一、什么是內部威脅?

跟蹤者、欺詐者、破壞者以及惡意內部人員都會對企業造成不可估量的損害。其中，內部威脅攻擊者一般是企業或組織的員工(在職或離職)、承包商以及商業伙伴等，其應當具有組織的系統、網絡以及數據的訪問權;內部威脅就是內部人利用合法獲得的訪問權對組織信息系統中信息的機密性、完整性以及可用性造成負面影響的行為。內部威脅區別于外部威脅，攻擊者來自于內部用戶，因此檢測更加困難，危害性卻更大。

[[236066]]

根據Ponemon Institute公布的《2018年全球組織內部威脅成本》顯示，在3269起事件中，有2081起(64%)都是由員工或承包商的疏忽導致的;而犯罪分子和內鬼造成的泄漏事件則為748起(23%)。

二、內部威脅的危害

如果說，最近的統計數據存在任何暗示意義的話，那就是企業安全團隊可能大大低估了內部威脅對其組織造成的風險。根據Crowd Research Partners發布的《2017年企業內部威脅報告》指出，只有3%的高管認為內部威脅的潛在成本超過200萬美元。然而，根據Ponemon Institute進行的調查數據顯示，一個組織每年遭遇內部威脅的平均成本超過800萬美元。

為什么內部威脅的補救成本如此高昂呢?主要包含如下幾個原因：

• 內部人員的威脅可能多年未被發現。安全事件發現得越晚，補救的成本就越高，而內部威脅通常很難發現，一般都在2個月以上;
• 很難將有害行為與正常工作區分開來。這就是內部威脅難以發現的原因。當員工在使用敏感數據時，幾乎不可能知道他們是否在執行惡意操作;
• 員工很容易掩蓋自己的行為。不僅在發生惡意行為時很難察覺，事后也幾乎不可能檢測到。任何稍微懂技術的員工都知道如何通過編輯或刪除日志來隱藏惡意行為;
• 很難證明員工有罪。由于缺乏安全審計，即使企業檢測到惡意行為，也不能證明是某個具體員工的操作，而內鬼此時可能也已經消失得無影無蹤;

這些還只是可量化的風險。一旦內部攻擊者真正地發力——特別是那些想要進行欺詐行為或故意從事惡意活動的內部人員——其造成的影響可能會比典型的數據泄露事件嚴重得多，波及的范圍也更廣。

[[236067]]

三、2018年最嚴重的6起“內鬼事件”

2018年已經行至一半，我們也親眼目睹了很多具有破壞性的惡意內部事件說明了這一事實。以下是一些最引人注目的內部攻擊事件，所有這些事件都可以作為對企業的警告，提醒他們認真對待對員工行為的監控和控制。

1. 特斯拉(Tesla)

今年6月，特拉斯指控了一名前員工Martin Tripp，稱其編寫了侵入特斯拉制造操作系統的軟件，并將幾個GB的特斯拉數據傳輸給外部實體。這些數據包括數十張機密照片和特斯拉制造系統的相關視頻。除此之外，特斯拉還聲稱Tripp編寫了計算機代碼，定期將特斯拉的數據輸出給公司以外的人。

但是面對指控，該員工發聲稱自己是因為試圖向投資者和媒體警告特斯拉的風險而透露的內部信息。特里普在聲明中強調，他沒有黑過任何一部電腦，甚至連編程的耐心都沒有。他發現了超過1000塊有穿孔問題的Model 3車載電池模組，這些模組仍在該公司所生產的Model 3車型中使用。此外，特拉斯還在旗下超級工廠中“不安全的儲存廢料”，并在Model 3車型的產量方面提報了虛假數據。

不過，無論事實如何，令人震驚和質疑的現實是，為什么企業沒有更好地控制措施來防止內部人員濫用其特權從事惡意行為?

2. 旁遮普國家銀行(Punjab National Bank)

旁遮普國家銀行(Punjab National Bank)于1894年由Lala Lajpat Rai 創建，總部位于印度新德里，目前是印度第二大國有商業銀行，在印度764個城市擁有約5000家分行，為超過37萬客戶提供服務。

今年2月，旁遮普國家銀行(PNB)旗下位于孟買的一家分行經查遭詐欺17.7億美元，成為印度歷史上規模最大的貸款詐騙案。該銀行表示，其分行的兩位初級管理人員從2011年起非法發放擔保函(letters of undertaking)，要求其他金融機構的海外分支為幾個特定賬戶持有者延展信用，大部分授信企業都是尼拉夫·莫迪(印度珠寶商富翁)的海外客戶。

據悉，其中一位曾擔任旁遮普國家銀行孟買分行的外匯部門副總經理。為避開監測，其繞開旁遮普銀行的內部訊息系統，通過Swift全球支付系統發出指令，要求印度銀行的海外分支機構以擔保貸款的形式支付現金。目前這兩位雇員已被印度聯邦警方逮捕。

此次事件對旁遮普國家銀行的影響無疑是巨大的，據悉，在旁遮普國家銀行曝出詐騙案后，該銀行股價出現了暴跌，單周跌幅已經超過20%，跌至2017年1月初以來最低，市值抹去數百億印度盧比，并創下創2009年以來最大單日跌幅。

