黑客，網(wǎng)絡(luò)犯罪分子，惡意軟件感染和其他外部威脅占據(jù)了頭條新聞。并且有充分的理由。作為安全漏洞的一部分，數(shù)百萬條數(shù)據(jù)記錄的丟失現(xiàn)在似乎很常見。隨著我們向綜合數(shù)字經(jīng)濟邁進，大規(guī)模或協(xié)調(diào)網(wǎng)絡(luò)攻擊的影響可能會產(chǎn)生破壞性后果。

但實際情況是，絕大多數(shù)網(wǎng)絡(luò)攻擊仍未被發(fā)現(xiàn)。雖然我們沒有看到或聽說過它們，有針對性的攻擊負責(zé)大部分的損失在去年的網(wǎng)絡(luò)攻擊造成6,000億美元。更不為人所知的是，將近一半的數(shù)據(jù)泄露和系統(tǒng)妥協(xié)來自組織內(nèi)部而非外部來源。其中近一半是故意的，其余是偶然的。

[[257359]]

從安全角度來看，防范內(nèi)部人員攻擊與防御外部網(wǎng)絡(luò)攻擊完全不同。獲取對易受攻擊的設(shè)備和系統(tǒng)的訪問權(quán)限或升級網(wǎng)絡(luò)權(quán)限通常也更容易從內(nèi)部執(zhí)行。許多安全系統(tǒng)根本不關(guān)注已知用戶正在做什么，特別是在圍繞隱式信任建立的環(huán)境中，或者大多數(shù)安全資源專注于外圍控制的環(huán)境中。

識別潛在的內(nèi)部威脅

通過識別危害資源的內(nèi)部操作，以及識別可能執(zhí)行此類操作的人員，企業(yè)可以領(lǐng)先于內(nèi)部威脅。有兩種類型的內(nèi)部人員：

1. 惡意行動者

由于多種原因，這些人愿意將企業(yè)置于風(fēng)險之中。這些可以包括個人利益，報復(fù)被認為是不公正的愿望，例如被忽視晉升或者經(jīng)理不善，政治動機或由民族國家或競爭對手資助的工業(yè)間諜活動。

內(nèi)部人員攻擊可能導(dǎo)致有價值的數(shù)據(jù)和知識產(chǎn)權(quán)(IP)被盜，向公眾或競爭對手暴露可能令人尷尬或?qū)Ｓ械臄?shù)據(jù)，以及劫持或破壞數(shù)據(jù)庫和服務(wù)器?？蛻艉蛦T工信息(包括個人身份信息(PII)和個人健康信息(PHI))是最受歡迎的目標，因為它們在黑暗網(wǎng)絡(luò)上具有最高的轉(zhuǎn)售價值。知識產(chǎn)權(quán)(IP)和支付卡信息是下一個最常被竊取的數(shù)據(jù)類型。

對于更傳統(tǒng)的外部攻擊，由于快速數(shù)據(jù)泄漏到不尋常的目的地而導(dǎo)致的異常數(shù)據(jù)流可能難以偽裝?；顒涌赡芘c企業(yè)安全策略沖突，在奇怪的時間發(fā)生，源自奇怪的訪問點，顯示移動到不尋常的網(wǎng)絡(luò)地址，或包含意外的大量數(shù)據(jù)。這些中的任何一個都應(yīng)該觸發(fā)可以關(guān)閉主動違規(guī)的安全響應(yīng)。

但由于內(nèi)部人員已經(jīng)擁有持續(xù)且可信的訪問權(quán)限，攻擊和數(shù)據(jù)泄露可能會隨著時間的推移而發(fā)生，使攻擊者有更多時間來規(guī)劃他的策略，掩蓋他的蹤跡，偽裝數(shù)據(jù)，因此安全工具很難或不可能識別并保留數(shù)據(jù)低于檢測閾值的運動。許多用戶還可以通過在核心環(huán)境和多云環(huán)境之間移動數(shù)據(jù)來超越檢測，從而利用跨生態(tài)系統(tǒng)的不一致的安全實施。

2. 疏忽

組織為某些用戶提供比他們有技能管理更多的權(quán)限并不罕見。例如，堅持向數(shù)據(jù)庫提供升級權(quán)限的高管可以做一些簡單的事情，例如更改字段長度并導(dǎo)致關(guān)鍵應(yīng)用程序出現(xiàn)故障。這些用戶是否不知道處理敏感應(yīng)用程序或信息的基本預(yù)防措施，容易出錯，或者只是粗心大意，大多數(shù)情況下他們并不打算造成傷害。

