與內(nèi)部威脅的最新統(tǒng)計數(shù)據(jù)保持同步有助于組織積極應對并減緩潛在風險。這篇文章概述了行業(yè)專家的主要發(fā)現(xiàn)，并展示了最近的內(nèi)部威脅事實和案例，以幫助組織更好地了解風險并調(diào)整自身的網(wǎng)絡安全措施。

內(nèi)部威脅統(tǒng)計研究

我們從一些最可信的報告中選擇了內(nèi)部威脅網(wǎng)絡安全統(tǒng)計數(shù)據(jù)，這些報告提供了有關內(nèi)部威脅、背后的技術和方法以及修復成本的關鍵信息：

• 2023年、2021年Cybersecurity Insiders《內(nèi)部威脅報告》；
• 2022年、2020年、2018年Ponemon Institute《全球內(nèi)部威脅成本報告》；
• 2022年、2021年Verizon《數(shù)據(jù)泄露調(diào)查報告》；
• 2021年Ponemon Institute《內(nèi)部威脅狀態(tài)報告》

2022年Top3內(nèi)部威脅行為者和事件

任何組織都可能有惡意的內(nèi)部人員。Cybersecurity Insiders發(fā)布的《2023年內(nèi)部威脅報告》指出，74%的組織容易受到內(nèi)部威脅。這是可以理解的，因為在2022年，我們看到了許多惡意的內(nèi)部攻擊和由用戶疏忽造成的數(shù)據(jù)泄露。

企業(yè)組織繼續(xù)遭受來自下述類型參與者的內(nèi)部威脅：

正式員工

與特權用戶相比，普通員工的能力有限，但他們?nèi)匀豢赡軗p害組織安全。例如，他們可能濫用公司數(shù)據(jù)，安裝未經(jīng)授權的應用程序，將機密電子郵件發(fā)送到錯誤的地址，或者成為社會工程攻擊的受害者。

一個普通員工觸發(fā)的內(nèi)部攻擊案例：：

2022年5月，雅虎高級研究科學家竊取了雅虎AdLearn產(chǎn)品的機密信息。泄露的數(shù)據(jù)包括570,000份文件，其中包含源代碼、后端架構信息、秘密算法和其他知識產(chǎn)權。在收到雅虎競爭對手的工作邀請幾分鐘后，該惡意員工將這些數(shù)據(jù)下載到他的個人存儲設備中。在發(fā)現(xiàn)這一事件后，雅虎對該員工提出了三項指控，包括竊取知識產(chǎn)權數(shù)據(jù)，聲稱他的行為暴露了公司的商業(yè)秘密，給競爭對手帶來了巨大的優(yōu)勢。

特權用戶

特權用戶包括系統(tǒng)管理員、C級高管人員以及其他具有高級訪問權限的用戶。特權用戶掌控著進入組織關鍵基礎設施和敏感數(shù)據(jù)的“鑰匙”，因此他們可以對組織造成巨大的內(nèi)部威脅。

特權用戶造成的內(nèi)部威脅案：

2022年3月，一群網(wǎng)絡安全愛好者通知珀加索斯航空公司（Pegasus Airlines），他們6.5TB的敏感數(shù)據(jù)被暴露在網(wǎng)上。發(fā)生這種情況是因為系統(tǒng)管理員未能正確配置存儲這些記錄的云環(huán)境。該漏洞可能會影響數(shù)千名乘客和機組人員。由于泄露員工的個人信息，該航空公司違反了土耳其個人數(shù)據(jù)保護法（LPPD），這可能導致最高約18.3萬美元的罰款。

第三方

第三方是可以訪問組織IT系統(tǒng)或數(shù)據(jù)的供應商、分包商、業(yè)務合作伙伴和供應鏈實體等。第三方可能并未遵守組織的網(wǎng)絡安全規(guī)則，或者通過惡意行為違反這些規(guī)則。此外，黑客可以通過攻破安全性較差的第三方供應商，進入受保護的范圍。

第三方引發(fā)的內(nèi)部威：

2022年2月，由于塑料零部件供應商小島（Kojima）發(fā)生數(shù)據(jù)泄露，導致豐田不得不停止運營以保護他們的數(shù)據(jù)。由于這次停工，該公司無法生產(chǎn)1.3萬輛汽車，占其月生產(chǎn)計劃的5%。該漏洞還影響了豐田子公司的一些業(yè)務，導致產(chǎn)量下降，并可能影響到它們的凈利潤。據(jù)悉，這次攻擊發(fā)生在日本加入西方盟國對俄羅斯入侵烏克蘭發(fā)布制裁之后，盡管目前還不確定這次襲擊是否與俄羅斯有關。

