組織內(nèi)部的違規(guī)事件通常是由組織內(nèi)部的員工或領(lǐng)導(dǎo)者引起的，卻是所有數(shù)據(jù)泄露事件中代價最高昂且最難檢測到的事件。根據(jù)“2018年IBM X-Force威脅情報指數(shù)”調(diào)查報告，2017年數(shù)據(jù)泄露的事件中有三分之二是組織內(nèi)部人員無意造成的結(jié)果，而組織的內(nèi)部威脅也是導(dǎo)致網(wǎng)絡(luò)攻擊的主要原因，達(dá)到數(shù)據(jù)泄露事件總量的60%。同時，2017年因組織內(nèi)部員工疏忽導(dǎo)致的錯誤配置的云計算服務(wù)器和網(wǎng)絡(luò)備份事件中，總共泄露了20多億條數(shù)據(jù)記錄。

[[242440]]

雖然組織將大量資源集中用于應(yīng)對緩解外部威脅行為者，但內(nèi)部風(fēng)險可能對企業(yè)構(gòu)成更大的財務(wù)威脅。根據(jù)調(diào)研機(jī)構(gòu)波洛蒙研究所的“2018年內(nèi)部威脅成本”報告，2017年由于組織內(nèi)部人員引發(fā)事件，每個事件的平均損失為876萬美元，是當(dāng)年全球數(shù)據(jù)違規(guī)事件平均損失386萬美元的兩倍多。

組織管理內(nèi)部威脅的傳統(tǒng)方法是采用安全意識培訓(xùn)和訪問治理來降低風(fēng)險。雖然這些措施至關(guān)重要，但它們不足以減輕所有類型的內(nèi)部員工風(fēng)險。這是因為人類是非常多變的，沒有考慮到內(nèi)部人員的風(fēng)險可能導(dǎo)致出現(xiàn)代價高昂的安全事件。

一、5種內(nèi)部威脅

根據(jù)調(diào)研機(jī)構(gòu)波洛蒙研究所的調(diào)查，組織的內(nèi)部員工的無意行為是最常見的內(nèi)部威脅形式，占數(shù)據(jù)泄露事件的64%，而外部攻擊行為只占數(shù)據(jù)泄露事件的23%。然而，內(nèi)部人員的風(fēng)險比簡單的疏忽和惡意企圖更加復(fù)雜。

實施無意行為的內(nèi)部人員既包括不響應(yīng)培訓(xùn)的員工，也包括因錯誤配置的云計算網(wǎng)絡(luò)等錯誤而產(chǎn)生后果的員工。在犯罪類別中，存在內(nèi)外串通、長期惡意行為和破壞的情況。因此，徹底了解以下五種不同的內(nèi)部風(fēng)險類別，對于安全團(tuán)隊制定全面保障措施來說至關(guān)重要。

1. 非響應(yīng)者

組織中實施無意識行為的員工通常是培訓(xùn)活動的非響應(yīng)者。雖然這些員工可能不會故意疏忽行事，但他們是組織中風(fēng)險最高的成員之一，因為他們的行為可能更頻繁。 2017年，Verizon公司發(fā)現(xiàn)在特定網(wǎng)絡(luò)釣魚活動中，平均有4.2%的內(nèi)部人員會點擊惡意鏈接。具有網(wǎng)絡(luò)釣魚攻擊歷史的人員更有可能再次遭到網(wǎng)絡(luò)釣魚。

雖然一直以不安全方式行事的員工通常只是組織中一小部分，但其錯誤的總體影響卻是驚人的。波洛蒙研究所的調(diào)查發(fā)現(xiàn)，去年有63%的事件是由各種類型的疏忽造成的。

2. 內(nèi)部人士的疏忽行為

簡單疏忽是最常見的內(nèi)部威脅形式，也是最昂貴的風(fēng)險類別之一。而此類別的內(nèi)部威脅通?？赡鼙憩F(xiàn)出安全行為并遵守政策，但會因孤立的錯誤而導(dǎo)致違規(guī)。根據(jù)X-Force的調(diào)查報告，這來自員工的錯誤判斷，例如將數(shù)據(jù)存儲在不安全的個人設(shè)備上，或者因網(wǎng)絡(luò)釣魚計劃而丟失，這占到2017年數(shù)據(jù)違規(guī)事件的三分之二。

威脅行為者越來越了解組織內(nèi)部人員無意中造成的漏洞。X-Force的調(diào)查報告揭示了過去一年中利用員工錯誤最常見的犯罪策略的幾種模式：

• 38%的外部攻擊者試圖欺騙用戶點擊惡意鏈接或附件。
• 35%的外部風(fēng)險是針對中間人(MitM)攻擊的嘗試。
• 27%的外部威脅試圖利用配置錯誤的服務(wù)器。

3. 組織員工內(nèi)外串謀

組織內(nèi)部員工與惡意外部威脅攻擊者的內(nèi)外串謀可能是最罕見的內(nèi)部犯罪風(fēng)險，但由于專業(yè)網(wǎng)絡(luò)犯罪分子越來越多地通過暗網(wǎng)招募組織員工，這仍然是一個重大威脅。

社區(qū)緊急響應(yīng)小組(CERT)的一項研究表明，內(nèi)部人員共謀事件占所有內(nèi)部人員引發(fā)事件的48.32%。與此同時，內(nèi)部人員與外界攻擊者共謀事件占16.75%。這些事件有幾種形式：

