組織內部的違規事件通常是由組織內部的員工或領導者引起的，卻是所有數據泄露事件中代價最高昂且最難檢測到的事件。根據“2018年IBM X-Force威脅情報指數”調查報告，2017年數據泄露的事件中有三分之二是組織內部人員無意造成的結果，而組織的內部威脅也是導致網絡攻擊的主要原因，達到數據泄露事件總量的60%。同時，2017年因組織內部員工疏忽導致的錯誤配置的云計算服務器和網絡備份事件中，總共泄露了20多億條數據記錄。

[[242440]]

雖然組織將大量資源集中用于應對緩解外部威脅行為者，但內部風險可能對企業構成更大的財務威脅。根據調研機構波洛蒙研究所的“2018年內部威脅成本”報告，2017年由于組織內部人員引發事件，每個事件的平均損失為876萬美元，是當年全球數據違規事件平均損失386萬美元的兩倍多。

組織管理內部威脅的傳統方法是采用安全意識培訓和訪問治理來降低風險。雖然這些措施至關重要，但它們不足以減輕所有類型的內部員工風險。這是因為人類是非常多變的，沒有考慮到內部人員的風險可能導致出現代價高昂的安全事件。

一、5種內部威脅

根據調研機構波洛蒙研究所的調查，組織的內部員工的無意行為是最常見的內部威脅形式，占數據泄露事件的64%，而外部攻擊行為只占數據泄露事件的23%。然而，內部人員的風險比簡單的疏忽和惡意企圖更加復雜。

實施無意行為的內部人員既包括不響應培訓的員工，也包括因錯誤配置的云計算網絡等錯誤而產生后果的員工。在犯罪類別中，存在內外串通、長期惡意行為和破壞的情況。因此，徹底了解以下五種不同的內部風險類別，對于安全團隊制定全面保障措施來說至關重要。

1. 非響應者

組織中實施無意識行為的員工通常是培訓活動的非響應者。雖然這些員工可能不會故意疏忽行事，但他們是組織中風險最高的成員之一，因為他們的行為可能更頻繁。 2017年，Verizon公司發現在特定網絡釣魚活動中，平均有4.2%的內部人員會點擊惡意鏈接。具有網絡釣魚攻擊歷史的人員更有可能再次遭到網絡釣魚。

雖然一直以不安全方式行事的員工通常只是組織中一小部分，但其錯誤的總體影響卻是驚人的。波洛蒙研究所的調查發現，去年有63%的事件是由各種類型的疏忽造成的。

2. 內部人士的疏忽行為

簡單疏忽是最常見的內部威脅形式，也是最昂貴的風險類別之一。而此類別的內部威脅通常可能表現出安全行為并遵守政策，但會因孤立的錯誤而導致違規。根據X-Force的調查報告，這來自員工的錯誤判斷，例如將數據存儲在不安全的個人設備上，或者因網絡釣魚計劃而丟失，這占到2017年數據違規事件的三分之二。

威脅行為者越來越了解組織內部人員無意中造成的漏洞。X-Force的調查報告揭示了過去一年中利用員工錯誤最常見的犯罪策略的幾種模式：

• 38%的外部攻擊者試圖欺騙用戶點擊惡意鏈接或附件。
• 35%的外部風險是針對中間人(MitM)攻擊的嘗試。
• 27%的外部威脅試圖利用配置錯誤的服務器。

3. 組織員工內外串謀

組織內部員工與惡意外部威脅攻擊者的內外串謀可能是最罕見的內部犯罪風險，但由于專業網絡犯罪分子越來越多地通過暗網招募組織員工，這仍然是一個重大威脅。

社區緊急響應小組(CERT)的一項研究表明，內部人員共謀事件占所有內部人員引發事件的48.32%。與此同時，內部人員與外界攻擊者共謀事件占16.75%。這些事件有幾種形式：

