檢測(cè)來自企業(yè)內(nèi)部的威脅具有獨(dú)特的挑戰(zhàn)，內(nèi)部威脅狩獵有助于識(shí)別潛在威脅行為者，并主動(dòng)應(yīng)對(duì)這些威脅。

跟蹤內(nèi)部威脅是所有企業(yè)面臨的一個(gè)艱巨且似乎永無止境的網(wǎng)絡(luò)安全挑戰(zhàn)。與外部攻擊者不同，企業(yè)內(nèi)部的人可能已經(jīng)擁有敏感信息的訪問權(quán)限，使他們更容易造成嚴(yán)重問題。

主動(dòng)搜索和檢測(cè)潛在的內(nèi)部風(fēng)險(xiǎn)對(duì)于防止企業(yè)成為數(shù)據(jù)泄露、知識(shí)產(chǎn)權(quán)盜竊和業(yè)務(wù)破壞的受害者至關(guān)重要。本文探討了內(nèi)部威脅檢測(cè)的重要性和關(guān)鍵的內(nèi)部威脅指標(biāo)，并概述了有效檢測(cè)的最佳實(shí)踐和工具。

內(nèi)部威脅狩獵的重要性

雖然防火墻、入侵檢測(cè)系統(tǒng)和殺毒產(chǎn)品等傳統(tǒng)安全措施有助于防御外部威脅，但它們通常在捕捉企業(yè)內(nèi)部的惡意行為方面不夠完善，這時(shí)內(nèi)部威脅狩獵便發(fā)揮了作用。不同于安全團(tuán)隊(duì)在已知威脅或異常發(fā)生后進(jìn)行反應(yīng)性檢測(cè)，內(nèi)部威脅狩獵是主動(dòng)的，旨在在潛在威脅成為實(shí)際安全事件之前進(jìn)行搜索。

內(nèi)部威脅狩獵之所以重要，是因?yàn)閮?nèi)部人員帶來的獨(dú)特挑戰(zhàn)。無論是因?yàn)閱T工有意泄露敏感數(shù)據(jù)，還是無意中引發(fā)數(shù)據(jù)泄露，內(nèi)部人員往往難以監(jiān)控，因?yàn)樗麄兺ǔ碛袑?duì)企業(yè)關(guān)鍵資產(chǎn)的合法訪問權(quán)限。

主動(dòng)的威脅狩獵立場確保企業(yè)可以識(shí)別內(nèi)部風(fēng)險(xiǎn)的早期警示信號(hào)，使團(tuán)隊(duì)在發(fā)生重大損害之前化解威脅。

關(guān)鍵的內(nèi)部威脅指標(biāo)

一些行為指標(biāo)暗示著內(nèi)部威脅的存在。安全團(tuán)隊(duì)?wèi)?yīng)關(guān)注以下跡象：

? 異常數(shù)據(jù)訪問。員工訪問超出其正常角色或職責(zé)的文件、文件夾或系統(tǒng)是一種常見的內(nèi)部威脅跡象。例如，一位市場部門的員工開始下載敏感的人力資源或財(cái)務(wù)數(shù)據(jù)時(shí)，應(yīng)當(dāng)引起警覺。

? 過度下載。員工突然開始下載或復(fù)制大量數(shù)據(jù)，尤其在短時(shí)間內(nèi)完成，可能是在為信息外泄做準(zhǔn)備，甚至可能準(zhǔn)備離開公司。如果這些數(shù)據(jù)與其當(dāng)前工作職責(zé)無關(guān)，情況尤為令人擔(dān)憂。

? 行為變化。員工行為的突然變化，如對(duì)工作或公司感到不滿、無故加班或表現(xiàn)出缺乏參與度，可能暗示潛在的內(nèi)部風(fēng)險(xiǎn)。惡意的內(nèi)部人員在采取行動(dòng)前通常會(huì)表現(xiàn)出明顯的行為變化。

? 使用未經(jīng)授權(quán)的設(shè)備或軟件。密切監(jiān)控員工使用未經(jīng)授權(quán)的設(shè)備(如USB驅(qū)動(dòng)器)或未批準(zhǔn)的軟件進(jìn)行數(shù)據(jù)傳輸?shù)那闆r，這種活動(dòng)可能暗示其意圖將敏感數(shù)據(jù)移出網(wǎng)絡(luò)以避免被發(fā)現(xiàn)。

? 重復(fù)的訪問失敗嘗試。尤其是對(duì)員工不應(yīng)訪問的系統(tǒng)或數(shù)據(jù)的多次登錄失敗嘗試，可能表明內(nèi)部人員試圖未經(jīng)授權(quán)訪問敏感區(qū)域。

上述癥狀通常可以通過現(xiàn)有工具輕松追蹤，這是安全團(tuán)隊(duì)?wèi)?yīng)當(dāng)創(chuàng)建和協(xié)調(diào)的任務(wù)，以確保采取的行動(dòng)符合公司的風(fēng)險(xiǎn)管理指導(dǎo)方針。

最易受內(nèi)部威脅影響的企業(yè)