但是，數(shù)據(jù)丟失或暴露不一定是不正當授予特權(quán)的結(jié)果。丟失移動設(shè)備，筆記本電腦或拇指驅(qū)動器，無法在丟棄的硬件上擦除光盤和硬盤驅(qū)動器，甚至在社交網(wǎng)絡(luò)上聊天時泄露商業(yè)信息，都可能導(dǎo)致錯誤，這些錯誤可能與其他人的故意攻擊一樣昂貴。

解決您的內(nèi)部風(fēng)險

組織需要完全了解其數(shù)據(jù)流，他們需要知道誰在訪問哪些數(shù)據(jù)，何時何地，包括在核心，多云或SD-WAN環(huán)境中。安全團隊還需要特別識別和分類風(fēng)險用戶，包括可以訪問敏感信息和權(quán)限的管理人員，管理員和超級用戶，以及維護和監(jiān)控可以訪問關(guān)鍵數(shù)據(jù)，資源和應(yīng)用程序的每個人的列表。

通過實施控制措施以幫助安全人員更早發(fā)現(xiàn)攻擊，您可以開始創(chuàng)建有效的內(nèi)部威脅計劃。例如，你應(yīng)該仔細觀察特權(quán)升級等事情; 應(yīng)用程序，探測器和流量超出其正常參數(shù); 應(yīng)用程序和工作流程的異常流量模式，特別是在不同的網(wǎng)絡(luò)域之間。

行為分析需要通過分布式網(wǎng)絡(luò)，以智能地標記異常事件并立即向安全人員報告。轉(zhuǎn)向零信任模型并實施嚴格的內(nèi)部分段可以防止許多攻擊所需的網(wǎng)絡(luò)橫向移動。需要制定協(xié)議，以便立即看到優(yōu)先級警報，而不會使安全團隊陷入大量低級別信息。

需要注意的事項包括：

1. 未經(jīng)授權(quán)使用IT資源和應(yīng)用程序

• 員工使用個人云獲取公司信息
• 盜賊使用影子IT
• 訪問，共享或分發(fā)PII
• 安裝未經(jīng)批準和未經(jīng)許可的軟件
• 未經(jīng)授權(quán)使用受限應(yīng)用程序，包括網(wǎng)絡(luò)嗅探和遠程桌面工具

2. 未經(jīng)授權(quán)的數(shù)據(jù)傳輸

• 使用可移動媒體存儲或移動數(shù)據(jù)
• 未經(jīng)授權(quán)將業(yè)務(wù)關(guān)鍵型數(shù)據(jù)復(fù)制到云或Web服務(wù)
• 傳輸與異常目的地之間的文件傳輸
• 使用即時消息或社交媒體應(yīng)用程序移動文件

3. 濫用和惡意行為

• 濫用文件系統(tǒng)管理員權(quán)限
• 禁用或覆蓋端點安全產(chǎn)品
• 使用密碼竊取工具
• 訪問黑暗網(wǎng)站

預(yù)防是關(guān)鍵的第一步

通過創(chuàng)造鼓勵良好員工行為的工作條件，還可以進一步預(yù)防問題。

例如，當工資水平，職業(yè)前景或工作的其他方面低于某些可測量的滿意度時，員工可能會尋求離開組織并隨身攜帶機密信息。因此，衡量和響應(yīng)員工滿意度是防范內(nèi)部人員安全風(fēng)險的關(guān)鍵部分。人力資源和IT之間協(xié)調(diào)的定期信息安全意識計劃有助于減少粗心行為。

結(jié)論

內(nèi)部威脅的風(fēng)險通常比我們想象的要大，特別是隨著網(wǎng)絡(luò)變得越來越大和越來越復(fù)雜。粗心大意和惡意企圖是兩個主要原因，但兩者都可以減輕。提高認知度和謹慎信息處理的解決方案包括培訓(xùn)和意識，以及從核心到云的分布式網(wǎng)絡(luò)的特權(quán)用戶和關(guān)鍵數(shù)據(jù)的監(jiān)控。這需要與動態(tài)網(wǎng)絡(luò)分段和安全工具集成到單一結(jié)構(gòu)中，包括高級行為分析。

這些技術(shù)解決方案只是答案的一半。創(chuàng)建和維護有吸引力的工作條件對于防止惡意行為也有很長的路要走。請記住，薪水只是一個因素，并不總是關(guān)鍵因素。擁有感，團隊合作以及創(chuàng)造員工執(zhí)行重要任務(wù)的感覺與您可能擁有的任何內(nèi)部安全解決方案一樣重要。