發(fā)現(xiàn)內(nèi)部威脅并不容易，有許多行為指標(biāo)可以幫助您發(fā)現(xiàn)潛在威脅來自哪里，但這只是成功的一半。有效的內(nèi)部威脅檢測還需要全面的工具，允許您監(jiān)視可疑用戶的會(huì)話并跟蹤他們的活動(dòng)。

在本文中，我們將描述哪些內(nèi)部威脅行為指標(biāo)可以幫助您發(fā)現(xiàn)潛在的惡意參與者，同時(shí)還提供有效的內(nèi)部威脅防范策略，以幫助您阻止、檢測和破壞內(nèi)部威脅。

內(nèi)部威脅類型 

內(nèi)部人員是有權(quán)訪問關(guān)鍵數(shù)據(jù)和系統(tǒng)的員工或第三方承包商。然而，并不是每個(gè)內(nèi)部人員都具有相同級別的訪問權(quán)限，因此也并非每個(gè)內(nèi)部人員都會(huì)構(gòu)成相同級別的威脅。Verizon概述了五種最常見的內(nèi)部威脅類型：

• 心懷不滿的員工—很多事情都會(huì)讓員工心懷不滿：升職或加薪被拒絕，與同事和經(jīng)理的關(guān)系不好，等等。心懷不滿的內(nèi)部人員可能會(huì)利用他們的職位之便進(jìn)行報(bào)復(fù)，給公司造成嚴(yán)重的傷害。
• 惡意的內(nèi)部人員—這些員工會(huì)濫用他們的訪問權(quán)限來竊取、泄露或刪除有價(jià)值的公司數(shù)據(jù)。惡意的內(nèi)部人員和心懷不滿的員工之間的主要區(qū)別在于他們的動(dòng)機(jī)。心懷不滿的員工濫用數(shù)據(jù)是一種情緒反應(yīng)，而心懷惡意的內(nèi)部人士通常會(huì)為了經(jīng)濟(jì)利益或間諜活動(dòng)而實(shí)施網(wǎng)絡(luò)犯罪。
• 疏忽的員工—內(nèi)部人員可能會(huì)無意中泄漏數(shù)據(jù)或破壞公司的基礎(chǔ)設(shè)施。根據(jù)波耐蒙研究所（Ponemon Institute）的《2023年內(nèi)部威脅成本全球報(bào)告》指出，疏忽的內(nèi)部人員占所有內(nèi)部威脅的55%。
• 自作聰明/自以為是的員工—當(dāng)員工或承包商不遵循網(wǎng)絡(luò)安全的最佳實(shí)踐時(shí)，很容易遭受網(wǎng)絡(luò)攻擊。根據(jù)同一份報(bào)告顯示，在2023年，20%的事件涉及自以為是的內(nèi)部人員。
• 第三方供應(yīng)商和承包商—類似網(wǎng)絡(luò)安全控制不足的問題通常會(huì)出現(xiàn)在第三方用戶這邊。雖然您可以審核他們的安全控制作為您選擇過程的一部分，但這仍然無法保證您的敏感數(shù)據(jù)的完全安全。

如上所述，并非每個(gè)危險(xiǎn)的內(nèi)部人員都是惡意的。還有一個(gè)很大的風(fēng)險(xiǎn)是出于無心的錯(cuò)誤，這大多是由員工和承包商犯下的。任何公司都可能成為這些錯(cuò)誤的受害者，但試圖消除人為錯(cuò)誤卻是異常艱難的過程。

最好的辦法是提高員工的內(nèi)部威脅意識(shí)，踐行最佳安全實(shí)踐，并制定網(wǎng)絡(luò)安全政策，以限制人為錯(cuò)誤的可能性，并在出現(xiàn)錯(cuò)誤時(shí)幫助減輕損失。

接下來，讓我們更詳細(xì)地看看內(nèi)部威脅背后最常見的動(dòng)機(jī)。

內(nèi)部攻擊的目標(biāo)

