技术主题

什么是内部威胁?

以问号为重点的信息技术项目图示

概述

内部威胁是指来自组织内部的网络安全风险。它通常发生在拥有合法用户凭证的现任或前任员工、承包商、供应商或合作伙伴滥用其访问权限,损害组织的网络、系统和数据时。内部威胁可能是有意或无意实施的。无论意图如何,最终结果都是企业系统和数据的机密性、可用性和/或完整性受到损害。

内部威胁是大多数数据泄露事件的起因。传统的网络安全战略、政策、程序和系统往往只关注外部威胁,使组织容易受到来自内部的攻击。由于内部人员已经拥有对数据和系统的有效授权,因此安全专业人员和应用程序很难区分正常活动和有害活动。

与其他类型的恶意攻击者相比,内部恶意攻击者具有明显的优势,因为他们熟悉企业系统、流程、程序、政策和用户。他们非常了解系统版本和其中的漏洞。因此,企业必须至少像对待外部威胁一样,严格应对内部威胁。

行之有效的内部威胁防范最佳实践

了解内部威胁的剖析。向行业专家和同行学习如何通过正确的预防计划战胜对手。

了解更多

内部威胁的类型

内部恶意威胁

恶意内部威胁也被称为 "反间谍",其主要目标包括间谍、欺诈、知识产权盗窃和破坏。他们出于经济、个人和/或恶意原因,故意滥用特权访问权限,窃取信息或降低系统性能。例如,员工向竞争对手出售机密数据,或心怀不满的前承包商在组织网络中引入破坏性恶意软件。

恶意内部威胁可能是合作者,也可能是独行侠。

合作者

合作者是与第三方合作故意伤害组织的授权用户。第三方可以是竞争对手、民族国家、有组织犯罪网络或个人。合作者的行为会导致机密信息泄露或业务运营中断。

独狼

独狼完全独立运行,不受外部操纵或影响。它们可能特别危险,因为它们通常拥有系统访问权限,如数据库管理员。

粗心大意的内部威胁

粗心大意的内部人员安全威胁会在不经意间发生。它们往往是人为错误、判断失误、无意中的教唆和帮助、方便、网络钓鱼(和其他社会工程学策略)、恶意软件和被盗凭证造成的。相关人员在不知情的情况下将企业系统暴露在外部攻击之下。

粗心大意的内部威胁可能是棋子或笨蛋。

典当

爪牙是指被操纵而无意中采取恶意行为的授权用户,通常是通过鱼叉式网络钓鱼等社交工程技术。这些无意行为可能包括将恶意软件下载到他们的计算机或向冒名顶替者泄露机密信息。

Goof

笨蛋故意采取可能有害的行动,但没有恶意。他们是傲慢、无知和/或无能的用户,认识不到遵守安全政策和程序的必要性。笨蛋可能是明知违反组织政策却仍在个人设备上存储客户机密信息的用户。

鼹鼠

"内鬼 "是外人,但却是获得组织系统内部访问权限的人。他们可能会冒充供应商、合作伙伴、承包商或员工,从而获得原本没有资格获得的特权授权。

如何发现内部威胁

大多数威胁情报工具都侧重于分析网络、计算机和应用程序数据,却很少关注可能滥用特权访问的授权人员的行为。要安全防御内部威胁,就必须密切关注异常行为和数字活动。

行为指标

应注意内部威胁的几个不同迹象,包括

  • 不满意或不满的员工、承包商、供应商或合作伙伴。
  • 试图规避安全。
  • 经常在非工作时间工作。
  • 对同事表现出不满。
  • 经常违反组织政策。
  • 考虑辞职或讨论新的机会。

数字指示器

  • 在非正常时间登录企业应用程序和网络。例如,如果一名员工在凌晨 3 点登录网络,而没有任何提示,则可能会引起关注。
  • 网络流量激增。如果有人试图在网络上复制大量数据,你就会看到网络流量出现异常高峰。
  • 访问他们通常无法访问或不允许访问的资源。
  • 访问与其工作职能无关的数据。
  • 反复要求访问与其工作职能无关的系统资源。
  • 使用未经授权的设备,如 USB 驱动器。
  • 网络抓取和故意搜索敏感信息。
  • 通过电子邮件向组织外发送敏感信息。

如何防范内部人员攻击

您可以保护组织的数字资产免受内部威胁。具体方法如下。

保护重要资产

识别贵组织的关键逻辑和物理资产。这些资产包括网络、系统、机密数据(包括客户信息、员工详情、示意图和详细战略计划)、设施和人员。了解每项关键资产,按照优先级对资产进行排序,并确定每项资产当前的保护状况。当然,优先级最高的资产应得到最高级别的保护,以免受到内部威胁。

创建正常用户和设备行为基线

有许多不同的软件系统可以跟踪内部威胁。这些系统的工作原理是,首先从访问、身份验证、账户变更、终端和虚拟专用网络(VPN)日志中提取用户活动信息。利用这些数据为与特定事件(如将敏感数据下载到可移动媒体或用户从异常位置登录)相关的用户行为建模并分配风险分数。为每个用户和设备以及工作职能和职位创建正常行为基线。有了这个基线,就可以对偏差进行标记和调查。

提高知名度

部署能够持续监控用户活动以及汇总和关联多个来源活动信息的工具非常重要。例如,您可以使用网络欺骗解决方案,设置陷阱吸引恶意内部人员,跟踪他们的行动并了解他们的意图。然后将这些信息输入其他企业安全解决方案,以识别或预防当前或未来的攻击。

执行政策

定义、记录和传播组织的安全政策。这可以防止含糊不清,并为执行奠定正确的基础。任何员工、承包商、供应商或合作伙伴都不应对与组织安全立场相关的可接受行为有任何疑问。他们应认识到自己有责任不向未经授权方泄露保密信息。

促进文化变革

发现内部威胁固然重要,但劝阻用户避免不当行为更为稳妥,成本也更低。在这方面,促进具有安全意识的文化变革和数字化转型是关键所在。灌输正确的信念和态度有助于打击疏忽行为,从根本上解决恶意行为。员工和其他利益相关者应定期参加安全培训和安全意识教育,同时不断衡量和提高员工满意度,以发现不满情绪的早期预警信号。

内部威胁检测解决方案

与外部攻击相比,内部威胁更难识别和防范。它们通常不会被防火墙、入侵检测系统和反恶意软件等传统网络安全解决方案发现。如果攻击者通过授权的用户 ID、密码、IP 地址和设备登录,他们不太可能触发任何安全警报。要有效保护您的数字资产,您需要一种内部威胁检测软件和策略,结合多种工具来监控内部人员的行为,同时尽量减少误报的数量。

内部威胁

立即开始

了解更多

我们能提供什么帮助?

脚注