9月1日，美國政府辦公室的一個安全團(tuán)隊啟動了第四屆國家內(nèi)部威脅意識月(NITAM)。為期一個月的這項活動的目標(biāo)是教育政府機(jī)構(gòu)和各行業(yè)組織了解內(nèi)部威脅帶來的危險以及內(nèi)部威脅計劃的作用。今年的活動重點關(guān)注批判性思維對幫助員工防范數(shù)字空間風(fēng)險的重要性。發(fā)布的國家內(nèi)部威脅意識月(NITAM)公告引用了數(shù)字空間中最近的一些內(nèi)部威脅示例：

• Twitter公司的員工Ahmad Abouammo于2022年8月被定罪，其罪名是收受賄賂以換取訪問、監(jiān)控Twitter用戶的私人信息，并將其提供給中東某國的政府部門。
• 2022年7月，美國中央情報局(CIA)前雇員Joshua Schulte被定罪，他利用訪問權(quán)限收購了美國一些最有價值的情報，秘密收集這些材料并提供給維基解密。
• 2022年6月，已經(jīng)轉(zhuǎn)為民用承包商的前美國陸軍直升機(jī)飛行員Shapour Moinian認(rèn)罪，他接受了某國政府代表提供的數(shù)千美元，以從其國防承包商雇主那里提供航空相關(guān)信息。

Code42公司首席執(zhí)行官Joe Payne是2022年內(nèi)部風(fēng)險峰會主席，他在會上列了一個案例。他說，“這可能是我們多年來遇見的規(guī)模最大內(nèi)部風(fēng)險案例”。在這個案例中，弗吉尼亞州費爾法克斯縣巡回法院的陪審團(tuán)發(fā)現(xiàn)，低代碼平臺提供商Pegasystems公司雇傭了一名政府承包商的員工，長期監(jiān)視編碼自動化服務(wù)商Appian公司，以了解如何更好地與競爭對手競爭，因此，Pegasystems公司由于盜用商業(yè)機(jī)密而被判賠償Appian公司20.36億美元。

Payne說，“Pegasystems公司的價值不到20億美元，在獲得20億美元賠償金之后，Appian公司的價值增長到30億美元。由此可以看到一家承包商可能造成問題的規(guī)模和嚴(yán)重程度，人們就會開始明白，內(nèi)部風(fēng)險在當(dāng)今各行業(yè)中可能非常具有破壞性?！?/p>

在最近的一個內(nèi)部風(fēng)險示例中，社交媒體平臺Twitter公司前安全主管Peiter Zatko在美國參議院一個委員會作證，聲稱該公司雇傭了外國特工。他還對這家公司雇傭的其他外國特工表示擔(dān)憂，其中至少有一名來自印度。

無意的內(nèi)部威脅可能是最大的風(fēng)險

這些企業(yè)內(nèi)部風(fēng)險的典型例子被認(rèn)為是有意或惡意的威脅，而不是無意或非惡意的威脅。Mandiant公司總經(jīng)理Jon Ford表示，“無意的威脅包括內(nèi)部人員的粗心大意，他們的行為在大多數(shù)研究和學(xué)術(shù)活動中經(jīng)常被忽視，甚至沒有包括在內(nèi)部威脅本身的定義中。這是一個重大缺陷，因為無意的內(nèi)部威脅是最大的內(nèi)部威脅。大多數(shù)研究表明，粗心的內(nèi)部人員造成了50%至75%的內(nèi)部威脅事件。”

CybSafe公司首席執(zhí)行官兼創(chuàng)始人OzAlashe MBE說：“正是員工在無意中做出了增加企業(yè)內(nèi)部風(fēng)險的事情。我認(rèn)為最大的內(nèi)部風(fēng)險和威脅并不是蓄意和惡意竊取信息、提供網(wǎng)絡(luò)和系統(tǒng)訪問權(quán)限的用戶?！?/p>

國外間諜帶來的內(nèi)部威脅很少見

事實上可能發(fā)生的惡意內(nèi)部威脅的公開實例，證明大多數(shù)內(nèi)部威脅都是非惡意的，不涉及敵對國家的行為。Red Goat Cybersecurity公司合伙人Lisa Forte說：“Twitter公司前安全主管Peiter Zatko指控的是，Twitter公司雇傭了國外間諜。這種情況確實極為罕見?！?/p>

