技術主題

什麼是內部威脅?

聯繫我們
以問號為重點的 IT 項目圖示

概述

內部威脅是指源自組織內部的 網路安全 風險。當具有合法使用者憑據的現任或前任員工、承包商、供應商或合作夥伴濫用其訪問許可權而損害組織的網路、系統和數據時,通常會發生這種情況。內部威脅可能是有意或無意執行的。無論出於何種目的,最終結果都會損害企業系統和數據的機密性、可用性和/或完整性。

內部威脅是大多數數據洩露的原因。傳統的網路安全戰略、政策、程序和系統通常側重於外部威脅,使組織容易受到來自內部的攻擊。由於內部人員已經對數據和系統擁有有效的授權,因此安全專業人員和應用程式很難區分正常活動和有害活動。

與其他類別的惡意攻擊者相比,惡意內部人員具有明顯的優勢,因為他們熟悉企業系統、流程、過程、策略和使用者。他們敏銳地意識到系統版本及其中的漏洞。因此,組織必須至少像處理外部威脅一樣嚴格地處理內部威脅。

經驗證的內部威脅防護的最佳實踐

瞭解內部威脅的剖析結構。向行業專家和同行學習如何通過正確的預防計劃智取對手。

瞭解更多資訊

內部威脅的類型

惡意內部威脅

也稱為回合隱身衣,惡意內部威脅的主要目標包括間諜活動、欺詐、智慧財產權盜竊和破壞活動。出於財務、個人和/或惡意原因,他們故意濫用其特權訪問許可權來竊取資訊或降低系統品質。例如,將機密數據出售給競爭對手的員工,或心懷不滿的前承包商在組織的網路上引入削弱惡意軟體。

惡意內部威脅可能是合作者或獨狼。

合作者

協作者是與第三方合作故意損害組織的授權使用者。第三方可能是競爭對手、民族國家、有組織犯罪網路或個人。合作者的行為將導致機密信息洩露或業務運營中斷。

孤狼

獨狼完全獨立行動,不受外界操縱或影響。它們可能特別危險,因為它們通常具有特權系統訪問許可權,例如資料庫管理員。

粗心的內部威脅

粗心的內部安全威脅無意中發生。它們通常是人為錯誤、判斷力差、無意的説明和教唆、便利、網路釣魚(和其他社會工程策略)、惡意軟體和被盜憑據的結果。所涉及的個人在不知不覺中將企業系統暴露在外部攻擊之下。

粗心的內部威脅可能是棋子或傻瓜。

典當

典當是縱的授權用戶,他們通常通過魚叉式網路釣魚等社會工程技術無意中採取惡意行為。這些無意行為可能包括將惡意軟體下載到他們的計算機上或向冒名頂替者披露機密資訊。

混日子

傻瓜故意採取潛在的有害行為,但沒有惡意。他們是傲慢、無知和/或無能的使用者,他們不認識到需要遵守安全策略和程式。傻瓜可能是將機密客戶資訊存儲在其個人設備上的使用者,即使他們知道這違反了組織策略。

一顆痣

鼴鼠是局外人,但已經獲得了對組織系統的內部訪問許可權。他們可能偽裝成供應商、合作夥伴、承包商或雇員,從而獲得他們本來沒有資格獲得的特權授權。

如何檢測內部威脅

大多數 威脅情報 工具專注於分析網路、計算機和應用程式數據,而很少關注可能濫用其特權訪問許可權的授權人員的行為。為了 安全地防禦 內部威脅,您必須密切關注異常行為和數字活動。

行為指標

應注意內部威脅的幾個不同指標,包括:

  • 不滿意或心懷不滿的員工、承包商、供應商或合作夥伴。
  • 試圖規避安全。
  • 經常在下班時間工作。
  • 表現出對同事的怨恨。
  • 例行違反組織策略。
  • 考慮辭職或討論新機會。

數位指示器

  • 在異常時間登錄企業應用程式和網路。例如,一名員工在沒有提示的情況下在淩晨 3 點登錄網路可能會引起關注。
  • 網路流量激增。如果有人試圖通過網路複製大量數據,您將看到網路流量出現異常峰值。
  • 訪問他們通常不訪問或不允許訪問的資源。
  • 訪問與其工作職能無關的數據。
  • 重複請求訪問與其工作職能無關的系統資源。
  • 使用未經授權的設備,例如USB驅動器。
  • 網路爬蟲和故意搜索敏感資訊。
  • 通過電子郵件向組織外部發送敏感資訊。

如何防範內部攻擊

您可以保護組織的數位資產免受內部威脅。方法如下。

保護關鍵資產

確定組織的關鍵邏輯和物理資產。這些包括網路、系統、機密數據(包括客戶資訊、員工詳細資訊、原理圖和詳細的戰略計劃)、設施和人員。瞭解每項關鍵資產,按優先順序順序對資產進行排序,並確定每項資產保護的當前狀態。當然,應為最高優先順序的資產提供最高級別的保護,以抵禦內部威脅。

創建正常使用者和設備行為的基線

有許多不同的軟體系統可以跟蹤內部威脅。這些系統的工作原理是首先通過從訪問、身份驗證、帳戶更改、端點和虛擬專用網路 (VPN) 日誌中提取使用者活動資訊來集中用戶活動資訊。使用此數據對與特定事件相關的使用者行為進行建模和分配風險評分,例如將敏感數據下載到可移動媒體或使用者從異常位置登錄。為每個用戶和設備以及工作職能和職位創建正常行為的基線。有了這個基線,就可以標記和調查偏差。

提高可見性

部署能夠持續監視用戶活動以及聚合和關聯來自多個來源的活動資訊的工具非常重要。例如,您可以使用網路欺騙解決方案來建立陷阱,以吸引惡意內部人員,跟蹤他們的行為並了解他們的意圖。然後,這些資訊將被輸入到其他企業安全解決方案中,以識別或防止當前或未來的攻擊。

強制執行策略

定義、記錄和傳播組織的安全策略。這可以防止歧義,併為執行奠定正確的基礎。任何員工、承包商、供應商或合作夥伴都不應懷疑什麼是與其組織的安全立場相關的可接受行為。他們應該認識到他們有責任不向未經授權的各方洩露特權資訊。

促進文化變革

雖然檢測內部威脅很重要,但勸阻使用者不要做出任性行為更為謹慎,成本更低。在這方面,促進具有安全意識的文化變革和 數位化轉型 是關鍵。灌輸正確的信念和態度有助於打擊疏忽並解決惡意行為的根源。員工和其他利益相關者應定期參加安全培訓和意識,對他們進行安全問題教育,同時應不斷衡量和提高員工滿意度,以發現不滿的早期預警信號。

內部威脅檢測解決方案

內部威脅比外部攻擊更難識別和預防。它們通常低於防火牆、入侵檢測系統和反惡意軟體等傳統網路安全解決方案的雷達。如果攻擊者通過授權的使用者 ID、密碼、IP 位址和設備登錄,則不太可能觸發任何安全警報。為了有效保護您的數字資產,您需要一個內部 威脅檢測軟體 和策略,該軟體和策略結合了多種工具來監控內部行為,同時最大限度地減少誤報的數量。

內部威脅

今天就開始吧。

瞭解更多資訊

相關產品

OpenText™ ArcSight™ 情報

主動檢測內部風險、新型攻擊和高級持續性威脅

OpenText™ 網路安全雲

更智慧、更簡單的保護

OpenText™ ArcSight™ cyDNA

鳥瞰攻擊的實施方式和目標

查看所有相關產品

我們能提供什麼協助?

腳注