內(nèi)部人員可以根據(jù)自己的動(dòng)機(jī)瞄準(zhǔn)各種資產(chǎn)。通常，他們關(guān)注的是那些可以在黑市上輕易出售的數(shù)據(jù)（如客戶或員工的個(gè)人信息），或者對公司運(yùn)營至關(guān)重要的數(shù)據(jù)（如營銷數(shù)據(jù)、財(cái)務(wù)信息或知識(shí)產(chǎn)權(quán)）。最常見的內(nèi)部攻擊目標(biāo)包括：

• 數(shù)據(jù)庫
• 文件服務(wù)器
• 端點(diǎn)
• 特定的應(yīng)用程序
• 移動(dòng)設(shè)備
• 網(wǎng)絡(luò)
• 云存儲(chǔ)

根據(jù)Paul Furtado和Jonathan Care的《主動(dòng)內(nèi)部風(fēng)險(xiǎn)管理的3條規(guī)則》（The Rule of 3 for Proactive Insider Risk Management）所述，最常見的內(nèi)部威脅活動(dòng)可以分為三種方案，即欺詐、數(shù)據(jù)盜竊和系統(tǒng)破壞，這些方案被認(rèn)為是違反政策或非法的。內(nèi)部威脅的情況不僅僅局限于統(tǒng)計(jì)數(shù)據(jù)。在《超越恐懼》（Beyond Fear）一書中，著名的安全專家Bruce Schneier對惡意內(nèi)部人員進(jìn)行了全面的研究，揭示了不同的類別和驅(qū)動(dòng)其行為的動(dòng)機(jī)：

• 機(jī)會(huì)主義者—這些內(nèi)部人員不會(huì)提前計(jì)劃惡意行動(dòng)，而是決定在機(jī)會(huì)出現(xiàn)時(shí)實(shí)施攻擊。經(jīng)濟(jì)困難和以前的可疑行為歷史可能是這種攻擊的警告信號(hào)。
• 有計(jì)劃的攻擊者—這些內(nèi)部人員通常很難被阻止。他們會(huì)事先計(jì)劃行動(dòng)，且通常針對非常具體的數(shù)據(jù)。即使發(fā)生了這種攻擊，也很難檢測到。
• 情緒型攻擊者—這些員工攻擊的主要?jiǎng)訖C(jī)是情緒和感覺，如恐懼、貪婪或憤怒。他們不是等待機(jī)會(huì)，而是自發(fā)地攻擊，且通常缺乏詳細(xì)的計(jì)劃。有時(shí)，他們甚至想被抓住，以引起人們對他們問題的關(guān)注。情緒型攻擊者的一個(gè)常見例子是心懷不滿的員工。
• 恐怖分子和數(shù)字激進(jìn)分子—這些內(nèi)部人員通常會(huì)策劃他們的攻擊活動(dòng)，且目的并非竊取數(shù)據(jù)，只是試圖盡可能地造成破壞，例如，通過破壞公司網(wǎng)絡(luò)基礎(chǔ)設(shè)施并從內(nèi)部將其摧毀。

除了以上四種類型，Bruce Schneier還提到“朋友和親戚”也是另一種不容忽視的惡意內(nèi)部人員，他們可以通過訪問朋友或家人的電腦來實(shí)施欺詐或數(shù)據(jù)盜竊。在與分包商和遠(yuǎn)程工作者打交道時(shí)，這群內(nèi)部人員非常值得考慮。

好消息是，內(nèi)部攻擊（無論是有計(jì)劃的還是自發(fā)的）多多少少會(huì)存在一些跡象。檢測到它們可以幫助您及時(shí)防止攻擊，或者至少能夠得到早期預(yù)警。接下來，我們來探討一下需要注意的最常見的內(nèi)部威脅指標(biāo)。

惡意內(nèi)部人員的主要行為指標(biāo)

檢測惡意的內(nèi)部攻擊可能是非常困難的，特別是當(dāng)您面對的是一個(gè)有計(jì)劃的攻擊者或一個(gè)對您公司的來龍去脈了如指掌的心懷不滿的前雇員時(shí)。檢測此類攻擊的一種方法是關(guān)注內(nèi)部威脅行為的各種指標(biāo)。

惡意的內(nèi)部人員可能會(huì)根據(jù)他們的個(gè)性、動(dòng)機(jī)和目標(biāo)做出不同的行為。然而，有一些常見的內(nèi)部威脅跡象值得注意：