• 大約37%的事件涉及欺詐。
• 大約24%的事件涉及知識產(chǎn)權(quán)盜竊。
• 大約6%的事件涉及欺詐和盜竊。

根據(jù)這個研究，內(nèi)部人員引發(fā)的事件屬于違規(guī)行為中代價最高昂的類別，并且其檢測的時間可能比單獨實施行為的內(nèi)部人員造成的事件要多四倍。

4. 持久的惡意行為

最常見的是，實施犯罪行為的內(nèi)部人員為了經(jīng)濟(jì)回報或個人利益而泄露數(shù)據(jù)或?qū)嵤┢渌麗阂庑袨?。調(diào)研機(jī)構(gòu)Gartner公司對組織內(nèi)部犯罪威脅的研究發(fā)現(xiàn)，62%具有惡意意圖的內(nèi)部人員被歸類為尋求額外收入的人員，其工作資歷與這類行為幾乎沒有相關(guān)性。只有14%的持續(xù)惡意內(nèi)部人員擔(dān)任領(lǐng)導(dǎo)角色，大約三分之一擁有敏感數(shù)據(jù)訪問權(quán)限。

這些人的行為可能會在未被發(fā)現(xiàn)的情況下表現(xiàn)出更多的復(fù)雜性，以最大限度地提高竊取數(shù)據(jù)的個人利益。這些人員可能會緩慢地將數(shù)據(jù)泄露以避免檢測，而不是大規(guī)模地將數(shù)據(jù)導(dǎo)出，因為這可能會在傳統(tǒng)網(wǎng)絡(luò)監(jiān)控工具中引發(fā)警報。

5. 心懷不滿的員工

作為內(nèi)部人員威脅的最后一類，心懷不滿的員工故意破壞或盜竊知識產(chǎn)權(quán)也是組織面臨的最昂貴代價的風(fēng)險。Gartner公司對內(nèi)部人員犯罪的分析發(fā)現(xiàn)，29%的員工在辭職或被解雇后竊取組織信息以獲取未來收益，而9%的員工只是出于報復(fù)這樣簡單的犯罪動機(jī)。

心懷不滿的員工可以適應(yīng)許多行為子模式。而從接到離職通知的那一刻起，一些沮喪的員工可能開始收集或獲取沒有特定目標(biāo)的信息。而一些員工可能會有非常具體的意圖，并著手向競爭對手出售商業(yè)機(jī)密。

二、內(nèi)部人同行為風(fēng)險模式的檢測與應(yīng)對

內(nèi)部人員可能成為企業(yè)中最大的安全風(fēng)險，但內(nèi)部威脅是可變的。并沒有一種萬能的方法可以減輕所有類別的員工風(fēng)險。因此對于內(nèi)部人員的防范沒有完美的解決方案。而提高對內(nèi)部威脅的認(rèn)識和采用行為分析工具可能是防范企業(yè)內(nèi)部威脅的最佳方法。

1. 從數(shù)據(jù)保護(hù)開始

企業(yè)中最有價值的數(shù)據(jù)和系統(tǒng)最容易受到任何類型的內(nèi)部威脅，其中包括疏忽和犯罪意圖造成的風(fēng)險。為了創(chuàng)建透明度，組織應(yīng)該整理風(fēng)險資產(chǎn)，并對其進(jìn)行分類。持續(xù)的監(jiān)控和認(rèn)知分析可以保護(hù)知識產(chǎn)權(quán)和敏感數(shù)據(jù)記錄免受各種網(wǎng)絡(luò)安全威脅。

2. 采用行為分析方法

雖然組織的每個員工都以自己的方式行事，但個人模式的變化可以預(yù)測風(fēng)險。人工智能和行為分析是檢測工作場所習(xí)慣和信息消費的微妙模式風(fēng)險的特殊工具。用戶行為分析可以通過深度分析來緩解所有類別的內(nèi)部威脅，以預(yù)測風(fēng)險傾向。

3. 進(jìn)行風(fēng)險評估

行為分析的認(rèn)知應(yīng)用程序可以進(jìn)行風(fēng)險評估，以便在發(fā)生違規(guī)行為之前主動識別潛在的內(nèi)部風(fēng)險。當(dāng)組織面臨更高的錯誤風(fēng)險或發(fā)現(xiàn)犯罪行為時，可以采取緩解控制措施，加強(qiáng)訪問管理，或者在極端情況下進(jìn)行帳戶隔離，以防止數(shù)據(jù)丟失。

4. 減少漏洞

針對內(nèi)部人員和外部攻擊者威脅的最大保護(hù)措施之一是強(qiáng)大的安全管理措施，以減少組織的漏洞。保持持續(xù)的合規(guī)性可以促進(jìn)關(guān)鍵資產(chǎn)的透明度和數(shù)據(jù)保護(hù)。修補(bǔ)程序和網(wǎng)絡(luò)監(jiān)視需要在系統(tǒng)或員工受到威脅的那一刻起實施，而不是事件發(fā)生后幾個月。

5. 減輕內(nèi)部威脅

雖然勒索軟件、加密劫持以及其他外部威脅是人們廣泛討論的安全風(fēng)險，但組織的內(nèi)部人員是造成數(shù)據(jù)泄露的主要原因。疏忽、內(nèi)部人士犯罪、數(shù)據(jù)被盜與大部分丟失的記錄有關(guān)。 X-Force的調(diào)查研究表明組織的內(nèi)部威脅2017年同比增長5%。

了解人類行為的巨大差異對于創(chuàng)建防范組織內(nèi)部風(fēng)險的充分保障非常重要。組織借助合規(guī)性、數(shù)據(jù)保護(hù)和用戶行為分析工具，可以主動防范網(wǎng)絡(luò)中的無意錯誤和犯罪意圖。