今天我們來關(guān)注一下來自網(wǎng)絡(luò)外部的數(shù)字威脅，它具有一個主要風(fēng)險：來自網(wǎng)絡(luò)本身的威脅。

“內(nèi)部威脅”是什么樣子?它們是什么類型，它們的增長方式以及組織如何防御它們。我們還將查看一些最近的示例，以幫助我們更好地了解內(nèi)部威脅如何發(fā)揮作用。

[[285449]]威脅" title="內(nèi)部威脅">

什么是內(nèi)部威脅?

用最簡單的術(shù)語來說，內(nèi)部威脅是來自組織內(nèi)部的安全風(fēng)險。此威脅可能來自事件發(fā)生時的員工，管理人員或與組織直接相關(guān)的其他人員。它也可以來自顧問，前雇員，業(yè)務(wù)合作伙伴或董事會成員，他們可能具有訪問重要數(shù)據(jù)的必要功能和特權(quán)。

當(dāng)然，重要的是要記住，并非所有內(nèi)部威脅都是相同的。其中一些行為者會懷有惡意意圖，而其他行為者會意外地損害組織的數(shù)字安全性。這些不同的動機解釋了為什么內(nèi)部威脅會以不同的類型出現(xiàn)。

安全情報確定了五個主要種類：

• 盡管接受了安全意識培訓(xùn)，但無響應(yīng)者仍繼續(xù)成為網(wǎng)絡(luò)釣魚測試的犧牲品，并且表現(xiàn)行為舉止疏忽。
• 疏忽大意的內(nèi)部人員的行為與安全意識銘記在心，但他們會犯孤立的錯誤，并會定期錯誤判斷與數(shù)字安全問題有關(guān)的情況;
• 內(nèi)部人串通不是很常見;在這種情況下，惡意內(nèi)部人員會與外部攻擊者合作，以掠奪目標組織;
• 持續(xù)的惡意內(nèi)部人員是犯罪的內(nèi)部人員威脅，他們訪問敏感的業(yè)務(wù)資產(chǎn)并竊取數(shù)據(jù)，目的是持續(xù)地從財務(wù)中獲利;
• 心懷不滿的員工比頑固的惡意內(nèi)部人員更具局限性。他們故意在短期內(nèi)進行破壞活動或知識產(chǎn)權(quán)盜竊。

最近四起涉及內(nèi)部威脅的事件

內(nèi)部威脅通常是一些小事件，員工竊取其當(dāng)前公司的數(shù)據(jù)，接受競爭對手公司的職位，然后出售這些信息以幫助新雇主獲得競爭優(yōu)勢。但是，有些在本質(zhì)上要大得多，并且會引起媒體的關(guān)注。以下是最近成為頭條新聞的四種內(nèi)部威脅攻擊：

• 菲利普斯研究中心(Phillips Research Center)：2019年2月，ClearanceJobs報告說，某位人士是如何濫用其在俄克拉荷馬州巴特爾斯維爾的菲利普斯66研究中心的材料科學(xué)家身份竊取數(shù)百個文件的。這些文件中的一些文件涉及到一箱價值10億美元的技術(shù)產(chǎn)品，在研究中心工作時就使用了該產(chǎn)品。
• Capital One：《紐約時報》于2019年7月報道稱，一名軟件工程師違反了Capital One擁有并由Amazon Web Services(AWS)托管的服務(wù)器。33歲的Paige Thompson來自華盛頓州西雅圖，利用她在AWS的工作滲透到服務(wù)器并竊取了銀行超過1億客戶的個人信息。
• 通用電氣：在2019年10月的一份報告中，CrowdStrike透露中國政府針對西方航空航天制造商開展了一次數(shù)字間諜活動。該活動涉及與通用電氣內(nèi)部人員以及其他公司內(nèi)部人員的勾結(jié)，以幫助中國政府獲得必要的知識，以幫助其建造C919商業(yè)客機。
• Twitter：2019年11月上旬，美國司法部針對35歲的Ali Alzabarah和41歲的Ahmad Abouammo提出了起訴書。該指控指責(zé)兩名Twitter前雇員不當(dāng)訪問了數(shù)千個用戶帳戶。

為什么內(nèi)部威脅會引起關(guān)注?

內(nèi)部威脅應(yīng)該在我們的腦海中起著重重作用，原因有幾個。首先，這些類型的攻擊正在上升。Verizon的《 2019年數(shù)據(jù)泄露調(diào)查報告》發(fā)現(xiàn)，自2015年以來，內(nèi)部威脅每年都在增加，并且內(nèi)部人員以某種形式參與了最新研究分析的所有違規(guī)事件的三分之一。為支持這些發(fā)現(xiàn)，對Bitglass的《 2019年內(nèi)部威脅報告》做出回應(yīng)的IT專業(yè)人士中有73%表示，過去一年內(nèi)部攻擊越來越頻繁。59%的受訪者告訴Bitglass，他們的組織在過去一年中遭受了至少一次內(nèi)部人員攻擊。

第二，內(nèi)部威脅很難發(fā)現(xiàn)。回到Bitglass報告中，只有12%的IT專業(yè)人員表示，他們的雇主已成功檢測到來自個人移動設(shè)備的內(nèi)部威脅。這一發(fā)現(xiàn)與50%的調(diào)查受訪者保證其組織能夠在一天之內(nèi)檢測到/從內(nèi)部威脅中恢復(fù)的形成鮮明對比。相反，Ponemon的2018年數(shù)據(jù)泄露成本研究發(fā)現(xiàn)，識別內(nèi)部漏洞平均需要197天，而遏制內(nèi)部漏洞需要69天。

考慮到它們被忽視的時間長短，這些攻擊往往代價高昂就不足為奇了。Ponemon在2018年的內(nèi)部威脅成本研究中發(fā)現(xiàn)，公司的平均內(nèi)部威脅成本約為20萬美元，這些威脅可能會使公司總共損失10萬美元。(在北美，換個數(shù)字甚至更高，約為20萬美元。)這些成本也在增加;埃森哲和Ponemon的2019年網(wǎng)絡(luò)犯罪成本研究發(fā)現(xiàn)，從2018年到2019年，惡意內(nèi)部攻擊的平均成本增加了15%。

組織如何防御內(nèi)部威脅

正如SearchSecurity指出的那樣，我們可以使用以內(nèi)部人員為中心的安全策略，安全意識培訓(xùn)，多因素身份驗證和最低特權(quán)模型來加強對惡意內(nèi)部人員的防御。但是這些控件只能做到這一步。最終，我們需要能夠監(jiān)視網(wǎng)絡(luò)中的可疑活動，例如濫用合法憑據(jù)來泄露敏感信息。

使用網(wǎng)絡(luò)流量分析和文件分析以及人工智能(AI)的功能來發(fā)現(xiàn)可能指示內(nèi)部威脅的異常行為。發(fā)現(xiàn)可能不是惡意的確鑿證據(jù)的行為，但似乎是異常的行為，足以使您的安全團隊對事件進行更深入的了解。因此，這些解決方案使您可以防止內(nèi)部人員竊取您的敏感數(shù)據(jù)(或從根本上限制內(nèi)部人員可能造成的破壞)，而又不會使安全專業(yè)人員陷入調(diào)查安全問題的麻煩。