1、不滿情緒

如上所述，當(dāng)員工對自己的工作不滿意或認(rèn)為組織存在不當(dāng)行為時(shí)，他們更有可能進(jìn)行內(nèi)部攻擊。員工不滿的跡象有很多。最明顯的包括以下幾點(diǎn)：

• 經(jīng)常與同事和主管發(fā)生沖突。
• 表現(xiàn)不佳和日常拖拉，如遲到早退，比平時(shí)犯更多的錯(cuò)誤，經(jīng)常錯(cuò)過截止日期等。
• 不合理的缺勤。
• 系統(tǒng)性地違反組織政策。
• 尋找其他的就業(yè)機(jī)會(huì) 。

這些指標(biāo)最容易被員工的團(tuán)隊(duì)領(lǐng)導(dǎo)、同事或人力資源部門發(fā)現(xiàn)。當(dāng)然，對工作不滿意不一定會(huì)導(dǎo)致內(nèi)部攻擊，但它可以作為一種額外的動(dòng)機(jī)。及時(shí)的談話可以減輕這種威脅，提高員工的工作效率。

收到解雇通知的員工也會(huì)帶來風(fēng)險(xiǎn)，無論他們的行為如何，都應(yīng)該受到監(jiān)控，直到他們離開工作場所為止，而且此時(shí)他們對公司基礎(chǔ)設(shè)施的訪問權(quán)限應(yīng)立即被取消。

2、不同尋常的熱情

有時(shí)，員工可能會(huì)對額外的工作表現(xiàn)出不同尋常的熱情。這可能包括以下幾點(diǎn)：

• 沒有特別要求就加班
• 一再主動(dòng)要求做額外的工作
• 在非正常時(shí)間工作
• 試圖執(zhí)行超出其正常職責(zé)范圍的工作
• 沒有正當(dāng)理由在家工作

所有這些操作都應(yīng)被視為員工試圖擴(kuò)展對敏感數(shù)據(jù)的訪問權(quán)限。雖然不一定是惡意的，但這種行為值得特別關(guān)注，以確保他們沒有復(fù)制或以其他方式篡改敏感數(shù)據(jù)。

3、頻繁的旅行和假期

我們可能認(rèn)為間諜活動(dòng)是詹姆斯·邦德（James Bond）電影里才有的東西，但統(tǒng)計(jì)數(shù)據(jù)告訴我們，這是當(dāng)今一個(gè)真實(shí)存在的威脅。雖然大多數(shù)數(shù)據(jù)泄露仍然是出于經(jīng)濟(jì)考慮，但間諜活動(dòng)是導(dǎo)致數(shù)據(jù)泄露的第二大原因。根據(jù)Verizon的《2023年數(shù)據(jù)泄露調(diào)查報(bào)告》指出，在公共管理或自然資源和采礦等一些行業(yè)，間諜活動(dòng)高達(dá)30-32%。

經(jīng)常去其他城市甚至國家可能是間諜活動(dòng)的一個(gè)明顯跡象。雇員可能在競爭對手的公司——甚至是政府機(jī)構(gòu)——工作，并將您的敏感數(shù)據(jù)傳輸給他們。

潛在內(nèi)部威脅的另一個(gè)早期跡象是，員工表現(xiàn)出可疑的國家忠誠度。這可能不僅意味著他們與其他國家的政府機(jī)構(gòu)或公司合作，而且他們更有可能在數(shù)據(jù)出現(xiàn)時(shí)抓住機(jī)會(huì)竊取或破壞數(shù)據(jù)。

除此之外，頻繁出差也可能表明財(cái)務(wù)狀況發(fā)生了變化，這本身就是潛在內(nèi)部威脅的一個(gè)很好的指標(biāo)。

4、無法解釋的財(cái)務(wù)狀況變化

如果員工在沒有任何明顯的額外收入來源的情況下意外地還清了債務(wù)或進(jìn)行了昂貴的采購，這也許表明他們可能從您的敏感數(shù)據(jù)中獲利。這分為以下幾種情況：

