實施內部威脅計劃的企業花了相當多的時間在擔心攻擊技術和惡意代碼，但FBI專家告訴2013年RSA大會的與會者，內部威脅通常并不一定是黑客。

根據FBI上周發布的內部威脅計劃（Insider Threat Program）中的反間諜情報顯示，雇員、前雇員或承包商對企業構成最大的威脅，雖然這些人在加入時并沒有惡意。

這些研究結果是基于對20年間的間諜案例的調查，結果表明，與流行的看法相反，當涉及到數據丟失和間諜活動時，現實世界的內部威脅并不是偷偷地從內部系統和網絡竊取敏感信息的典型黑客。

FBI領導內部威脅計劃的首席信息安全官Patrick Reidy表示，企業信任的授權用戶構成最大的威脅，他們可能帶著惡意目的進行合法活動。FBI的內部威脅計劃創建于Robert Hanssen間諜事件后，在這個2001年的事件中，一名美國聯邦調查局特工被發現向俄羅斯兜售情報和其他貨物長達22年之久。

Reidy表示，自從維基解密開始公布機密信息以來，關于內部威脅的討論就不絕于耳。在企業面臨知識產權和敏感數據的欺詐或災難性損失之前，安全專家應如何鏟除內部威脅？

教育“無意的”內部人員

Reidy表示，首先要確保防火墻、防病毒軟件、政策和其他系統控制采用了最佳做法。在FBI追蹤的事故中，每年有四分之一的事件源自Reidy所謂的“傻”問題：員工因為沒有遵循程序、丟失設備和敏感數據、點擊垃圾郵件、不恰當的電子郵件或web鏈接、或者錯誤處理密碼和賬戶而無意地造成系統被感染。

Reidy表示，FBI花了約35%的時間來響應這些類型的事件。重視教育可以幫助減少這些問題；他表示在過去一年中，這些事件在FBI下降了7%。內部威脅并不多，但從造成的損害來看，這是最昂貴的威脅。在10年間的超過1900個事件中，約有19%是惡意的內部人員威脅。基于多個“開源”數據泄露事故報告和數據丟失調查顯示，每個事件的平均成本是41.2萬美元，每個行業的平均損失為1500萬美元。在一些情況下，損失甚至超過1億美元。

從1996年到2012年起訴的案件（按照工業反間諜法案Title 18 U.S.C.第1831節—其中要求提供證據證明案件與外國政府的聯系）的數據來看，平均損失為47200萬美元（在法庭上確定的損失金額），中國涉及71%的案件，而29%則是來自其他國家。

“我認為具有良好的內部威脅和數據保護計劃的企業將能夠繼續存在10年，”Reidy表示，“而那些沒有這些計劃的企業將無法維持這么久。企業應該要使用診斷分析來確定內部威脅的模式，因為FBI發現其使用了多年的預測分析并沒有效果。造成內部威脅的人并不像其他人一樣，他們很多都會達到一個臨界點。”

使用多方論證的方法

良好的內部威脅計劃需要的不只是政策合規和網絡安全。FBI內部威脅分析師Kate Randal表示：“這不是一個技術問題。”其研究表明在90%的事件中，這個問題不能被惡意軟件檢測。“這是一個圍繞人的問題，而人是多維的，所以你需要做的是采取多方論證方法。”

一個好的計劃的目標是制止、檢測和破壞內部威脅。計劃實施者需要確定除網絡安全外的人事和機密信息。

“重要的是把重點放在確定你的敵人、你的人員和你的數據上，”Randal表示，這個過程包括詢問這樣的問題，“誰會對你的公司感興趣，他們會瞄準企業內的哪些人？”Randal稱FBI會檢查網絡、內容（例如財務狀況、旅游、報告）和社會心理信息的綜合信息。在企業中，Randal認為安全專業人員應該與其法律部門合作來確定他們可以合法地收集的信息類型。

關鍵在于，企業需要了解其資產情況以及確定“企業的寶藏”所在。一個很好的開端是列出可能會損害公司的最糟糕的情況—包括資產和個人。Randal建議還應該詢問另一個問題，“包含敏感數據的前五大系統是哪些？”然后從這里開始，跟蹤這些系統中的用戶數據、日志和文檔。內部FBI安全日志顯示，超過80%的數據移動是由不到2%的工作人員操作的。

Reidy稱，良好的內部威脅計劃應該主要側重于制止，而不是檢測，因為到那時往往為時已晚。FBI認為他們不可能確定每個潛在的內部威脅，于是，他們選擇使用多種策略來防止內部威脅。

其中一種方法涉及創建一個環境，通過“群眾包圍”安全性來防止內部威脅，另一個是基于與用戶的交互。通過向用戶提供工具和技能來加密他們自己的數據，并提出辦法來保護和分類他們的數據（這與很多企業實行的集中式政策不同），這樣，信息安全的責任就被轉移到了用戶，同時企業還應使用積極的社會工程來提高用戶意識。

Reidy表示，“整體的思路是，在道路上設置警示標語。”比如用戶試圖下載敏感文件到USB時彈出警告畫面。這能夠讓用戶知道，“我們在看著你哦”并讓他們回答這個問題，“你真的要這樣做嗎？”

Reidy稱這樣做可能會導致內部抵觸情緒，他們會認為一般人沒有這種級別的責任。這種情況在FBI就發生了，但對于Reidy來說，這并不是問題。“在聯邦調查局，我們有14000名員工每天都會帶著槍械來上班，”Reidy表示，“你告訴我他們不會用USB？”

檢測內部威脅應該使用數據挖掘和基于行為的技術，側重于診斷分析和可觀察的紅色標記，例如行為的改變。根據FBI的調查，社會心理風險因素包括從不滿的員工和高壓力員工（正在處理離婚或財務問題的員工），到意識薄弱的個人和利己主義者。

初始步驟可能就像與人力資源共享信息一樣簡單。他建議嘗試觀察，例如是否有人在星期五下班后打印大量的文件，而此人原定于下周一被解雇。基于用戶的基線計算機行為（數量、頻率和模式）來檢測，并使用策略來引出威脅。Reidy稱：“在干草堆里找一根針更簡單，但在一堆針中找一根針就很難，因為每個人都是相同的或者保持相同的行為。”

內部威脅檢測和制止的研究仍然處于起步階段，卡內基 - 梅隆大學的CERT內部威脅中心按照行業進行威脅建模作為其MERIT（內部威脅風險管理和教育）計劃的一部分。DARPA的網絡內部威脅（CINDER）同樣也在做這方面的工作，可以作為企業的寶貴資源。安全專業人員可以使用這些研究來部署或改善其內部威脅計劃，同時提供內部威脅事件的數據來幫助研究人員的研究工作。