网络中的内部威胁处置( 四 )_导读从安全角度来看

通过实施控制措施以帮助安全人员更早发现攻击，您可以开始创建有效的内部威胁计划。例如，你应该仔细观察特权升级等事情; 应用程序，探测器和流量超出其正常参数; 应用程序和工作流程的异常流量模式，特别是在不同的网络域之间。
行为分析需要通过分布式网络，以智能地标记异常事件并立即向安全人员报告。转向零信任模型并实施严格的内部分段可以防止许多攻击所需的网络横向移动。需要制定协议，以便立即看到优先级警报，而不会使安全团队陷入大量低级别信息。
需要注意的事项包括：

1. 未经授权使用IT资源和应用程序

员工使用个人云获取公司信息
盗贼使用影子IT
访问，共享或分发PII
安装未经批准和未经许可的软件
未经授权使用受限应用程序，包括网络嗅探和远程桌面工具

2. 未经授权的数据传输

使用可移动媒体存储或移动数据
未经授权将业务关键型数据复制到云或Web服务
传输与异常目的地之间的文件传输
使用即时消息或社交媒体应用程序移动文件

3. 滥用和恶意行为