企業(yè)可以花所有的錢購(gòu)買技術(shù)解決方案來(lái)保護(hù)其網(wǎng)絡(luò)邊界，但仍然無(wú)法阻止來(lái)自內(nèi)部的攻擊。毫無(wú)疑問(wèn)，每個(gè)信息安全從業(yè)人員都聽過(guò)網(wǎng)絡(luò)邊界被攻破的事件。但新的攻擊方式是攻破“人類防線”，即企業(yè)內(nèi)部威脅。現(xiàn)在越來(lái)越多的攻擊者利用社會(huì)工程學(xué)來(lái)瞄準(zhǔn)最易受攻擊的資產(chǎn)：人。然后從內(nèi)而外攻擊系統(tǒng)并完全掌控該公司。

前段時(shí)間，網(wǎng)上銀行和支付賬單公司W(wǎng)HMCS遭遇攻擊，攻擊者使用真實(shí)內(nèi)部訪問(wèn)憑證假裝成內(nèi)部人士。結(jié)果發(fā)現(xiàn)，該公司的數(shù)據(jù)庫(kù)管理員在社交媒體非?；钴S。從分析其公開資料，攻擊者就能夠獲取其安全問(wèn)題的大難。在快速電話和密碼重置后，攻擊者能夠下載1.1G信用卡號(hào)碼，并隨后刪除了服務(wù)器。五分鐘的電話呼叫讓攻擊者完全掌控了該公司。

這只是外部人員假裝成內(nèi)部人員。那么，對(duì)于來(lái)者不善的內(nèi)部人員呢?

據(jù)了解，65%的所有IT破壞攻擊都是非技術(shù)性的，84%針對(duì)經(jīng)濟(jì)利益的攻擊也是非技術(shù)性的。只需要一個(gè)電話，僅此而已。如果企業(yè)不能保護(hù)自己數(shù)據(jù)的安全性，我們作為客戶如何相信他們能夠保護(hù)我們的數(shù)據(jù)?

這突出了我們每天在為客戶做的工作。在打給企業(yè)連鎖店的10分鐘的電話中，非技術(shù)員工都可以提供足夠的數(shù)據(jù)來(lái)執(zhí)行虛擬攻擊或現(xiàn)場(chǎng)模擬?？偸悄軌蛐械猛ǖ囊粋€(gè)攻擊向量是另一個(gè)內(nèi)部人員，同事。內(nèi)部人員通常會(huì)自動(dòng)受到信任，并自動(dòng)得到外部人員永遠(yuǎn)不會(huì)得到的答案。這正是內(nèi)部攻擊的危險(xiǎn)所在。這種信任可能被利用，自動(dòng)身份驗(yàn)證可以用來(lái)攻擊。

現(xiàn)在我們已經(jīng)討論了一些來(lái)自內(nèi)部威脅造成的危害范圍，企業(yè)需要清楚了解這些威脅是如何表現(xiàn)。AT&T近日透露，員工能夠訪問(wèn)和滲出機(jī)密及個(gè)人用戶信息，包括數(shù)千客戶的社會(huì)安全號(hào)碼和駕駛證號(hào)碼。這是惡意內(nèi)部攻擊的例子，其中員工故意暴露數(shù)據(jù)。#p#

憤怒和不滿

在惡意內(nèi)部人員的情況中，這些員工很憤怒或者不滿，他們可能準(zhǔn)備離職或者已經(jīng)被解雇，并仍然可以訪問(wèn)企業(yè)系統(tǒng)。這些攻擊者非常危險(xiǎn)，因?yàn)樗麄円呀?jīng)知道如何訪問(wèn)網(wǎng)絡(luò)，并能輕松地訪問(wèn)大量信息，而不需要費(fèi)力。雖然對(duì)于這種內(nèi)部攻擊似乎無(wú)計(jì)可施，2014年Verizon數(shù)據(jù)泄露報(bào)告指出，85%的內(nèi)部特權(quán)濫用攻擊使用了企業(yè)LAN。通過(guò)部署和執(zhí)行訪問(wèn)控制、網(wǎng)絡(luò)行為分析和安全意識(shí)培訓(xùn)，鼓勵(lì)員工報(bào)告可疑活動(dòng)，這些類型的攻擊可以得到控制。

第二種類型的內(nèi)部威脅源于偶然的數(shù)據(jù)上傳、未能安全地處理文件，以及具有意想不到后果的復(fù)雜的交互。無(wú)論它是如何發(fā)生，當(dāng)員工意外暴露數(shù)據(jù)時(shí)，都可能發(fā)生內(nèi)部攻擊。

內(nèi)部攻擊也可能通過(guò)合作伙伴或者第三方的形式，這些第三方被授予訪問(wèn)權(quán)限，并可能意外暴露數(shù)據(jù)。我們看到過(guò)多少因?yàn)楣P記本、U盤或文件處理不當(dāng)(其中可能包含數(shù)以千計(jì)敏感數(shù)據(jù))而造成的數(shù)據(jù)泄露事故?這些泄露事故并不是惡意的內(nèi)部人士，而是沒(méi)有受過(guò)教育和輕率的內(nèi)部人員給企業(yè)和企業(yè)客戶造成的損害。

企業(yè)成功防止內(nèi)部攻擊的唯一方式是不要只是認(rèn)為IT負(fù)責(zé)所有信息安全問(wèn)題。在上述的每種情況，用戶教育以及適當(dāng)?shù)募夹g(shù)解決方案都可以幫助減少內(nèi)部威脅造成的影響。

你可以先問(wèn)自己以下問(wèn)題：

·政策是否部署到位?

·是否有法律和高級(jí)管理支持IT做法?

·這些類型的計(jì)劃是獎(jiǎng)勵(lì)員工而不是嚇唬他們?

·我們是否進(jìn)行定期審核?

雖然這種方法起初看似不切實(shí)際，但筆者已經(jīng)看到全球性企業(yè)如何通過(guò)簡(jiǎn)單地調(diào)整程序和員工意識(shí)培訓(xùn)來(lái)減少惡意軟件相關(guān)事件的數(shù)量，以及阻止內(nèi)部和外部威脅。企業(yè)的安全取決于其最薄弱環(huán)節(jié)—人類。只要簡(jiǎn)單的事實(shí)仍然是正確的，攻擊者總是能夠唾手可得企業(yè)的數(shù)據(jù)。讓你的企業(yè)和你的員工不再那么唾手可得，從而避免淪為下一個(gè)攻擊受害者。