然而，F(xiàn)orte表示，更常見的是企業(yè)或工業(yè)間諜案件，其中盜竊某一企業(yè)的知識產(chǎn)權(quán)并提供給其競爭對手。Forte說，“這些案件涉及的不是政府間諜，而是那些想賺錢或討好其他競爭對手以獲得利益的員工。”

Mandiant公司的Ford說，“即使國外間諜是一種罕見的內(nèi)部風(fēng)險，員工必須了解這種風(fēng)險以及這些方法的作案方式，以便他們能夠識別間諜采用的方法，企業(yè)員工在被誘騙商業(yè)機(jī)密的同時，他們可能只是認(rèn)為參加了一場商務(wù)會議，這種情況并不少見。”

如何發(fā)現(xiàn)內(nèi)部威脅

發(fā)現(xiàn)內(nèi)部威脅的技術(shù)各不相同，取決于企業(yè)可能面臨的威脅類型，無論是惡意還是無意的。在惡意內(nèi)部威脅方面，要注意員工的反常行為變化，Alashe說，“一些企業(yè)會將其視為個人正常登錄和注銷的時間，或電子郵件流量的變化。它們是可能值得進(jìn)一步關(guān)注的興趣領(lǐng)域的指標(biāo)?！?/p>

對企業(yè)不滿的員工或知道自己將被解雇的員工，是可能存在惡意內(nèi)部威脅的另一個跡象。Alashe說，“我們看到的一個挑戰(zhàn)是，有些員工知道他們將被解雇，但他們的權(quán)限并沒被取消。因此在一段時間內(nèi)提高了企業(yè)面臨的內(nèi)部威脅的風(fēng)險?！?/p>

Forte說，“在觀察到的幾乎所有案件中，都是在一些員工辭職前一個月內(nèi)發(fā)生的?！贝送馑赋觯I竊案件中存在兩個重要因素，一是員工對自己的工作感到不滿，二是他們對工作職位的占有欲很強。

至于無意的內(nèi)部威脅，F(xiàn)ord說：“員工可能因為快速或方便而采取的行動，例如共享或重用憑據(jù)、將文件復(fù)制到個人U盤或?qū)⑽募鎯υ趥€人云存儲中，這些行動也意味是一種內(nèi)部威脅，即使它們可能不是惡意的?！?/p>

非惡意內(nèi)部威脅的另一個指標(biāo)是員工未能完成安全意識培訓(xùn)。Alashe說，“培訓(xùn)并不能徹底改變?nèi)藗兊男袨?，但?jù)我所知，培訓(xùn)是一些企業(yè)應(yīng)對非惡意內(nèi)部威脅的方法?！?/p>

防止內(nèi)部威脅的措施

企業(yè)可以采取措施將內(nèi)部威脅的程度降到最低。Ford說，“第一步應(yīng)該是進(jìn)行全面的內(nèi)部威脅能力評估，這將有助于確定現(xiàn)有的差距和有待改進(jìn)的領(lǐng)域。利用從評估中獲得的見解，企業(yè)可以制定有效的內(nèi)部威脅計劃，平衡員工隱私與安全，并且應(yīng)該包括明確定義的組件、功能、范圍和治理結(jié)構(gòu)。”

Forte表示，抵御內(nèi)部威脅的具體措施取決于威脅的類型：欺詐、盜竊或破壞。Forte建議，為了最大限度地減少內(nèi)部盜竊，除了其他事項之外，企業(yè)應(yīng)確定最具商業(yè)敏感性的資產(chǎn)，確定有權(quán)使用這些資產(chǎn)的員工，并為他們提供加強的內(nèi)部威脅培訓(xùn)。她說：“在某些情況下，人們沒有意識到他們處理的一些報告是不能帶走或復(fù)印的?！?/p>

Alashe表示，解決內(nèi)部威脅的關(guān)鍵一步是首先確定非惡意的內(nèi)部活動是內(nèi)部威脅。他說，“一些企業(yè)表示，他們的安全意識團(tuán)隊負(fù)責(zé)處理非惡意內(nèi)容，而內(nèi)部威脅團(tuán)隊只負(fù)責(zé)處理惡意內(nèi)容。更明智的企業(yè)并不這么認(rèn)為。他們會更全面地考慮這個問題?！?/p>