3. Facebook

5月初，Facebook公司解雇了一位安全工程師，因為后者曾利用訪問個人數據的特權在線跟蹤并騷擾女性。此外，該安全工程師還在約會平臺Tinder上向好友吹噓自己可以看到任一 Facebook用戶的個人資料。

據悉，在 Facebook 公司內部有個小組，有權限觀看任何用戶的個人資料，如果被連線觀看頁面所有者正好是 Facebook 員工，該同事則會在公司的內部系統中收到相關警示;而對那些不在Facebook工作的 20 多億用戶而言，卻沒有類似的個人資料隱私保護措施。

當然，這名安全工程師的案例并不是孤立的，還有多名Facebook員工同樣因為濫用用戶私人信息而遭到解雇。不幸的是，由于此事曝光的時間點距離“泄露門”事件發生不久，可以說是進一步打擊了Facebook的用戶信任，為其帶來了難以估量的潛在影響。

4. 可口可樂

今年5月底，可口可樂公司對外宣布了一起數據泄露事件，這起事件實際可能發生在去年9月，但是直到今年5月才對外曝光出來。據悉，可口可樂公司在一名前員工的個人硬盤中，發現了大約8000名現有員工的個人數據，而這些數據，是當時他從可口可樂違規挪用的。

至于為什么去年9月就發現了數據泄露現象，卻遲遲沒有對外公布?可口可樂解釋稱，他們在過去幾個月中與執法部門合作調查了這些數據的來源和有效性，并確定一些文件包含了部分員工的個人信息。按照執法部門的要求，所以直到現在才向員工報告違規事件。

此次事件后，可口可樂公司開始通過第三方供應商向受影響的員工提供一年的免費身份監測。

5. Nuance

就在可口可樂公司發生內部攻擊前幾天，美國醫療語音識別軟件開發商Nuance的一名前員工，在離職后登陸公司服務器，訪問并泄漏了4.5萬名客戶的信息，包括生日、醫保賬號、健康狀況、治療情況等。

6. 太陽信托銀行(Suntrust Bank)

今年4月20日，美國知名銀行SunTrust Bank宣布，發現一名離職員工可能盜取了超過150萬名客戶的數據，包括姓名、住址、電話號碼和賬戶余額等重要信息，并將其賣給了一個犯罪組織。

此次事件曝光后，SunTrust Bank表示，會為客戶因欺詐而遭受的損失負責，同時，該機構正在主動通知這150多萬名客戶，并向所有客戶提供免費的身份保護服務。

四、值得關注的內部威脅群體

通過上述內容，我們都已經了解了內部威脅的巨大危害性。那么，企業最應該留意哪些內部人員呢?雖然說，任何內部人員都可能誤用或泄漏數據，但企業最應該關注以下三個群體：

• 特權用戶(案例2、3所示)。他們通常是公司中最值得信賴的員工，但他們也可能有意或無意地誤用/泄漏數據。此外，內鬼和黑客都有可能竊取這些特權用戶的賬號，以獲取某些機密信息;
• 第三方。承包商、第三方供應商和合作伙伴等，都可以訪問企業的系統，而企業對系統安全性，甚至對那些訪問數據的人員都一無所知;
• 離職員工(案例4、5、6所示)。正如上文提到的情況，員工在離職時可以隨身攜帶重要數據。更要命的是，他們甚至還能在離職之后照樣訪問公司數據;

五、如何防范內部威脅?

了解完最值得關注的威脅群體后，我們再來總結一下如何防范這種內部威脅，企業可以根據下述建議提升自身安全防護能力，最大限度降低內部威脅影響：

1. 對員工進行安全教育

如果要減少非惡意員工的失誤和疏忽，最佳的方式之一是對他們進行安全教育，確保員工清楚公司面臨的安全風險，以及如何處理這些風險。教育他們為什么要采取某些安全措施，以及不遵守這些措施的后果是什么;告訴他們有關網絡釣魚的風險，以及各種規避和處理方法等等。如果這部分員工知道他們的行為會影響公司收入，而這又會影響他們的收入，他們也就會更加重視維護網絡安全規范。

2. 使用最小特權原則

特權員工的人數越少，保護企業數據就越容易。這不僅意味著有機會執行惡意操作的員工更少，還意味著黑客/內鬼可以入侵/冒用的賬戶也變少了。

如果企業尚未有特權用戶，則應遵守最小特權原則。這是一個網絡安全標準，規定企業中的每個新賬戶都應當具有盡可能少的特權，并在有必要的時候進行權限升級。這一點同樣適用于第三方訪問數據，確保他們具有最少的權限，并且在他們的工作完成時刪掉憑證。

3. 保護賬戶安全

強大的賬戶保護措施，可以極大程度上抵御外部和內部人員的威脅。保護賬戶有幾條原則：

• 員工應該使用安全性較高的復雜口令，而且不能復用口令;
• 禁止員工之間共享賬戶，或盡可能限制共享賬戶的使用;
• 采用能識別操作者真實身份的身份認證技術，防止員工身份被冒用。目前比較流行的是多因素身份認證;
• 安全審計;

總而言之，強大的賬戶保護措施不僅能抵御外部攻擊者，而且還能有效防止員工身份被冒用的情況。此外，安全審計功能還可以對內鬼起到極強的威懾作用。

【本文是51CTO專欄作者“”李少鵬“”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文