對于安全從業(yè)者而言，內(nèi)部威脅是越來越令人擔憂而又深感困惑的領(lǐng)域。通常情況下，人們習(xí)慣將資源用于對抗外部威脅，許多安全團隊仍然“不確定”應(yīng)該如何應(yīng)對內(nèi)部出現(xiàn)的威脅形式。不幸的是，這種“不確定性”常常會因為一些常見的安全神話，和對內(nèi)部威脅的誤解而進一步惡化和加劇，這些誤解主要包括：

一、內(nèi)部威脅總是有意且有害的

圍繞內(nèi)部威脅的大部分困惑主要始于其定義。從恐嚇到炒作再到不準確的新聞報道等因素已經(jīng)讓人們普遍認為，最惡毒和最具破壞性的內(nèi)部攻擊類型——例如涉及企業(yè)間諜活動的攻擊——代表了所有內(nèi)部威脅。但是，正如高級持續(xù)性威脅(APT)無法代表所有網(wǎng)絡(luò)安全威脅一樣，惡意且極具破壞力的內(nèi)部攻擊也無法代表所有內(nèi)部威脅。通常而言，大多數(shù)網(wǎng)絡(luò)威脅比APT的損害程度更低，而大多數(shù)的內(nèi)部威脅也比我們經(jīng)常聽聞的更為溫和且不夠成熟。

[[236419]]

內(nèi)部威脅有各種為人所接受的定義，但大多數(shù)人所認同的因素主要包括：

• 威脅來自組織內(nèi)部，且會對組織本身構(gòu)成威脅;
• 涉及擁有或已授權(quán)訪問組織的網(wǎng)絡(luò)、系統(tǒng)或數(shù)據(jù)，并濫用該訪問權(quán)限的現(xiàn)任或前任員工、承包商或合作伙伴;
• 只有當用戶是有目的的實施操作時，才稱得上是“有意的”內(nèi)部威脅(也有一些業(yè)內(nèi)人士將“有意的”內(nèi)部威脅稱為“惡意威脅”);
• 當用戶在無意的情況下實施操作，那這種內(nèi)部威脅就是“無意的”;
• 內(nèi)部威脅可能是有害的，也可能是無害的;

大多數(shù)情況下，人們都忽略了“無意的”內(nèi)部威脅這種形式。例如，用戶意外地將含有敏感信息的電子郵件發(fā)送給了錯誤的收件人等情況。雖然用戶不打算進行潛在的威脅行為，但是他們的行為著實可能會為公司帶來嚴重的后果，甚至可能會造成與“有意的”內(nèi)部威脅相同的傷害。

同樣地，人們也經(jīng)常會忽略不會造成傷害的內(nèi)部威脅這種形式。如果上述電子郵件收件人濫用了包含敏感信息的電子郵件內(nèi)容，和/或未能及時銷毀它，那么這種“無意的”內(nèi)部威脅無疑是有害的。但是，要記住，并非所有的內(nèi)部威脅都是有害的，即便是有些“有意的”內(nèi)部威脅也有可能是無害的。例如，假設(shè)一名員工忘記了公司系統(tǒng)的登錄憑證，為了順利完成工作，他可能會選擇通過獲取另一名員工的憑證來訪問系統(tǒng)，即便他知道自己的這種行為違反了公司政策，但是仍然這樣做了，這種威脅顯然是“有意的”。但是，除非該員工濫用憑證做出損害公司的行為，否在這種威脅雖然是有意的，但可能并不會造成傷害。

重要的是，要意識到內(nèi)部威脅的定義具有超越語義本身的含義。無論一個內(nèi)部威脅是有意還是無意，有害亦或無害，想要有效地對抗這些威脅，就必須全面地了解它們是什么?以及它們究竟緣何而起?

二、如果擁有內(nèi)部威脅資源，則擁有內(nèi)部威脅防護

內(nèi)部威脅防護(ITP)的構(gòu)成是另一個常見的困擾領(lǐng)域。具體而言，許多組織認為有效的ITP可以包含專用于解決內(nèi)部威脅的任何資源或資源組合。

在某些情況下，這種假設(shè)的形成主要歸因于，越來越多的工具正在作為應(yīng)對內(nèi)部威脅的“銀彈頭”或“靈丹妙藥”在使用。例如，雖然各種類型的警報和用戶行為分析(UBA)工具可以為結(jié)構(gòu)良好且配備齊全的ITP提供巨大價值，但實際上，沒有任何一種工具能夠作為“萬靈丹”來替代整個計劃。歸根到底，這種假設(shè)除了幫組織營造自己已經(jīng)做好了準備，并且能夠解決內(nèi)部威脅的假象外，根本起不到現(xiàn)實作用。

實際上，真正行之有效的ITP需要工具、數(shù)據(jù)集、專業(yè)知識、人員和跨職能協(xié)作的特定組合，加之全面和綜合的計劃和調(diào)查功能。無論組織的規(guī)模如何，這些要求通常都是一致的。較小的組織可以通過在人員之間分擔責任來相應(yīng)地擴展其ITP，而無需像大型組織一樣投入較為昂貴的工具。但是，即便具有必要的資源和控制措施，想要啟動和開發(fā)ITP也是一項漫長而復(fù)雜的工作，這也是為什么需要鼓勵那么想要這樣做的組織尋求外部支持的原因所在。

三、只有ITP才可阻止內(nèi)部威脅

但是，在組織考慮啟動此類計劃之前，重要的是要了解ITP的主要目標是遏制、檢測和響應(yīng)內(nèi)部威脅 - 而不是阻止它們。問題不在于無法阻止內(nèi)部威脅，而在于阻止過程主要發(fā)生在信息安全層面，而不是ITP層面。大部分基礎(chǔ)、最佳的信息安全控制實踐可以幫助組織緩解網(wǎng)絡(luò)釣魚和惡意軟件感染等威脅，同時也有助于阻止內(nèi)部威脅。

這些控制包括強大的身份和訪問控制(IAM)流程，可以迅速撤銷前員工對公司系統(tǒng)和資產(chǎn)的訪問權(quán)限，阻止用戶訪問網(wǎng)絡(luò)內(nèi)的個人電子郵件、社交媒體和外部即時消息，以及限制閃存驅(qū)動器和外部設(shè)備的使用等;針對媒體存儲設(shè)備實施您自己的設(shè)備(BYOD)策略，并確保所有用戶都經(jīng)過了全面培訓(xùn)，并且了解安全意識和最佳實踐。

這就是為什么組織在啟動ITP之前，實施和維護有效的信息安全計劃至關(guān)重要的原因所在。如果組織無法維護適當?shù)男畔踩珮藴?，那么，即便是最?fù)雜且最全面的ITP也毫無價值可言。

上述內(nèi)容旨在強調(diào)內(nèi)部威脅方面存在的一些常見誤區(qū)，但是這些概括顯然并不全面。隨著越來越多的組織開始意識到內(nèi)部威脅的危害性，并且迫切需要解決這一威脅，作為安全從業(yè)者的我們必須承認，內(nèi)部威脅存在令人困惑的誤區(qū)，我們的目的是盡可能地幫助大家消除誤解，并提供清晰、準確的見解，以幫助組織更好地應(yīng)對內(nèi)部威脅。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文