后疫情时代，五大步骤教你应对内部风险

2022-07-08

根据相关统计数据显示，与新冠疫情爆发之前相比，员工泄露文件的可能性增加了85%。事实是，在新冠疫情之前，数据安全风险正在增长，因为公司通过云计算优先考虑速度和协作。但是，当我们通过新的方式上传、下载、发送电子邮件、聊天和同步共享时，这些充满力量和希望的新工作方式现在也成为了企业最大的数据安全风险。

真正的问题是，数据安全范式还没有跟上，让数据安全团队从后面追赶，对日益增长的内部风险视而不见。同时，由于阻碍了速度、独创性和创新，使用户感到沮丧。

内部风险管理：基于风险、以数据为中心的方法

内部风险是任何数据暴露事件(安全、合规或竞争性质)危及公司及其员工、客户和合作伙伴的财务、声誉或运营福祉。虽然内部风险听起来像是内部威胁的同义词，但事实并非如此;必须做出重要区分。内部威胁关注的是一个特定的人或实体，而内部风险则关注的是数据。

内部风险的核心是一个数据保护问题。传统的、基于政策的方法，如DLP、CASB和UEBA，侧重于合规性，最多只能提供一种保护的感觉。当封锁被作为事实上的反应时，组织在员工的生产力和安全团队的内部声誉方面受到影响。不可避免的是，这些方法导致风险被安全团队的噪音所淹没--他们试图维持分类和政策，但却永远无法真正达到只阻止威胁而不阻止其他的目标。相比之下，内部风险管理提供了一个以数据为中心的方法，它确保了对数据使用政策的遵守，建立了一个更具风险意识的文化，并加快了安全价值的实现时间。

管理内部风险的框架

越来越多的企业组织认识到，内部风险是一个普遍存在的问题，传统的方法无法解决。事实上，根据Forrester的数据显示，71%的安全决策者认为传统的数据损失处理方法是行不通的。内部风险是一个复杂而微妙的问题，这就是为什么基于政策的方法，需要绝对的知识来标记所有有价值的数据和对所有威胁载体的准确预测，根本无法跟上步伐。你不能明确地阻止内部风险，你也不希望这样做。相反，一个更聪明的方法旨在通过五个基本步骤了解、衡量和管理内部风险。

(1) 识别：组织的数据在哪里和什么时候暴露在内部人员的风险之下?

你不能管理你看不到的东西。但是，传统的基于政策的数据安全工具只能寻找你告诉他们要寻找的东西，从而留下巨大且不断增长的盲点。内部风险管理的第一步是将正确的工具和技术落实到位。至关重要的是，你可以在风险的三个维度上监控所有的数据活动：所有的文件(不仅仅是受管制的或分类的文件)，所有的载体(网络上和网络下的设备，云应用程序等)，以及所有的用户。

(2) 界定：什么数据风险是组织不能接受的?

直到最近，风险容忍度的概念在数据安全领域几乎是异端邪说。现在，几乎所有的组织都承认他们必须容忍某种程度的内部风险，以实现在当今商业环境中生存和发展所需的敏捷性、速度和创新。一旦你对你的数据暴露的地方有了全面的可见性和背景，你就需要对整个组织的内部风险容忍度进行调整--这样你的安全团队就可以开始定义一个受信任与不受信任的活动和场景的清单。同样，你不能希望定义所有的可能性--而是要专注于代表内部风险领先指标的常见内部人员行动。

(3)优先排序：组织最关心的数据在什么时候风险最大?

界定内部人员风险容忍度的艺术为确定风险指标的优先次序的科学铺平了道路。也就是说，利用围绕数据活动的丰富背景，对内部人员风险的领先指标进行三角测量。有了正确的数据安全技术，你的安全团队将拥有上下文的可视性，使他们能够使用这些内部风险指标来优先考虑某些类型的风险--如源代码外泄、可疑的文件类型不匹配、同步到个人云存储和离职的员工--而不是较低严重性的事件。

(4)自动化：如何最好地应对内部人员风险?

正如一揽子封锁政策不能适用于所有用户和所有数据一样，对内部风险也没有一个放之四海而皆准的回应。你的安全团队应该与业务线领导合作，为你优先考虑的内部风险事件创建适当规模的反应。也许同样重要的是，你需要将技术落实到位，使你能够建立高度自动化的内部风险响应工作流程，结合一系列与事件严重性相适应的人力和技术响应，而不给安全团队带来过多负担。

(5)改进：正在做的事情是否真的有效?

这最后一步在传统的基于政策的方法中显然是缺乏的。内部风险范式承认内部风险是不断发展的，将永远存在，并且不能(不应该)被完全阻止。这使得将工具和流程落实到位，以衡量(定性和定量)、完善和优化你的整体内幕风险态势--利用风险情报和学习，随着时间的推移变得更聪明和更好，这一点至关重要。

新范式：毫不妥协的数据安全

随着数字化的不断加速，内部数据风险也在不断增加。我们不能忽视对新的数据安全范式的需求，以适应未来的工作需求。安全团队需要有能力优先处理最重要的风险，同时在网络内外查看所有数据活动，跨所有载体和所有用户。为了实现这一目标，他们需要看到更深层次的背景，以便从合法工作中分辨出风险活动。他们需要有能力协调高度自动化、规模适当的反应。而且，最重要的是他们需要致力于不折不扣地完成这一切，在保护业务的同时，不牺牲用户的速度、协作和创新。