• 大約37%的事件涉及欺詐。
• 大約24%的事件涉及知識產權盜竊。
• 大約6%的事件涉及欺詐和盜竊。

根據這個研究，內部人員引發的事件屬于違規行為中代價最高昂的類別，并且其檢測的時間可能比單獨實施行為的內部人員造成的事件要多四倍。

4. 持久的惡意行為

最常見的是，實施犯罪行為的內部人員為了經濟回報或個人利益而泄露數據或實施其他惡意行為。調研機構Gartner公司對組織內部犯罪威脅的研究發現，62%具有惡意意圖的內部人員被歸類為尋求額外收入的人員，其工作資歷與這類行為幾乎沒有相關性。只有14%的持續惡意內部人員擔任領導角色，大約三分之一擁有敏感數據訪問權限。

這些人的行為可能會在未被發現的情況下表現出更多的復雜性，以最大限度地提高竊取數據的個人利益。這些人員可能會緩慢地將數據泄露以避免檢測，而不是大規模地將數據導出，因為這可能會在傳統網絡監控工具中引發警報。

5. 心懷不滿的員工

作為內部人員威脅的最后一類，心懷不滿的員工故意破壞或盜竊知識產權也是組織面臨的最昂貴代價的風險。Gartner公司對內部人員犯罪的分析發現，29%的員工在辭職或被解雇后竊取組織信息以獲取未來收益，而9%的員工只是出于報復這樣簡單的犯罪動機。

心懷不滿的員工可以適應許多行為子模式。而從接到離職通知的那一刻起，一些沮喪的員工可能開始收集或獲取沒有特定目標的信息。而一些員工可能會有非常具體的意圖，并著手向競爭對手出售商業機密。

二、內部人同行為風險模式的檢測與應對

內部人員可能成為企業中最大的安全風險，但內部威脅是可變的。并沒有一種萬能的方法可以減輕所有類別的員工風險。因此對于內部人員的防范沒有完美的解決方案。而提高對內部威脅的認識和采用行為分析工具可能是防范企業內部威脅的最佳方法。

1. 從數據保護開始

企業中最有價值的數據和系統最容易受到任何類型的內部威脅，其中包括疏忽和犯罪意圖造成的風險。為了創建透明度，組織應該整理風險資產，并對其進行分類。持續的監控和認知分析可以保護知識產權和敏感數據記錄免受各種網絡安全威脅。

2. 采用行為分析方法

雖然組織的每個員工都以自己的方式行事，但個人模式的變化可以預測風險。人工智能和行為分析是檢測工作場所習慣和信息消費的微妙模式風險的特殊工具。用戶行為分析可以通過深度分析來緩解所有類別的內部威脅，以預測風險傾向。

3. 進行風險評估

行為分析的認知應用程序可以進行風險評估，以便在發生違規行為之前主動識別潛在的內部風險。當組織面臨更高的錯誤風險或發現犯罪行為時，可以采取緩解控制措施，加強訪問管理，或者在極端情況下進行帳戶隔離，以防止數據丟失。

4. 減少漏洞

針對內部人員和外部攻擊者威脅的最大保護措施之一是強大的安全管理措施，以減少組織的漏洞。保持持續的合規性可以促進關鍵資產的透明度和數據保護。修補程序和網絡監視需要在系統或員工受到威脅的那一刻起實施，而不是事件發生后幾個月。

5. 減輕內部威脅

雖然勒索軟件、加密劫持以及其他外部威脅是人們廣泛討論的安全風險，但組織的內部人員是造成數據泄露的主要原因。疏忽、內部人士犯罪、數據被盜與大部分丟失的記錄有關。 X-Force的調查研究表明組織的內部威脅2017年同比增長5%。

了解人類行為的巨大差異對于創建防范組織內部風險的充分保障非常重要。組織借助合規性、數據保護和用戶行為分析工具，可以主動防范網絡中的無意錯誤和犯罪意圖。