• 雇員可能是被競爭對手刻意接近并被迫從事工業(yè)間諜活動(dòng)
• 雇員可復(fù)制并出售您的數(shù)據(jù)以獲取利潤
• 雇員可以利用您的商業(yè)競爭數(shù)據(jù)，比如客戶名單，來奪取您的市場份額

總的來說，財(cái)政情況的任何意外和迅速變化都是令人關(guān)切的，應(yīng)作為密切監(jiān)測的一個(gè)重要指標(biāo)。

但是金錢并不是強(qiáng)迫雇員——即使是忠誠的雇員——從事工業(yè)間諜活動(dòng)的唯一方式。競爭公司和外國政府有時(shí)還會(huì)利用有害信息敲詐或威脅您的員工。例如，有關(guān)以前吸毒成癮或法律問題的信息，如果落入壞人之手，便可以有效地用來對付員工。限制這種情況的一種方法是使用背景調(diào)查，以確保員工沒有可用于勒索的未公開歷史。

5、意外地想要離開公司

當(dāng)一名員工突然決定離開您的組織而沒有提供通知或解釋時(shí)，這可能表明存在內(nèi)部威脅。此外，如果一名即將離職的員工在離職前下載了大量敏感數(shù)據(jù)，也應(yīng)該引起警惕。

您還應(yīng)該記住，如果員工在不利的情況下離開公司，比如糾紛或解雇，惡意行為的風(fēng)險(xiǎn)可能會(huì)增加?？紤]到這一點(diǎn)，您應(yīng)該看看離職員工過去的網(wǎng)絡(luò)活動(dòng)，確保他們沒有做任何不尋常的事情或訪問他們不應(yīng)該訪問的數(shù)據(jù)。至少有必要回顧一下他們在過去90天里的活動(dòng)。

確保適當(dāng)?shù)碾x職流程也很重要——確保立即撤銷離職員工的訪問權(quán)限，停用他們的賬戶，并將他們從電子郵件組和分發(fā)列表中刪除。

需要關(guān)注的數(shù)字內(nèi)部威脅指標(biāo)

除了行為威脅指標(biāo)，您還可以發(fā)現(xiàn)一些數(shù)字威脅指標(biāo)。主要的數(shù)字網(wǎng)絡(luò)威脅指標(biāo)包括以下幾點(diǎn)：

• 異常登錄時(shí)間—如果員工或供應(yīng)商在異常時(shí)間登錄到您的系統(tǒng)，這可能是他們試圖在不被發(fā)現(xiàn)的情況下訪問您的敏感信息的信號(hào)。
• 訪問用戶職責(zé)以外的數(shù)據(jù)—當(dāng)用戶尋求訪問超出其工作角色范圍的敏感數(shù)據(jù)時(shí)，這也是惡意內(nèi)部威脅的危險(xiǎn)信號(hào)。
• 搜索敏感數(shù)據(jù)—增加系統(tǒng)搜索的合法用戶也可能是內(nèi)部威脅的潛在指標(biāo)，因?yàn)樗麄兛赡茉噲D查找和泄露機(jī)密數(shù)據(jù)。
• 大數(shù)據(jù)下載和傳輸—如果您檢測到網(wǎng)絡(luò)流量激增，這可能表明大量公司文件被復(fù)制或通過電子郵件發(fā)送到您的組織外部，用于惡意目的。
• 使用未經(jīng)授權(quán)的USB設(shè)備—內(nèi)部威脅的關(guān)鍵指標(biāo)之一是用戶運(yùn)行查詢并將關(guān)鍵數(shù)據(jù)下載到未經(jīng)授權(quán)的設(shè)備。
• 創(chuàng)建新的供應(yīng)商賬戶和采購訂單批準(zhǔn)—當(dāng)用戶創(chuàng)建新的供應(yīng)商賬戶、采購訂單或申請時(shí)，他們的行為需要被調(diào)查，因?yàn)樗麄兛赡軙?huì)生成“幽靈”賬戶或訂單以獲取經(jīng)濟(jì)利益。
• 禁用殺毒軟件或防火墻—內(nèi)部人員在進(jìn)行未經(jīng)授權(quán)的活動(dòng)時(shí)可能會(huì)禁用安全控制以避免被發(fā)現(xiàn)。
• 安裝未經(jīng)批準(zhǔn)的軟件—惡意行為者可能試圖繞過安全控制并使用第三方工具泄露敏感數(shù)據(jù)。

