【51CTO 5月13日外電頭條】企業(yè)中多達(dá)80%的惡意攻擊是由內(nèi)部員工引起的——至少根據(jù)我在互聯(lián)網(wǎng)上見過的統(tǒng)計數(shù)據(jù)是這樣。然而，這個數(shù)字似乎比我在過去二十年的工作（IT管理和顧問）經(jīng)歷中見過的高出很多。保守估計，在100個安全事件中，我發(fā)現(xiàn)只有少數(shù)事件是由內(nèi)部員工引起的。

由于這些統(tǒng)計數(shù)據(jù)的出現(xiàn)，我想知道到底內(nèi)部威脅問題是真的那么嚴(yán)重，還是我的經(jīng)驗是錯誤的。也許公司在出現(xiàn)內(nèi)部問題之后，都不愿意雇傭公司外部的安全顧問。在我研究內(nèi)部威脅的時候（我要寫一篇關(guān)于這方面的文章），我才發(fā)現(xiàn)內(nèi)部威脅的情況是多么嚴(yán)重。當(dāng)你把各種能夠損害企業(yè)的內(nèi)部員工因素（不管是故意的損害還是無意的損害）都包括在內(nèi)的話，那么80%這一數(shù)字就說得通了。

在內(nèi)部威脅方面，2009年CSI計算機犯罪調(diào)查也許是最權(quán)威的報告之一，該報告指出內(nèi)部人員占到了惡意攻擊的43% ；25%的受訪人員表示超過60%的損失是由內(nèi)部人員非惡意的活動所引起的。我閱讀過許多損失評估報告，這些報告指出，盡管內(nèi)部人員引起的事件比外部人員少，但是內(nèi)部人員所引起的安全事件通常會導(dǎo)致更大的損失。因此，CSI的數(shù)據(jù)似乎是可信的。

2009年Verizon的數(shù)據(jù)泄漏報告（另外一個正變得越來越權(quán)威的統(tǒng)計渠道）把與內(nèi)部人員有關(guān)的數(shù)據(jù)泄漏所占比例限定在20%。這個數(shù)據(jù)只是來自Verizon團隊所調(diào)查的事件，但其樣本數(shù)量跟CSI的調(diào)查差不多。

很明顯，這兩個報告的樣本數(shù)量都相對較小，只有幾百個。為了達(dá)到一千萬條記錄99%的統(tǒng)計信任度，你需要一個數(shù)量為1849的樣本。但是這兩個調(diào)查已經(jīng)是我們能夠擁有的關(guān)于內(nèi)部威脅事件最好的消息來源了。

Verizon的那個20%令我驚奇，但是這個調(diào)查補充說，另外32%的攻擊可以歸咎于受信的合作伙伴，我認(rèn)為這與內(nèi)部人員幾乎一個意思。這使得Verizon的數(shù)據(jù)范圍在20%到52%之間，如果數(shù)據(jù)是真的，那么在這個范圍內(nèi)的每個數(shù)據(jù)都很令人吃驚。該報告還指出，到目前為止，最終用戶和IT管理員都可能是內(nèi)部數(shù)據(jù)泄漏事件的罪魁禍?zhǔn)祝覂烧叩臄?shù)量勢均力敵。

老實說，我曾經(jīng)認(rèn)為那些心懷不滿或者被炒魷魚的管理員威脅更大，但是事實證明，普通員工也很樂意進(jìn)行數(shù)字犯罪。該報告還指出，三分之二的數(shù)據(jù)泄漏事件是由于內(nèi)部員工故意造成的。

如果我們把沒有惡意企圖的用戶加進(jìn)來的話，包含內(nèi)部人員（故意的或者無意的）的惡意攻擊百分比可能至少是80%。現(xiàn)在，大多數(shù)惡意攻擊都會使用社交工程木馬，欺騙人們安裝惡意軟件。如果把這種不知情的同謀活動也算在內(nèi)的話，那么內(nèi)部人員要對每次使用垃圾郵件或釣魚軟件成功破壞外部防護(hù)的事件負(fù)責(zé)。

根據(jù)微軟安全情況報告8（Microsoft Security Intelligence Report 8），在2009年第四季度中80%被監(jiān)測并清除的惡意軟件要想成功進(jìn)行攻擊都需要一定程度的人為行動作為同謀，比如安裝木馬、間諜軟件，或者下載器等。計算機病毒(即能夠自我復(fù)制的代碼)需要有人進(jìn)行最初的運行。如果那些利用代碼以及蠕蟲病毒的攻擊是由于缺乏補丁之類的東西而成功的話，那么我認(rèn)為用戶并不應(yīng)該受到指責(zé)。微軟公司的這份報告甚至沒有討論那些由垃圾郵件、魚叉式網(wǎng)絡(luò)釣魚（spear phishing）、故意使壞以及配置錯誤等引發(fā)的攻擊。

就個人而言，我想我在職業(yè)生涯中可能花太多的時間去關(guān)注外部攻擊了。無賴員工時不時的就會成為新聞頭條，雖然其數(shù)目不像外部攻擊那么多。也許，黑客或者病毒攻擊聽上去要比不誠實的員工更聳人聽聞。

現(xiàn)在，我重新認(rèn)識到了來自內(nèi)部的威脅也不能忽視。即便是最低的20%，也意味著需要我們一直付出至少五分之一的精力去防范我們的同事和朋友。

如果你對內(nèi)部攻擊的檢測和預(yù)防感興趣的話，我不久還將發(fā)表一篇這方面的文章，而且我會把那篇文章的鏈接放在我的博客里。

1. 企業(yè)應(yīng)如何防范內(nèi)存抓取惡意軟件
2. 企業(yè)防火墻：性能遠(yuǎn)遠(yuǎn)超過其安全功能
3. 發(fā)達(dá)國家是怎樣重視網(wǎng)絡(luò)安全的
4. Google的云計算，你真的安全嗎？
5. 自己動手打造公司內(nèi)網(wǎng)監(jiān)管利器
6. 利用HTTP-only Cookie緩解跨站點腳本攻擊