2022年常見的內(nèi)部攻擊媒介

內(nèi)部人員群體可以通過多種方式實施數(shù)據(jù)犯罪：在線或離線，有意或無意。Verizon的《2022年數(shù)據(jù)泄露調(diào)查報告》概述了兩種常見的內(nèi)部威脅：

特權誤用（Privilege misuse） 

特權誤用是指以不適當?shù)姆绞绞褂锰貦嘣L問。Verizon的《2022年數(shù)據(jù)泄露調(diào)查報告》顯示，78%的特權濫用案件是出于經(jīng)濟動機。兩種最常見的權限誤用類型是權限濫用（privilege abuse）和數(shù)據(jù)處理不當。

特權濫用占所有特權誤用案例的80%，是指具有特權訪問權限的欺詐或惡意活動。數(shù)據(jù)處理不當占特權誤用事件的20%，涉及內(nèi)部人員漫不經(jīng)心地處理敏感數(shù)據(jù)。與特權濫用不同，數(shù)據(jù)處理不當事件背后通常沒有惡意。

各種各樣的錯誤

根據(jù)Verizon 《2022年數(shù)據(jù)泄露調(diào)查報告》指出，內(nèi)部行為者無意中犯下了各種錯誤。犯下此類錯誤的高層內(nèi)部人員通常是特權用戶（系統(tǒng)管理員和開發(fā)人員）和其他終端用戶。他們最常犯的錯誤是：

• 錯誤配置，占比40%；
• 傳遞不當，占比40%；
• 發(fā)布、編碼錯誤以及其他錯誤，占比20%；

內(nèi)部威脅事件的主要原因

現(xiàn)在讓我們根據(jù)根本原因對內(nèi)部威脅進行稍微不同的分類。波耐蒙研究所（Ponemon Institute）的《2022年內(nèi)部威脅成本全球報告》概述了內(nèi)部威脅事件的主要原因：

• 雇員或承包商疏忽，占比56%；
• 有犯罪意圖和惡意的內(nèi)部人士，占比26%；
• 憑據(jù)盜竊，占比18%；

憑據(jù)盜竊

憑據(jù)盜竊是進入組織受保護邊界的最常見方法之一。使用合法憑據(jù)，黑客可以在系統(tǒng)內(nèi)操作很長一段時間而不被發(fā)現(xiàn)。為了獲取用戶登錄名和密碼，犯罪者會使用社會工程、暴力破解、憑據(jù)填充和其他攻擊媒介。

有犯罪意圖和惡意的內(nèi)部人士

有犯罪意圖和惡意的內(nèi)部人員構成了重大威脅，因為他們知道組織的網(wǎng)絡安全措施和敏感數(shù)據(jù)。利用這些知識，他們可能會竊取或泄露數(shù)據(jù)，破壞操作，或者向外部攻擊者提供訪問組織資源的權限。

雇員或承包商疏忽

員工或承包商的疏忽導致了大多數(shù)內(nèi)部威脅安全事件，但此類事件的緩解成本通常最少。人為錯誤的例子包括將敏感數(shù)據(jù)發(fā)送給錯誤的接收者、錯誤配置環(huán)境以及使用不安全的工作實踐。

導致新的內(nèi)部威脅風險的因素

據(jù)Gartner稱，攻擊面擴大是2022年的網(wǎng)絡安全趨勢。隨著混合辦公、公共云和供應鏈風險帶來新的內(nèi)部威脅挑戰(zhàn)，這一趨勢將持續(xù)下去。

云內(nèi)部攻擊

云內(nèi)部攻擊是由已經(jīng)訪問或永久訪問云環(huán)境的內(nèi)部人員實施的攻擊。根據(jù)Cybersecurity Insiders發(fā)布的《2023年內(nèi)部威脅報告》指出，53%的網(wǎng)絡安全專業(yè)人士認為，在云中檢測內(nèi)部攻擊比在內(nèi)部部署環(huán)境中更難。

供應鏈攻擊

供應鏈攻擊的目標是公司第三方供應商或合作伙伴的漏洞，以獲得對公司系統(tǒng)或數(shù)據(jù)的未經(jīng)授權訪問。Gartner預測，到2025年，軟件供應鏈攻擊將影響45%的組織，這是2021年記錄的三倍。