您需要認(rèn)真對待這些行為，并考慮到它們的潛在威脅。應(yīng)對內(nèi)部威脅的關(guān)鍵一步是制定一個(gè)全面的戰(zhàn)略。

內(nèi)部威脅防范策略

要采取全面的方法來預(yù)防內(nèi)部威脅，您需要一個(gè)全面的策略，具體應(yīng)該包括以下關(guān)鍵步驟：

1、執(zhí)行網(wǎng)絡(luò)安全策略

每個(gè)處理組織關(guān)鍵數(shù)據(jù)的人都應(yīng)該知道保護(hù)數(shù)據(jù)安全的注意事項(xiàng)。更具體地說，您應(yīng)該定義使用公司系統(tǒng)的指導(dǎo)方針，在發(fā)生網(wǎng)絡(luò)安全事件時(shí)采取的步驟，以及如何發(fā)現(xiàn)潛在的惡意行為者。所有這些信息都應(yīng)該記錄在您的網(wǎng)絡(luò)安全政策中。這將幫助您提高員工的網(wǎng)絡(luò)安全意識(shí)，并最大限度地減少無意和有意的內(nèi)部威脅的數(shù)量。

2、加強(qiáng)對關(guān)鍵資產(chǎn)的保護(hù)

確定組織的關(guān)鍵資產(chǎn)及其優(yōu)先級，并確定它們當(dāng)前的防護(hù)狀態(tài)。根據(jù)敏感資產(chǎn)對組織的影響程度對其進(jìn)行優(yōu)先級保護(hù)。然后，您可以通過將對您最有價(jià)值的資產(chǎn)的訪問最小化來限制攻擊面，只允許最少量的人訪問，并且只允許他們在執(zhí)行職責(zé)所需的特定時(shí)間內(nèi)訪問。在多個(gè)用戶之間劃分關(guān)鍵任務(wù)和相應(yīng)的訪問權(quán)限也是一種有效的做法，有助于減少特權(quán)濫用的風(fēng)險(xiǎn)。

3、為正常的用戶行為創(chuàng)建一個(gè)基線

通過區(qū)分正常行為和可疑行為的能力，您可以在網(wǎng)絡(luò)安全事件發(fā)生之前發(fā)現(xiàn)潛在的危險(xiǎn)用戶活動(dòng)?？紤]實(shí)現(xiàn)用戶和實(shí)體行為分析（UEBA）解決方案來跟蹤用戶行為。UEBA首先收集用戶活動(dòng)數(shù)據(jù)（常見的登錄和注銷時(shí)間、擊鍵動(dòng)態(tài)等），對其進(jìn)行分析，并為網(wǎng)絡(luò)中的每個(gè)用戶創(chuàng)建正常行為的基線。一旦檢測到與基線的偏差，您將收到通知，以進(jìn)一步調(diào)查該事件。

4、獲得用戶活動(dòng)的可見性

您可以通過部署監(jiān)控軟件來增加用戶如何處理敏感數(shù)據(jù)的可見性。使用用戶活動(dòng)監(jiān)控工具，您可以清楚地了解員工啟動(dòng)了哪些應(yīng)用程序，訪問了哪些網(wǎng)站，插入了哪些USB設(shè)備，輸入了哪些內(nèi)容等。您可以利用這些信息來檢測可疑活動(dòng)，并減少數(shù)據(jù)泄露和其他網(wǎng)絡(luò)安全事件的可能性。

5、創(chuàng)建一個(gè)內(nèi)部威脅程序

如果您還沒有，建議現(xiàn)在立即啟動(dòng)一個(gè)內(nèi)部威脅程序。一個(gè)全面的內(nèi)部威脅程序不僅可以幫助您檢測內(nèi)部威脅，還可以幫助防止它們并減輕其后果。為了獲得最佳效果，建議使用專業(yè)內(nèi)部威脅管理軟件來支持您的程序。

原文標(biāo)題：Key Cybersecurity Insider Threat Indicators to Pay Attention To。

鏈接：https://www.ekransystem.com/en/blog/insider-threat-indicators。