鑒于業(yè)務(wù)性質(zhì)或運(yùn)營環(huán)境的不同，某些企業(yè)比其他企業(yè)更容易受到內(nèi)部威脅的影響。處理大量敏感數(shù)據(jù)的行業(yè)，如醫(yī)療、金融和科技行業(yè)，是內(nèi)部威脅的主要目標(biāo)。同樣，正在經(jīng)歷重大變動(dòng)的企業(yè)，如并購、裁員或領(lǐng)導(dǎo)層更替，也面臨較高的風(fēng)險(xiǎn)。對(duì)工作安全感到不確定的員工可能更傾向于泄露數(shù)據(jù)或破壞系統(tǒng)。以上這些特征有助于聚焦對(duì)內(nèi)部威脅指標(biāo)的監(jiān)控。

遠(yuǎn)程辦公環(huán)境可能進(jìn)一步加劇內(nèi)部風(fēng)險(xiǎn)。自新冠疫情大流行以來，遠(yuǎn)程辦公激增。雖然許多雇主試圖讓員工返回辦公室，但一些員工則希望保持“新常態(tài)”的工作環(huán)境。在傳統(tǒng)安全邊界之外工作，給企業(yè)有效監(jiān)控活動(dòng)和執(zhí)行訪問控制政策帶來了更多挑戰(zhàn)。

內(nèi)部威脅狩獵的最佳實(shí)踐

以下技術(shù)和方法是成功進(jìn)行內(nèi)部威脅狩獵的關(guān)鍵：

? 定期和持續(xù)監(jiān)控。威脅狩獵不應(yīng)是一項(xiàng)一次性任務(wù)，而應(yīng)是一個(gè)持續(xù)的過程。定期監(jiān)控員工活動(dòng)，特別是那些有權(quán)訪問關(guān)鍵系統(tǒng)的用戶，有助于建立正常行為的基準(zhǔn)，并及早發(fā)現(xiàn)異常情況。

? 自動(dòng)化和機(jī)器學(xué)習(xí)。自動(dòng)化工具可以顯著提高內(nèi)部威脅狩獵的效率。機(jī)器學(xué)習(xí)算法能夠分析大量數(shù)據(jù)，檢測(cè)出可能被忽視的可疑行為模式。將常規(guī)任務(wù)(如掃描異常文件訪問或異常網(wǎng)絡(luò)流量)自動(dòng)化，使安全團(tuán)隊(duì)可以集中精力進(jìn)行更高層次的分析。

? 用戶行為分析(UBA)。實(shí)施UBA工具有助于通過識(shí)別用戶行為中的異常模式來檢測(cè)內(nèi)部威脅，這些工具根據(jù)正常用戶活動(dòng)創(chuàng)建檔案，當(dāng)行為偏離基準(zhǔn)時(shí)會(huì)提醒分析人員。

? 事件響應(yīng)規(guī)劃。擁有明確的事件響應(yīng)計(jì)劃至關(guān)重要。當(dāng)檢測(cè)到潛在的內(nèi)部威脅時(shí)，安全團(tuán)隊(duì)必須迅速果斷地響應(yīng)，以減輕任何損害。盡管大多數(shù)公司每年更新一次事件響應(yīng)計(jì)劃，但更安全的做法是至少每季度進(jìn)行審查，其最終目標(biāo)是根據(jù)不斷變化的威脅環(huán)境進(jìn)行持續(xù)的分析和更新。

? 跨團(tuán)隊(duì)協(xié)作。內(nèi)部威脅檢測(cè)不僅是安全運(yùn)營中心的責(zé)任。HR、法律和IT團(tuán)隊(duì)都應(yīng)參與到檢測(cè)和緩解內(nèi)部威脅的工作中。與這些部門的協(xié)調(diào)合作能夠確保在全企業(yè)范圍內(nèi)識(shí)別預(yù)警信號(hào)的全面方法。公司越頻繁地進(jìn)行事件響應(yīng)和災(zāi)難恢復(fù)計(jì)劃的演練，就越有可能有效地協(xié)同工作，更快地識(shí)別出運(yùn)營異常。

內(nèi)部威脅狩獵和檢測(cè)工具

以下工具可以幫助進(jìn)行內(nèi)部威脅的狩獵和檢測(cè)：

? SIEM。SIEM平臺(tái)收集和分析來自各種來源的安全數(shù)據(jù)，以提供潛在內(nèi)部威脅的洞察。

? 端點(diǎn)檢測(cè)與響應(yīng)(EDR)和擴(kuò)展檢測(cè)與響應(yīng)(XDR)。EDR產(chǎn)品監(jiān)控端點(diǎn)中的可疑活動(dòng)，例如未經(jīng)授權(quán)的文件訪問或異常的網(wǎng)絡(luò)連接，這些都可能指向內(nèi)部威脅。XDR產(chǎn)品則更為全面，越來越受到企業(yè)的關(guān)注。

? 數(shù)據(jù)泄露防護(hù)(DLP)。DLP工具監(jiān)控、檢測(cè)并防止敏感數(shù)據(jù)的未經(jīng)授權(quán)轉(zhuǎn)移，從而降低內(nèi)部數(shù)據(jù)外泄的風(fēng)險(xiǎn)。

主動(dòng)的內(nèi)部威脅狩獵是現(xiàn)代網(wǎng)絡(luò)安全戰(zhàn)略的重要組成部分。通過理解關(guān)鍵的威脅指標(biāo)、實(shí)施最佳實(shí)踐并利用先進(jìn)工具，企業(yè)可以幫助自身防范內(nèi)部威脅所帶來的潛在毀滅性后果。