混合辦公環(huán)境

混合辦公環(huán)境是另一個吸引眼球的因素。在混合辦公環(huán)境中，員工將遠程工作與現(xiàn)場工作結合起來。根據(jù)Cybersecurity Insiders的《2023年內(nèi)部威脅報告》指出，68%的受訪者擔心，隨著他們的組織重返辦公室或向混合工作過渡，內(nèi)部風險會進一步加劇。

內(nèi)部威脅正變得越來越頻繁

內(nèi)部威脅的比例持續(xù)上升。盡管內(nèi)部風險管理能力不斷發(fā)展，但根據(jù)Cybersecurity Insiders的《2023年內(nèi)部威脅報告》顯示，74%的組織表示內(nèi)部威脅有所增加。

波耐蒙研究所（Ponemon Institute）發(fā)布的《2022年全球內(nèi)部威脅成本報告》也證實，由憑據(jù)竊取、惡意內(nèi)部人士和雇員或承包商疏忽3個因素造成的內(nèi)部威脅正變得越來越頻繁，具體如下圖所示。

【內(nèi)部事件的平均數(shù)量】

內(nèi)部威脅的成本不斷上升

在Cybersecurity Insiders發(fā)布的《2021年內(nèi)部威脅報告》中，82%的受訪組織無法確定內(nèi)部攻擊造成的實際損害。量化內(nèi)部攻擊的影響是具有挑戰(zhàn)性的，因為存在不同類型的損害，并且攻擊的結果通常是非線性和不明確的。

內(nèi)部威脅的總成本包括三個部分：

• 直接成本：用于檢測、緩解、調(diào)查和恢復的資金；
• 間接成本：用于處理事件的資源和時間成本；
• 喪失機會成本：由于攻擊而喪失客戶信任和品牌名譽；

這些費用每年都在上升。

波耐蒙研究所對內(nèi)部威脅的成本進行了三次研究：2018年、2020年和2022年。根據(jù)這些研究，2018年至2022年間，內(nèi)部威脅的總平均成本增加了76%，從2018年的876萬美元飆升至2022年的1540萬美元。

【內(nèi)部威脅事件的總平均成本】

來自北美的公司受到內(nèi)部攻擊及其后果的影響最大：該地區(qū)的平均成本在四年內(nèi)從1110萬美元增加到1753萬美元。

2016年至2022年間，單個內(nèi)部威脅事件的平均總支出也增長了85%。減輕內(nèi)部威脅涉及監(jiān)視、調(diào)查、升級、事件響應、遏制、事后分析和補救等方面的支出。

為了防止這些內(nèi)部威脅趨勢的破壞性后果，組織需要及時檢測員工構成的威脅，但這并不像看起來那么容易。

檢測和防止內(nèi)部攻擊的時間成本

內(nèi)部事件潛伏時間越長，后果就越嚴重。有些漏洞可能數(shù)月甚至數(shù)年都未被發(fā)現(xiàn)。

檢測惡意內(nèi)部人員的活動具有挑戰(zhàn)性，因為他們確切地知道敏感數(shù)據(jù)的存儲位置以及實施了哪些網(wǎng)絡安全解決方案。檢測無意的內(nèi)部人員也具有挑戰(zhàn)性，因為它涉及跟蹤組織中所有用戶的所有操作。

根據(jù)波耐蒙研究所發(fā)布的《2022年內(nèi)部威脅成本全球報告》顯示，檢測和控制內(nèi)部威脅事件平均需要85天。只有12%的內(nèi)部事件在31天內(nèi)得到控制。

防范內(nèi)部威脅的最佳策略

日益增加的內(nèi)部威脅需要使用先進的程序和技術來完善內(nèi)部威脅保護措施。

Gartner預測，到2025年，一半的中型和大型企業(yè)將采用正式的內(nèi)部威脅計劃，而目前這一比例僅為10%。

公司用來檢測和防止內(nèi)部欺詐和其他威脅的工具是基于統(tǒng)一可見性的，這意味著所有用戶活動都可以從一個地方看到。在Cybersecurity Insiders發(fā)布的《2021年內(nèi)部威脅報告》中，大多數(shù)受訪組織認為統(tǒng)一可見性很重要。

市場上有如此多的網(wǎng)絡安全工具，很難專注于一條特定的防線，并選擇以最小的努力提供最佳結果的內(nèi)部威脅管理軟件。

根據(jù)《2022年全球內(nèi)部威脅成本報告》，特權訪問管理（PAM）、用戶和實體行為分析（UEBA）和數(shù)據(jù)丟失預防（DLP）是預防內(nèi)部威脅的前三大技術。

原文鏈接：https://www.ekransystem.com/en/blog/insider-threat-statistics-facts-and-figures