內(nèi)部威脅早已不是什么新鮮概念，很多重大網(wǎng)絡(luò)安全事件都是由內(nèi)部因素所引發(fā)。但直到目前，企業(yè)對內(nèi)部威脅問題仍然沒有足夠的重視，并且缺乏有效的應(yīng)對措施。事實(shí)上，大多數(shù)安全團(tuán)隊(duì)面對內(nèi)部威脅都只會(huì)事后補(bǔ)救。

據(jù)Ponemon最新發(fā)布的2022年《全球內(nèi)部威脅成本報(bào)告》顯示，內(nèi)部威脅引發(fā)的企業(yè)安全風(fēng)險(xiǎn)在不斷加大。全球60%的公司在2021年遭遇到20起以上的內(nèi)部攻擊，相比2018年快速增長53%。內(nèi)部威脅有很多種，從心懷不滿的員工、勒索事件受害者和安全意識(shí)薄弱的用戶，到那些對公司網(wǎng)絡(luò)上敏感數(shù)據(jù)和系統(tǒng)擁有高級訪問權(quán)限的用戶，包括系統(tǒng)管理員、網(wǎng)絡(luò)工程師甚至CISO等，都可能對企業(yè)造成威脅和損害。

企業(yè)該如何對內(nèi)部威脅進(jìn)行有效監(jiān)管，防止來自內(nèi)部的損害呢?以下是目前常見的內(nèi)部威脅種類以及應(yīng)對威脅的最佳實(shí)踐方法：

1、 安全意識(shí)薄弱的員工

安全意識(shí)薄弱的員工有時(shí)被稱為安全規(guī)避者，他們有意或無意違反規(guī)則，并無視公司的安全措施。他們往往使用影子IT、不安全地共享文件、不安全地使用無線網(wǎng)絡(luò)、將信息發(fā)布到討論板和博客、打補(bǔ)丁不當(dāng)、忽視安全策略、通過電子郵件和即時(shí)通訊(IM)泄露公司數(shù)據(jù)等，給企業(yè)帶來潛在威脅。

應(yīng)對方法：企業(yè)應(yīng)開展網(wǎng)絡(luò)安全意識(shí)培訓(xùn)，并精心打造企業(yè)安全文化，通過監(jiān)控影子IT、實(shí)施安全文件共享最佳實(shí)踐和權(quán)限、使用基于客戶端或服務(wù)器的內(nèi)容過濾、堅(jiān)持使用補(bǔ)丁最佳實(shí)踐、要求通過VPN或零信任框架實(shí)現(xiàn)安全的網(wǎng)絡(luò)連接、使用Wi-Fi保護(hù)訪問3(Wi-Fi Protected Access 3)以及禁用不需要的藍(lán)牙等安全措施，來管理員工的網(wǎng)絡(luò)行為。

2、 竊取合法用戶登錄信息的攻擊者

竊取合法用戶登錄信息的攻擊者是導(dǎo)致數(shù)據(jù)泄露的主要原因之一。合法用戶的登錄信息常常通過以下途徑泄露出去：網(wǎng)絡(luò)釣魚和社會(huì)工程學(xué)伎倆、蠻力攻擊、登錄信息泄露、擊鍵記錄程序、中間人攻擊、字典攻擊、撞庫以及密碼噴灑攻擊。這些被泄露的合法用戶登錄信息有可能導(dǎo)致惡意軟件感染、數(shù)據(jù)泄露和勒索軟件攻擊等。

應(yīng)對方法：企業(yè)可以使用適當(dāng)?shù)碾娮余]件安全控制、電子郵件安全網(wǎng)關(guān)和電子郵件過濾來緩解這一狀況。應(yīng)該要求用戶使用強(qiáng)密碼/密碼短語，并確保公司密碼策略已明確了這些要求;要求用戶使用多因子或雙因子身份驗(yàn)證，采用特權(quán)訪問管理和最小特權(quán)原則(principle of least privilege ，簡稱“POLP”)，并定期審查訪問以驗(yàn)證用戶的訪問權(quán)限。此外，企業(yè)還應(yīng)向員工介紹網(wǎng)絡(luò)釣魚詐騙的警示信號等，以提高其防范意識(shí)。

3、 心懷不滿的員工

心懷不滿的員工是可能是現(xiàn)任員工，也可能是前任員工。這些內(nèi)部人員不懷好意，往往出于報(bào)復(fù)、破壞、獲取個(gè)人經(jīng)濟(jì)利益或純粹為了好玩而攻擊雇主。那些擁有特權(quán)訪問權(quán)限的現(xiàn)任員工和離開公司或被解雇后仍擁有訪問權(quán)限的前任員工，還有可能會(huì)竊取知識(shí)產(chǎn)權(quán)、專有數(shù)據(jù)、商業(yè)機(jī)密和源代碼等資產(chǎn)。

應(yīng)對方法：在管理方面，企業(yè)可以通過員工面談、簽到和調(diào)查來加強(qiáng)透明度、溝通和協(xié)作;在IT方面，企業(yè)應(yīng)定期舉辦網(wǎng)絡(luò)安全培訓(xùn)，并密切關(guān)注用戶行為，及時(shí)發(fā)現(xiàn)異常活動(dòng)和行為變化。

4、 離職員工

離職的員工是企業(yè)面臨的最大內(nèi)部威脅之一，主要是由于他們可能會(huì)將重要的公司信息泄露給競爭對手。這些員工可能是惡意的，比如竊取公司擁有的信息(如電子郵件地址和聯(lián)系名單)，也可能是無意的，比如離職時(shí)將其所從事項(xiàng)目的成果歸己所有。

應(yīng)對方法：企業(yè)應(yīng)確保讓離職員工知道他們不能帶走公司財(cái)產(chǎn)，密切關(guān)注下載過多數(shù)據(jù)的員工，并執(zhí)行離職流程，以便在員工離職后終止其訪問權(quán)限。

5、 惡意的內(nèi)部威脅分子

惡意的內(nèi)部威脅分子又叫內(nèi)奸或共謀者，他們使用其登錄信息，為外部威脅分子竊取信息或?qū)嵤┕?。這些內(nèi)部威脅可能涉及賄賂或勒索。

應(yīng)對方法：企業(yè)應(yīng)使用最小特權(quán)原則來限制員工可以訪問哪些應(yīng)用程序、網(wǎng)絡(luò)和數(shù)據(jù)。此外，還可以使用監(jiān)控機(jī)制、零信任網(wǎng)絡(luò)訪問和行為分析等來檢測異常活動(dòng)。

6、第三方威脅

有權(quán)訪問企業(yè)系統(tǒng)的第三方(如承包商、兼職員工、供應(yīng)商、服務(wù)提供商和客戶)對敏感數(shù)據(jù)構(gòu)成了重大風(fēng)險(xiǎn)。第三方攻擊又稱為供應(yīng)鏈攻擊或價(jià)值鏈攻擊，它使敏感信息和公司聲譽(yù)岌岌可危。

應(yīng)對方法：企業(yè)應(yīng)確保第三方值得信賴，需查看第三方背景，確保對方可靠后才允許其訪問;應(yīng)落實(shí)完備的第三方風(fēng)險(xiǎn)管理計(jì)劃;通過最小特權(quán)原則限制第三方訪問;定期審核第三方賬戶，以確保工作完成后系統(tǒng)權(quán)限被終止;使用監(jiān)控工具檢測第三方威脅。

參考鏈接：

https://www.techtarget.com/searchsecurity/tip/Five-common-insider-threats-and-how-to-mitigate-them。