什么是内部威胁？

虽然外部威胁更为常见，并且占据了最大的网络攻击头条新闻，但内部威胁可能代价更高，也更危险。根据 IBM 的《数据泄露成本报告》，由恶意内部人员发起的数据泄露成本最高，平均为 499 万美元。

Verizon 最近的一份报告显示，虽然平均外部威胁会泄露约 2 亿条记录，但涉及内部威胁参与者的事件已导致 10 亿条或更多记录被泄露。¹

并非所有内部威胁都是恶意的。IBM 商业价值研究院的一项研究发现：善意的员工可能在未确认第三方产品是否符合安全要求的情况下，就将企业敏感数据输入其中。该研究显示，41% 的员工曾在未告知 IT 或安全团队的情况下获取、修改或创建技术工具，造成严重的安全漏洞。

恶意内部人员通常是心怀不满的现任员工，或者是心怀不满且访问凭据尚未停用的前员工，他们会故意滥用其访问权限来进行恶意报复、谋取经济利益或两者兼而有之。一些恶意内部人员与外部威胁（例如黑客、竞争对手或国家行为体）合作，通过植入恶意软件或篡改文件和应用程序来扰乱业务运营。其他人则专注于泄露客户信息、知识产权、商业机密或其他敏感数据，以使其外部同伙从中获利。

恶意内部人员最近发动的一些攻击：

• 在新冠疫情开始时，一家医疗包装公司的一名心怀不满的前雇员使用先前创建的管理员帐户设置了一个虚假的新用户帐户，然后修改了数千份文件，从而延迟或停止向医院和医疗保健提供商运送个人防护装备。
  

• 2022 年，一名 X 员工因向沙特阿拉伯王国和沙特王室官员发送 X 用户的私人信息以换取贿赂而被捕。根据美国司法部的说法，该员工“... 秘密充当外国政府特工，针对持不同政见者采取行动。”

玩忽职守的内部人员并非出于恶意，但由于无知或粗心而无意中造成安全威胁，例如陷入网络钓鱼攻击，或为了节省时间而绕过安全控制。他们的行为还可能包括丢失笔记本电脑（网络犯罪分子可能利用其访问组织网络），或误将敏感文件发送给组织外部人员。

在《2022 年 Ponemon 内部威胁成本全球报告》所调查的公司中，大部分内部威胁 (56%) 均由粗心或玩忽职守的内部人员所造成。²

外部威胁行为者会窃取合法用户的凭据，冒充为被入侵的内部人员。根据 Ponemon 报告，通过遭入侵内部人员发起的威胁是代价最高昂的内部威胁，而受害者平均需花费 804,997 美元来补救。³

内部人员遭入侵通常是由玩忽职守的内部人员的行为所致。例如，2021 年，一名诈骗者使用社会工程计策（尤其是语音网络钓鱼电话）获取了交易平台 Robinhood 客户支持系统的访问凭据。超过 500 万个客户电子邮件地址和 200 万个客户姓名在攻击中被盗。

内部威胁是由拥有完整凭据的用户（包括特权用户）部分或全部实施的。这种情况使得区分疏忽或恶意的内部威胁迹象与普通用户行为变得尤为困难。一项研究显示，安全团队平均需要 85 天来检测和遏制内部威胁⁴，但一些内部威胁多年来一直未被检测到。

为了更好地检测、遏制和预防内部威胁，安全团队需要将各种实践和技术结合起来。

对所有授权用户持续开展安全政策培训（例如密码管理规范、敏感数据的正确处理方式以及遗失设备的报告流程），有助于降低因疏忽造成的内部威胁风险。此外，就识别网络钓鱼诈骗和正确处理系统访问请求或敏感数据等主题开展安全意识培训，可以减轻威胁的总体影响。例如，根据《数据泄露成本报告》，员工受过安全培训的公司的数据泄露平均成本比没有受过培训的公司低 285,629 美元。

身份和访问管理 (IAM) 侧重于管理用户身份、身份验证和访问权限，以确保正确的用户和设备能够在正确的时间访问正确的内容。特权访问管理是 IAM 的一个子分支，它侧重于对授予用户、应用程序、管理员帐户和设备的访问权限进行更精细的控制。

防止内部攻击的一个关键 IAM 功能是身份生命周期管理。限制心怀不满的离职员工的权限，或立即停用已离职用户的帐户，都是身份生命周期管理行动的示例 ，可以降低内部威胁的风险。

用户行为分析 (UBA) 应用先进的数据分析和人工智能 (AI) 技术，从而为基线用户行为建模，并检测异常情况，而这些异常情况可能预示着新出现或正在发生的网络威胁（包括潜在的内部威胁）。而另一项密切相关的技术（用户和实体行为分析或 UEBA ）则扩展了这些功能，以便检测 IoT 传感器和其他终端设备中的异常行为。

UBA 经常与安全信息和事件管理 (SIEM) 一起使用，后者可收集、关联和分析整个企业的安全相关数据。

攻击型安全（或 OffSec）使用对抗性计策（与不良行为者在现实世界攻击中使用的计策相同）来加强网络安全而不是损害网络安全。道德黑客是精通黑客技术的网络安全专家，他们通过识别和解决 IT 系统缺陷、安全风险以及用户应对网络攻击的漏洞，来领导进攻性安全工作。

有助于加强内部威胁计划的进攻型安全措施包括网络钓鱼模拟和红队，其中道德黑客团队会对组织发起模拟、面向目标的网络攻击。