携手创作，共同成长！这是我参与「掘金日新计划 · 8 月更文挑战」的第9天，点击查看活动详情

内部威胁

什么是内部威胁

内部威胁是源自目标组织内部的安全风险。它通常涉及当前或以前的员工或业务伙伴，他们有权访问组织网络中的敏感信息或特权帐户，并且滥用此访问权限。

传统的安全措施往往侧重于外部威胁，并不总是能够识别来自组织内部的内部威胁。

内部威胁的类型包括：

• 恶意内部人员 - 也称为Turncloak，即恶意和故意滥用合法凭据的人，通常用于窃取信息以进行财务或个人激励。例如，对前雇主怀有怨恨的个人，或向竞争对手出售秘密信息的机会主义雇员。Turncloaks比其他攻击者具有优势，因为它们熟悉组织的安全策略和程序及其漏洞。
• 粗心大意的内部人员 - 一个无辜的棋子，在不知不觉中将系统暴露在外部威胁之下。这是最常见的内部威胁类型，由错误导致，例如让设备暴露或成为骗局的受害者。例如，无意造成伤害的员工可能会点击不安全的链接，从而用恶意软件感染系统。
• 鼹鼠 - 一个冒名顶替者，从技术上讲，他是一个局外人，但设法获得了内部人员对特权网络的访问权限。这是来自组织外部的人，他们冒充员工或合作伙伴。

三种类型的危险行为解释

恶意内部威胁指示器

网络级别的异常活动可能表示存在内部威胁。同样，如果员工似乎不满意或心怀怨恨，或者如果员工开始以过度的热情承担更多任务，这可能是犯规的迹象。可跟踪的内部威胁指标包括：

• 异常时间的活动 - 在凌晨 3 点登录到网络
• 流量 - 通过网络传输过多数据
• 活动类型 — 访问异常资源

如何防范内部攻击：最佳实践

您可以采取以下步骤来帮助降低内部威胁的风险：

• 保护关键资产 — 这些资产可以是物理的，也可以是逻辑的，包括系统、技术、设施和人员。知识产权，包括供应商的客户数据、专有软件、原理图和内部制造流程，也是关键资产。全面了解您的关键资产。提出以下问题：我们拥有哪些关键资产？我们可以优先考虑我们的资产吗？而且，我们对每种资产的当前状态了解多少？
• 实施策略 - 清楚地记录组织策略，以便您可以强制实施这些策略并防止误解。组织中的每个人都应熟悉安全过程，并应了解其与知识产权 （IP） 相关的权利，以便他们不会共享他们创建的特权内容。
• 提高可见性 — 部署解决方案以跟踪员工操作并关联来自多个数据源的信息。例如，您可以使用欺骗技术来引诱恶意的内部人员或冒名顶替者，并了解他们的行为。
• 促进文化变革 - 确保安全不仅与专业知识有关，还与态度和信念有关。为了打击疏忽并解决恶意行为的驱动因素，您应该对员工进行有关安全问题的教育，并努力提高员工满意度。

内部威胁检测解决方案

内部威胁可能比外部攻击更难识别或预防，并且对于专注于外部威胁的传统安全解决方案（如防火墙和入侵检测系统）而言，它们是不可见的。如果攻击者利用授权登录，现有的安全机制可能无法识别异常行为。此外，如果恶意内部人员熟悉组织的安全措施，他们可以更轻松地避免检测。

为了保护所有资产，您应该使内部威胁检测策略多样化，而不是依赖单一解决方案。有效的内部威胁检测系统结合了多种工具，不仅可以监控内部人员行为，还可以过滤大量警报并消除误报。

机器学习 （ML） 应用程序等工具可以帮助分析数据流并确定最相关警报的优先级。您可以使用数字取证和分析工具（如用户和事件行为分析 （UEBA））来帮助检测、分析安全团队，并提醒他们注意任何潜在的内部威胁。用户行为分析可以为正常数据访问活动建立基线，而数据库活动监视可以帮助识别策略违规。