內(nèi)部人員威脅，與濫用公司內(nèi)部系統(tǒng)及應(yīng)用訪問(wèn)權(quán)的內(nèi)部雇員、承包商或前雇員的活動(dòng)有關(guān)，無(wú)論有無(wú)惡意企圖，造成的結(jié)果就是對(duì)關(guān)鍵信息系統(tǒng)或數(shù)據(jù)的機(jī)密性、完整性或可用性形成了破壞。

[[205282]]

內(nèi)部人員威脅包括IT破壞、欺詐或知識(shí)產(chǎn)權(quán)盜竊。內(nèi)部人員或自行單干，或無(wú)意輔助了外部威脅進(jìn)入。企業(yè)需理解自身目標(biāo)內(nèi)部人員威脅用例，對(duì)正常員工基線行為建模，確保員工知曉自己可能成為高級(jí)攻擊者利用來(lái)獲取商業(yè)關(guān)鍵信息的目標(biāo)。

本文討論內(nèi)部人員威脅及可疑/異常事件的關(guān)鍵指標(biāo)，呈現(xiàn)內(nèi)部人員威脅建模設(shè)計(jì)方法，幫助讀者識(shí)別此類(lèi)事件和高風(fēng)險(xiǎn)內(nèi)部人員。

內(nèi)部人員威脅指標(biāo)

內(nèi)部人員識(shí)別，是針對(duì)性檢測(cè)策略的構(gòu)成部分?？苫趯?duì)敏感信息、關(guān)鍵信息或其他商業(yè)重要信息的訪問(wèn)，來(lái)標(biāo)定內(nèi)部人員。有可能成為威脅的內(nèi)部人員，一般具備以下基本特征：

行為指標(biāo)：

• 因未達(dá)薪水預(yù)期或業(yè)績(jī)表現(xiàn)評(píng)估太差而心生怨恨;
• 與經(jīng)理意見(jiàn)不合，與同事或供應(yīng)商爭(zhēng)執(zhí);
• 攻擊性或暴力行為，職場(chǎng)騷擾或性騷擾;
• 因個(gè)人壓力或缺乏睡眠而導(dǎo)致的效率低下或表現(xiàn)不佳;
• 經(jīng)常性無(wú)計(jì)劃請(qǐng)假。

技術(shù)指標(biāo)：

• 大量文檔(含敏感信息)的非必要下載;
• 超出職位需求的黑客工具下載;
• 轉(zhuǎn)移大量數(shù)據(jù)到個(gè)人賬戶(hù)，設(shè)置并使用后門(mén);
• 對(duì)敏感或關(guān)鍵信息的未授權(quán)訪問(wèn);
• 經(jīng)常訪問(wèn)求職網(wǎng)站。

建立內(nèi)部人員正?；顒?dòng)行為的基線，可更容易檢測(cè)偏離正常值的奇點(diǎn)，幫助識(shí)別出異常事件或行為。

可疑內(nèi)部人員事件

內(nèi)部人員的目標(biāo)，是有意或無(wú)意地誤用訪問(wèn)權(quán)，以影響公司關(guān)鍵數(shù)據(jù)、系統(tǒng)或基礎(chǔ)設(shè)施的機(jī)密性、完整性或可用性。

內(nèi)部威脅事件目標(biāo)

企業(yè)內(nèi)可導(dǎo)致內(nèi)部人員風(fēng)險(xiǎn)的某些惡意或異常事件如下：

• 敏感信息(知識(shí)產(chǎn)權(quán)、金融、個(gè)人)的非必要下載，以及找尋通過(guò)個(gè)人電子郵件、公共盤(pán)、打印服務(wù)器、U盤(pán)和其他可移動(dòng)媒介轉(zhuǎn)出數(shù)據(jù)的方法;
• 關(guān)鍵基礎(chǔ)設(shè)施、應(yīng)用或數(shù)據(jù)的配置修改，引發(fā)完整性和可用性問(wèn)題;
• 正常工作時(shí)間外在多個(gè)時(shí)區(qū)和地區(qū)對(duì)關(guān)鍵或敏感信息發(fā)起的特權(quán)訪問(wèn);
• 不符合職位需求的關(guān)鍵或敏感信息未授權(quán)訪問(wèn)。

設(shè)計(jì)方法

本節(jié)深入探討解決內(nèi)部人員威脅事件，以及檢測(cè)惡意內(nèi)部人員活動(dòng)的解決方案設(shè)計(jì)方法。

內(nèi)部威脅模型

1. 源系統(tǒng)

建立數(shù)據(jù)發(fā)現(xiàn)并標(biāo)記敏感數(shù)據(jù)，識(shí)別關(guān)鍵資產(chǎn)和敏感或任務(wù)關(guān)鍵數(shù)據(jù)，采用足夠的措施來(lái)分類(lèi)信息。

2. SIEM或日志倉(cāng)庫(kù)

捕獲訪問(wèn)日志并將日志導(dǎo)入SIEM系統(tǒng)或大數(shù)據(jù)日志倉(cāng)庫(kù)。按安全及隱私策略定義保留周期和存儲(chǔ)方式。

3. 數(shù)據(jù)泄露防護(hù)(DLP)

可在公司內(nèi)部資產(chǎn)和終端上安裝DLP技術(shù)或代理，以捕獲事件和數(shù)據(jù)移動(dòng)。也可以基于數(shù)據(jù)的本質(zhì)和敏感性，來(lái)實(shí)現(xiàn)高級(jí)標(biāo)簽和預(yù)防控制措施。

4. 事件關(guān)聯(lián)引擎

運(yùn)用統(tǒng)計(jì)、規(guī)則和行為模式。關(guān)聯(lián)2個(gè)或多個(gè)事件(如：系統(tǒng)日志和DLP事件)，驅(qū)動(dòng)深入理解數(shù)據(jù)。

5. 分析引擎

與關(guān)聯(lián)引擎和風(fēng)險(xiǎn)模型聯(lián)動(dòng)，基于特定內(nèi)部人員威脅用例，產(chǎn)生針對(duì)性輸出(惡意事件、內(nèi)部人員列表)或洞見(jiàn)(數(shù)據(jù)可視化)。

6. 風(fēng)險(xiǎn)模型

基于預(yù)設(shè)閾值或基線，輔助識(shí)別異常事件。為每個(gè)異常事件分配對(duì)每個(gè)用戶(hù)或身份的風(fēng)險(xiǎn)值。每天匯總所有風(fēng)險(xiǎn)評(píng)分，識(shí)別出需要進(jìn)一步調(diào)查的首選用戶(hù)或身份，確定涉及的任何內(nèi)部人員威脅活動(dòng)。風(fēng)險(xiǎn)模型可由分析師人工維護(hù)和更新，也可以基于AI和機(jī)器學(xué)習(xí)算法自動(dòng)更新。

結(jié)論

無(wú)論惡意為之還是無(wú)心犯錯(cuò)，內(nèi)部人員威脅都是現(xiàn)實(shí)存在且不斷增長(zhǎng)的。公司企業(yè)應(yīng)了解內(nèi)部人員威脅，掌握識(shí)別高風(fēng)險(xiǎn)用戶(hù)，以及檢測(cè)并對(duì)抗內(nèi)部人員威脅的方法。

該領(lǐng)域涌現(xiàn)出了很多工具和技術(shù)，然而，想要取得對(duì)抗內(nèi)部人員威脅的成功，識(shí)別特定于公司的用例是關(guān)鍵。本文陳述的設(shè)計(jì)方法，就為打造針對(duì)性?xún)?nèi)部人員威脅平臺(tái)提供了基礎(chǔ)。