是由疏忽的内部人员实施的。根据莫奈研究所最近的一项研究,控制内部威胁平均需要72天,拥有1000多名员工的典型组织在内部时间过后平均每年花费10万美元进行清理。
各种因素有意诱发恶意内部人员;他们可能在寻求报复,遭受雇主的虐待,寻求奖励,向感兴趣的投标人出售机密信息,或寻求对自己或同情的第三方有经济或政治利益的知识产权。偶然的内部人员可能根本不知道他们应该使用什么安全协议来处理敏信息或寻求更方便的数据访问,从而无意中为攻击者提供了一个入口。不管怎样,即使是拥有一整套部署的安全解决方案的最受保护的组织,在数据离开组织之前,仍然很难识别和阻止内部人员。
内部威胁程序不足
安全策略显然需要阻止恶意行为者。如果他们试图进入,他们会阻止他们,但内部人员是雇员。本质上,他们已经在外围,可以信任地访问一定数量的端点。此外,内部人员通常比外部攻击者更谨慎地操作,依靠他们对组织最有价值资产的专业洞察力。侧重于外围边缘的安全措施将不适用于此类内部人员,并且由于他们的许多行为都将得到授权,因此需要基于行为来处理数据以突出安全事件的解决方案不一定能够捕捉到它们。
许多组织已将内部威胁计划作为其网络安全策略的一部分,以防止和检测内部威胁、避免意外数据泄漏、提高员工意识并遵守国际和当地安全法规。这些程序是防止员工成为内部威胁、检测当前对组织构成风险的内部人员以及减轻由内部人员造成的后续安全事故的良好的第一步。
但是,没有依靠员工行为分析或教育的内部威胁计划。无论设计得多好,内部威胁永远不会消除。基于员工行为的检测解决方案通常会产生大量误报,浪费您的安全团队的时间和资源。尽管员工教育有助于提高人们对内部人员疏忽或盗窃的潜在风险和后果的认识,但依靠员工记住他们的培训材料并不是一个全面或可靠的安全解决方案。毕竟,我们只是人,容易犯错、受到诱惑、错误记忆和分心。没有内部培训计划可以预测员工可能犯的每一个潜在错误,也不能确保员工总是选择最适合他们组织的方法,而不是非法获取个人利益的方法。
利用正确的情报来捕获内部人员:具有欺骗性的Microsoft Office信标文件
然而,恶意内部人员通常需要渗透到网络中,因为外部攻击者会发现他们有权未经授权访问的系统和应用程序的凭据和连接,从而窃取关键数据。欺骗性的微软办公信标文件是我们的攻击检测系统解决方案的一个功能,它可以信标Word和Excel文档,以便组织可以立即收集证据,知道何时有人试图未经授权从组织中的哪台计算机访问办公文档。试图访问办公室文件和披露的数据。在这种情况下,办公文档的“信息化”意味着,如果有人试图在您的网络上复制或打开这些文件,您的组织可以跟踪它们并发送事件报告。
一旦在组织的网络上请求信标办公室文件,网络请求将被发送到我们预先配置的陷阱IP地址,触发事件通知。在内部人员可以利用内部人员企图盗窃之前,及时识别和捕获内部人员威胁尤其有用。欺诈性的微软办公信标文件可以轻松地大规模增强对内部威胁的检测,并且可以与组织的其他事件响应功能相结合,以便在检测到恶意事件后隔离或隔离恶意内部人员。
欺骗恶意内部人员揭露自己
欺骗性的微软办公信标文件还使组织能够创建假的微软Word docx文件和电子表格,这些文件和电子表格可以被定制为类似于组织端点上的任何其他Word或电子表格文档。使用专有技术,可以自动创建带有页眉、页脚和典型组织图标的欺诈文件,并将其分布在数千个端点的战略位置,而不会增加多少信息技术开销。这些文件将以这样一种方式隐藏在端点上,即只有那些寻找它们不应该在的地方的人才能找到它们。这可以防止欺诈性文件中断正常业务,并提供高保真警告信号,因为只有恶意用户才会试图找到并访问这些文件。
微软Word和Excel文档通常包含凭据和其他机密信息,这为内部和外部攻击者提供了水平移动到包含关键数据的计算机、系统和应用程序的密钥。在许多情况下,攻击者会使用恶意软件自动执行此过程,恶意软件会在网络中抓取具有这些精确数据参数的文档。为了应对这种常见的攻击趋势,可以自动创建欺诈性的微软办公信标文件,其中包含攻击者希望在此类文件的真实版本中找到的欺诈性数据,例如伪造的密码列表。这进一步欺骗和浪费攻击者的时间,因为他们试图使用这些信息进行横向移动。
欺骗性微软办公信标文件将欺骗性攻击扩展到微软办公文档。几乎每个组织都将它用于文字处理和表格数据存储,通过手术识别内部威胁,并迫使入侵者暴露自己。
极牛网精选文章《阻止内部和外部威胁:具有欺骗性的Microsoft Office 信标文件》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/4578.html